还剩7页未读,继续阅读
文本内容:
2019年网络安全报告最近,国家互联网应急中心发布了2019年中国互联网网络安全报告(以下简称报告)其中,2019年全年捕获计算机恶意程序样本数量超过6200万个,日均传播次数达824万余次,涉及计算机恶意程序家族66万余个据悉,按照传播来源统计,位于境外的主要来自美国、俄罗斯和加拿大等国家和地区其中,美国占
53.5%而按照目标IP地址统计,我国境内受计算机恶意程序攻击的IP地址约6762万个,占我国IP地址总数的
18.3%,主要集中在山东省、江苏省和浙江省等,分别占
8.8%、
8.4%和8・1%°在木马和僵尸程序方面,我国境内木马或僵尸程序受控主机IP地址数量占比按地域统计,占比排名前3位的为广东省、江苏省和浙江省在感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量达5612个,规模在10万台主机以上的僵尸网络数量达39个201ddos攻击带来的风险与挑战2019年,在我国相关部门持续开展的网络安全威胁治理下,分布式拒绝服务攻击(以下简称DDS攻击)、高级持续性威胁攻击(APT攻击)、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰色产业链(以下简称黑灰产)和工业控制系统安全威胁总体下降,但呈现出许多新的特点,带来新的风险与挑战
一、ddos攻击
1.可被利用实施DDS攻击的我国境内攻击资源稳定性持续降低,数量逐年递减,但攻击资源迁往境外,处置难度提高与2018年相比,我国境内控制端、反射服务器等资源按月变化速度加快、消亡率明显上升、新增率降低、可被利用的资源活跃时间和数量明显减少--------------每月可被利用的我国境内活跃控制端IP地址数量同比减少
15.0%、活跃反射服务器同比减少
34.0机在治理行动的持续高压下,DDo S攻击资源大量向境外迁移,DDo S攻击的控制端数量和来自境外的反射攻击流量的占比均超过
90.0%攻击我国目标的大规模DDS攻击事件中,来自境外的流量占比超过
50.0%o
2.针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显,同时重要单位的防护能力也显著加强2019年,我国党政机关、关键信息基础设施运营单位的信息系统频繁遭受DI)S攻击,大部分单位通过部署防护设备或购买云防护服务等措施加强自身防护能力CNCERT/CC跟踪发现的某黑客组织2019年对我国300余个政府网站发起了1000余次DDS攻击,在初期其攻击可导致
80.0%以上的攻击目标网站正常服务受到不同程度影响,但后期其攻击已无法对攻击目标网站带来实质伤害,说明被攻击单位的防护能力已得到大幅提升
3.DDo S攻击依然呈现高发频发态势,仍有大量物联网设备被入侵控制后用于发动DDS攻击我国发生攻击流量峰值超过10Gbit/s的大流量攻击事件日均约220起,同比增加
40.0%由o于我国加大对Mirai、Gafgyt等物联网僵尸网络控制端的治理力度,2019年物联网僵尸网络控制端消亡速度加快、活跃时间普遍较短,难以形成较大的控制规模,Mirai.Gafgyt等恶意程序控制端IP地址日均活跃数量呈现下降态势,单个IP地址活跃时间在3天以下的占比超过
60.0%,因此,物联网设备参与DDS攻击活跃度在2019年后期也呈下降走势尽管如此,在监测发现的僵尸网络控制端中,物联网僵尸网络控制端数量占比仍超过
54.0%,其参与发起的DDS攻击的次数占比也超过
50.0%未来将有更多的物联网设备接入网络,如果其安全性不能提高,必然会给网络安全的防御和治理带来更多困难
二、加强了对ap攻击的监测和急救,提高了对钓鱼电子邮件的预防意识然而,攻击逐渐进入多个重要行业,并在重要活动和敏感时期更为猖獗
1.鱼电话攻击的特征2019年,CNCERT/CC监测到重要党政机关部门遭受钓鱼邮件攻击数量达56万多次,月均
4.6万余次,其中携带漏洞利用恶意代码的Office文档成为主要载荷,主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882等
2.apt网络窃密攻击2019年,我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击,国家网络空间安全受到严重威胁境外APT组织不仅攻击我国党政机关、国防军工和科研院所,还进一步向“一带一路”、基础行业、物联网以及供应链等领域扩展延伸,电信、外交、能源、商务、金融、军工和海洋等领域成为境外APT组织重点攻击对象
