《2011中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》

《2011中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》

2011年，在政府相關(guān)部門、互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)和網(wǎng)民的共同努力下，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況繼續(xù)保持平穩(wěn)狀態(tài)，未發(fā)生造成大范圍影響的重大網(wǎng)絡(luò)安全事件，基礎(chǔ)信息網(wǎng)絡(luò)防護(hù)水平明顯提升，政府網(wǎng)站安全事件顯著減少，網(wǎng)絡(luò)安全事件處置速度明顯加快，但以用戶信息泄露為代表的與網(wǎng)民利益密切相關(guān)的事件，引起了公眾對(duì)網(wǎng)絡(luò)安全的廣泛關(guān)注。本綜述著重對(duì)2011年互聯(lián)網(wǎng)安全威脅的一些新特點(diǎn)和趨勢(shì)進(jìn)行了分析和總結(jié)。一、我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視。根據(jù)工信部組織開展的2011年通信網(wǎng)絡(luò)安全防護(hù)檢查情況，基礎(chǔ)電信運(yùn)營企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較2010年均有所提高，對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大，網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升，對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng)，網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高，各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%，較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢(shì)。但是，基礎(chǔ)電信運(yùn)營企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。據(jù)抽查結(jié)果顯示，域名解析系統(tǒng)（DNS）、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)的百分比分別為6.8%、17.3%和0.6%。涉及基礎(chǔ)電信運(yùn)營企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國家信息安全漏洞共享平臺(tái)（CNVD）收錄的漏洞統(tǒng)計(jì)，2011年發(fā)現(xiàn)涉及電信運(yùn)營企業(yè)網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）的漏洞203個(gè)，其中高危漏洞73個(gè)；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè)，應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）監(jiān)測，2011年每天發(fā)生的分布式拒絕服務(wù)攻擊（DDoS）事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無法解析。8月18日晚和19日晚，新疆某運(yùn)營商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無法正常使用互聯(lián)網(wǎng)。（二）政府網(wǎng)站安全事件顯著減少，網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注。據(jù)CNCERT監(jiān)測，2011年中國大陸被篡改的政府網(wǎng)站為2807個(gè)，比2010年大幅下降39.4%；從CNCERT專門面向國務(wù)院部門門戶網(wǎng)站的安全監(jiān)測結(jié)果來看，國務(wù)院部門門戶網(wǎng)站存在低級(jí)別安全風(fēng)險(xiǎn)的比例從2010年的60%進(jìn)一步降低為50%。但從整體來看，2011年網(wǎng)站安全情況有一定惡化趨勢(shì)。在CNCERT接收的網(wǎng)絡(luò)安全事件（不含漏洞）中，網(wǎng)站安全類事件占到61.7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接收的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個(gè)，涉及帳號(hào)、密碼信息2.78億條，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)，我國部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ)，相關(guān)漏洞修補(bǔ)不及時(shí)，安全防護(hù)水平較低。（三）我國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。黑影服務(wù)器-僵尸網(wǎng)絡(luò)控制端數(shù)量排名（2012年3月14日）麥咖啡賽門鐵克賽門鐵克——病毒郵件排名（2011年11月）賽門鐵克——釣魚網(wǎng)站排名（2011年11月）賽門鐵克-垃圾郵件數(shù)量排名（2011年11月）索菲斯索菲斯—垃圾郵件排名2011年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，境外有近4.7萬個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國境內(nèi)主機(jī)，雖然其數(shù)量較2010年的22.1萬大幅降低，但其控制的境內(nèi)主機(jī)數(shù)量卻由2010年的近500萬增加至近890萬，呈現(xiàn)大規(guī)?；厔?shì)。其中位于日本（22.8%）、美國（20.4%）和韓國（7.1%）的控制服務(wù)器IP數(shù)量居前三位，美國繼2009年和2010年兩度位居榜首后，2011年其控制服務(wù)器IP數(shù)量下降至第二，以9528個(gè)IP控制著我國境內(nèi)近885萬臺(tái)主機(jī)，控制我國境內(nèi)主機(jī)數(shù)仍然高居榜首。在網(wǎng)站安全方面，境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁篡改；境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，其中美國有3328個(gè)IP（占28.1%）控制著境內(nèi)3437個(gè)網(wǎng)站，位居第一，源于韓國（占8.0%）和尼日利亞（占5.8%）的IP位居第二、三位；仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外，其中美國仍然排名首位——共有481個(gè)IP（占72.1%）仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn)，中國香港（占17.8%）和韓國（占2.7%）分列二、三位?？傮w來看，2011年位于美國、日本和韓國的惡意IP地址對(duì)我國的威脅最為嚴(yán)重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù)，2011年在我國實(shí)施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊(cè)。