3.目标攻击目标境外APT组织习惯使用当下热点时事或与攻击目标工作相关的内容作为邮件主题,特别是瞄准我国重要攻击目标,持续反复进行渗透和横向扩展攻击,并在我国重大活动和敏感时期异常活跃
三、虽然很大的漏洞处理能力已经增强,但事件级漏洞和零日风险漏洞的数量正在增加,信息系统面临的漏洞威胁更加严重
1.实验结果网络安全企业联动2019年,国家信息安全漏洞共享平台(CNVD)联合国内产品厂商、网络安全企业、科研机构和个人白帽子等相关力量,共同完成对约
3.2万起漏洞事件的验证、通报和处置工作,同比上涨
56.0%o
2.受此漏洞影响的个一是披露的通用软硬件漏洞数量持续增长,且影响面大、范围广2019年,CNVD新收录通用软硬件漏洞数量创下历史新高,达16193个,同比增长
14.0%位于我国境内的RDP(IP地址)规模就高达
193.0万余个,其中大约有
34.9万个受此漏洞影响此外,移动互联网行业安全漏洞数量持续增长,2019年,CNVD共收录移动互联网行业漏洞1324个,较2018年同期1165个增加了
13.6%,智能终端蓝牙通信协议、智能终端操作系统、App客户端应用程序和物联网设备等均被曝光存在安全漏洞二是2019年我国事件型漏洞数量大幅上升CNVD接收的事件型漏洞数量约
14.1万条,首次突破10万条,较2018年同比大幅增长227%三是高危零日漏洞占比增大近5年来,零日漏洞(指CNVD收录该漏洞时还未公布补丁)收录数量持续走高,年均增长率达
47.5虬2019年收录的零日漏洞数量继续增长,占总收录漏洞数量的
35.2%,同比增长
6.0%
四、虽然数据风险的监测和报警能力得到了提高,但数据安全性仍然薄弱,经常发生大数据泄漏
1.公民个人信息数据的应急处置2019年,CNCERT/CC加强监测发现、协调处置,全年累计发现我国重要数据泄露风险与事件3000余起,支撑中央网信办重点对其中400余起存储有重要数据或大量公民个人信息数据的事件进行了应急处置Mongo DB,Elastic Search,SQL Server,My SQL,Redis等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露,成为2019年数据泄露风险与事件的突出特点
2.pp22添加量截至2019年12月底,共受理网民有效举报信息L2万余条,核验问题App2300余款;组织四部门推荐的14家专家技术评估机构对1000余款常用重点App进行了深度评估,发现大量强制授权、过度索权和超范围收集个人信息问题,对于问题严重且不及时整改的依法予以公开曝光或下架处理
3.涉及公民个人信息的数据库数据安全事件频发2019年针对数据库的密码暴力破解攻击次数日均超过百亿次,数据泄露、非法售卖等事件层出不穷,数据安全与个人隐私面临严重挑战科技公司、电商平台等信息技术服务行业,银行、保险等金融行业以及医疗卫生、交通运输和教育求职等重要行业涉及公民个人信息的数据库数据安全事件频发此外,部分不法分子已将数据非法交易转移至暗网,暗网已成为数据非法交易的重要渠道,涉及银行、证券和网贷等金融行业数据非法售卖事件最多占比达
34.3%,党政机关、教育、各主流电商平台等行业数据被非法售卖的事件也时有发生
五、恶意程序监测数据分析
1.移动互联网恶意程序增量首次出现下降,高危恶意程序的生存空间正在压缩,下架恶意程序数量连续6年下降2019年,新增移动互联网恶意程序279万余个,同比减少L4%根据14年来的监测统计,移动互联网恶意程序新增数量在经历快速增长期、爆发式增长期后,现已进入缓速增长期,并在2019年新增数量首次出现下降趋势2019年出现的移动互联网恶意程序主要集中在Android平台,根据《移动互联网恶意程序描述格式》YD/T2439-2012行业标准对恶意程序的行为属性进行统计,具有流氓行为类、资费消耗类等低危恶意行为的App数量占
69.3%,具有远程控制类、恶意扣费类等高危恶意行为的App数量占
10.6%o2019年共处理协调152个应用商店、86个广告平台、63个个人网站以及19个云平台共320个传播渠道,下架App总计3057个,相较2014-2018年期间下架数量分别为
3.9万余个、L7万余个、
0.9万余个、
0.8万余个、3578个,连续6年呈逐年下降趋势
2.以移动互联网仿冒App为代表的“灰色”应用程序大量出现,主要针对金融、交通等重要行业的用户
六、虽然黑色生产资源得到了有效分类,但恶意注册、网络赌博、威胁病毒、挖掘病毒等病毒依然活跃,高强度技术的对抗比较复杂
1.网站数量大幅下降每月活跃“黑卡”总数从约500万个逐步下降到约200万个,降幅超过
60.0虬2019年年底,用于浏览器主页劫持的恶意程序月新增数量由65款降至16款,降幅超过75%;被植入赌博暗链的网站数量从1万余个大幅下降到不超过1000个公安机关在“净网2019”行动中,关掉各类黑产公司210余家,捣毁、关停买卖手机短信验证码或帮助网络账号恶意注册的网络接码平台40余个,抓获犯罪嫌疑人
1.4万余名
2.网络黑客活动的专业化程度和自动化程度正在不断提高,技术的对抗变得越来越激烈2019年监测到各类网络黑产攻击日均70万余次,电商网站、视频直播和棋牌游戏等行业成为网络黑产的主要攻击对象,攻防博弈持续演进
3.勒索病毒活跃程度2019年,CNCERT/CC捕获勒索病毒
73.1万余个,较2018年增长超过4倍,勒索病毒活跃程度持续居高不下分析发现,勒索病毒攻击活动越发具有目标性,且以文件服务器、数据库等存有重要数据的服务器为首要目标,通常利用弱口令、高危漏洞和钓鱼邮件等作为攻击入侵的主要途径或方式
七、网络安全监测和态势感知能力加强控制方案n
1.国家层面工业控制系统网络安全顶层设计不断完善,国家级工业控制系统网络安全监测和态势感知能力不断提升
2.工业控制系统产品漏洞数量居高不下
3.互联网侧暴露面持续扩大,新技术的应用给工业控制系统带来了新的安全隐患网络安全监测数据分析
一、恶意软件
1.控制服务器地址分布2019年,我国境内感染计算机恶意程序的主机数量为
581.88万台,同比下降
11.3虬位于境外的约
5.6万个计算机恶意程序控制服务器控制了我国境内约552万台主机,就控制服务器所属国家和地区来看,位于美国、日本和中国香港地区的控制服务器数量分列前3位就所控制我国境内主机数量来看,位于美国、荷兰和法国的控制服务器控制规模分列前3位此外,根据CNCERT/CC抽样监测数据,针对IPv6网络的攻击情况也开始出现,2019年境外约3000个IPv6地址的计算机恶意程序控制服务器控制了我国境内约
4.0万台IPv6地址主机2019年我国境内木马或僵尸程序受控主机IP地址数量占比按地域统计,占比排名前3位的为广东省、江苏省和浙江省在感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量达5612个,规模在10万台主机以上的僵尸网络数量达39个
2.近5年来重变量2019年,CNCERT/CC通过自主捕获和厂商交换新增获得移动互联网恶意程序样本279万余个,同比减少
1.4%,近5年来增速持续保持放缓,并首次出现增量下降通过对移动互联网恶意程序的恶意行为属性统计发现,排名前3位的仍然是流氓行为类、资费消耗类和信息窃取类,占比分别为
36.1%,
33.2%,H.6%o
3.gafcyt家族2019年,CNCERT/CC捕获联网智能设备恶意程序样本约
324.1万个,其中大部分属于Mirai家族和Gafgyt家族(占比
86.1%)服务端传播源IP地址约
2.78万个,其中绝大部分传播源IP地址位于境外(占比
79.9%),我国境内疑似受感染智能设备IP地址数量约
203.8万个(同比上升
31.8%),主要位于浙江省、江苏省、山东省、辽宁省和河南省等,被控联网智能设备日均向1528个目标发起DDS攻击
二、漏洞接收情况2019年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新高,收录安全漏洞数量同比增长了
14.0%,共计16193个,2013年以来每年平均增长率为
12.7%其中,高危漏洞收录数量为4877个(占
30.1%),同比减少
0.4%,但零日漏洞收录数量持续走高,2019年收录的安全漏洞中,零日漏洞收录数量占比
35.2%,达5706个,同比增长
6.0%o按影响对象类型分类统计,占比前3位的为应用程序漏洞(
56.2%)、Web应用漏洞(
23.3%)和操作系统漏洞(
10.3%)o2019年,CNVD继续推进移动互联网、电信行业、工业控制系统和电子政务4类子漏洞库的建设工作,分别新增收录安全漏洞数量1214个(占全年收录数量的
7.5%)、638个(占
3.9%)、443个(占
2.7%)和131个(占
0.8%),其中移动互联网子漏洞库收录数量较2018年增长了
4.2%CNVD全年通报涉及政府机构、重要信息系统等关键信息基础设施安全漏洞事件约
2.9万起,同比大幅增长
42.1虬
三、ddos攻击
1.来自境外的DDos攻击情况2019年,CNCERT/CC持续监测分析来自境外的DDo S攻击流量发现,境外DDo S攻击流量超过10Gbit/s的大流量攻击事件日均120余起境外DDo S攻击的主要攻击方式是UDP Flood,TCP SYNFlood,Memcached Amplification,NTPAmplification,DNS Amplification,这5种DDo S攻击占比达到89%98%的境外DDo S攻击的攻击时长小于30min,攻击目标主要位于浙江省、广东省、江苏省、山东省和北京市等经济较为发达的地区
四、网站安全
1.仿冒页面添加量2019年,监测发现约
8.5万个针对我国境内网站的仿冒页面,页面数量较2018年增长了
59.7%从承载仿冒页面的IP地址归属情况来看,绝大多数位于境外,主要分布在中国香港地区o和美国
2.网站植入时代分析2019年,CNCERT/CC监测到我国境内外约
4.5万个IP地址对我国境内约
8.5万个网站植入后门,我国境内被植入后门的网站数量较2018年增长超过
2.59倍其中,约有4万个境外IP地址占全部IP地址总数的
90.9%对我国境内约8万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的
33.5%,其次是位于英国和中国香港地区的IP地址
3.被植入暗链的网站比例大幅下降2019年,我国境内遭篡改的网站约有
18.6万个,其中被篡改的政府网站有515个从网页遭篡改的方式来看,被植入暗链的网站占全部被篡改网站的比例大幅下降,占比较小;从域名类型来看,2019年我国境内被篡改的网站中,代表商业机构的网站.com最多,占
75.2%,其次是网络组织类.net网站、非营利组织类.org网站,分别占
4.7%和
1.2%0
五、提出攻击次数a云平台作为控制端发起DDo S攻击的次数占我国境内控制端发起DDo S攻击次数的
86.0%,作为木马和僵厂网络恶意程序控制的被控端IP地址数量占我国境内全部被控端IP地址数量的
89.3%,承载的恶意程序种类数量占我国境内互联网上承载的恶意程序种类数量的
81.0%o
六、工业控制系统的安全
1.主要设备类型2019年,暴露在互联网上的工业设备7325台,比2018年增加
21.7%涉及39家国内外知名厂商的可编程逻辑控制器、智能楼宇类设备和数据采集监控服务器等50种设备类型,且存在高危漏洞隐患的设备占比约35%医疗健康、电力、石油天然气、煤炭和城市轨道交通等重点行业暴露的联网监控管理系统2249套,相比2018年增加了
21.9%,其中医疗健康行业709套、电力653套、石油天然气584套、煤炭203套和城市轨道交通100套,涉及的类型包括企业生产管理、企业经营管理、行业云平台和政府监督等
2.工业云平台网络攻击的威胁2019年,我国大型工业互联网云平台持续遭受来自境外的网络攻击,平均攻击次数达90次/日,较2018年提升了43%涉及Web应用攻击、命令注入攻击和漏洞利用攻击等,工业云平台承载着大量接入设备、业务系统,以及企业、个人信息和重要数据,使其成为网络攻击的重点目标2019年CNCERT/CC通过互联网监测和定位发现,关键信息基础设施行业有1773台打印机连接在互联网上,其中工业领域相关的打印机有78台,涉及石油、电力、煤炭和制造等行业2020关于网络安全的规划和政策的建议
一、行业十件大事相关的网络安全预计2020年,我国更多网络安全政策法规与治理措施将陆续出台实施,网络安全治理力度将进一步加大,但网络空间也将面临一些新问题与新挑战2020年值得关注的网络安全方向如下规模性、破坏性急剧上升成为有组织网络攻击新特点;体系化协同防护将成关键信息基础设施网络安全保障新趋势;政策法规与执法监管多管齐下为数据安全和个人信息保护提供新指引;精准网络勒索集中转向中小型企事业单位成为网络黑产新动向;远程协同热度突增引发新兴业态网络安全风险新思考;5G等新技术新应用大量涌现或面临网络安全新挑战
二、加强网络安全人才队伍建设1强化关键信息基础设施保护;⑵提升数据安全管理和个人信息保护力度;⑶加快网络安全核心技术创新突破;4壮大网络安全技术产业规模和网络安全人才队伍;⑸扩大国内外网络安全合作综上,网络安全监察虽稍有成效,但任重道远。