此外，CNCERT在2011年還監(jiān)測并處理多起境外IP對(duì)我國網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件。這些情況表明我國面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴(yán)重。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。隨著我國網(wǎng)上銀行的蓬勃發(fā)展，廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。2011年初，全國范圍大面積爆發(fā)了假冒中國銀行網(wǎng)銀口令卡升級(jí)的騙局，據(jù)報(bào)道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測，2011年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍，3月-12月發(fā)現(xiàn)針對(duì)我國網(wǎng)銀的釣魚網(wǎng)站域名3841個(gè)。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件，較2010年增長近2.5倍，占總接收事件的35.5%；重點(diǎn)處理網(wǎng)頁釣魚事件1833件，較2010年增長近兩倍。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢(shì)。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作，11月Stuxnet病毒轉(zhuǎn)變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個(gè)對(duì)我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞，但在處置過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展，黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。2011年CNCERT捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè)，較2010年增加超過兩倍。其中，惡意扣費(fèi)類惡意程序數(shù)量最多，為1317個(gè)，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來看，約有60.7%的惡意程序針對(duì)Symbian平臺(tái)，該比例較2010年有所下降，針對(duì)Android平臺(tái)的惡意程序較2010年大幅增加，有望迅速超過Symbian平臺(tái)。2011年境內(nèi)約712萬個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序，嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗。2011年，CNCERT全年共發(fā)現(xiàn)近890萬余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序，較2010年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬余個(gè)，國家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告，2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%，位于較高水平。黑客在瘋狂制造新的惡意程序的同時(shí)，也在想方設(shè)法逃避監(jiān)測和打擊，例如，越來越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測和處置。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢(shì)。2011年，CNVD共收集整理并公開發(fā)布信息安全漏洞5547個(gè)，較2010年大幅增加60.9%。其中，高危漏洞有2164個(gè)，較2010年增加約2.3倍。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。除發(fā)布預(yù)警外，CNVD還重點(diǎn)協(xié)調(diào)處置了大量威脅嚴(yán)重的漏洞，涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁瀏覽器、手機(jī)應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對(duì)安全問題重視不夠，質(zhì)量控制不嚴(yán)格，發(fā)生安全事件后應(yīng)急處置能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大，因此一旦某個(gè)產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞，將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強(qiáng)了對(duì)軟件和網(wǎng)站漏洞的挖掘和攻擊活動(dòng)。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)。2011年，DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一，表現(xiàn)出三個(gè)特點(diǎn)。一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常見虛假源IP地址攻擊事件約占70%，對(duì)其溯源和處置難度較大。二是在經(jīng)濟(jì)利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如2011年針對(duì)浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請(qǐng)求攻擊、UDPFLOOD、TCPSYNFLOOD、HTTP請(qǐng)求攻擊等多種方式，攻擊峰值流量達(dá)數(shù)十個(gè)Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮。2011年多家省部級(jí)政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊，且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭斗引起。二、國內(nèi)網(wǎng)絡(luò)安全應(yīng)對(duì)措施（一）相關(guān)互聯(lián)網(wǎng)主管部門加大網(wǎng)絡(luò)安全行政監(jiān)管力度，堅(jiān)決打擊境內(nèi)網(wǎng)絡(luò)攻擊行為。針對(duì)工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況，工信部在2011年9月專門印發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求。2011年底，工信部印發(fā)了《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》，開展治理試點(diǎn)，加強(qiáng)能力建設(shè)。6月起，工信部組織開展2011年網(wǎng)絡(luò)安全防護(hù)檢查工作，積極將防護(hù)工作向域名服務(wù)和增值電信領(lǐng)域延伸。另外還組織通信行業(yè)開展網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練，指導(dǎo)相關(guān)單位妥善處置網(wǎng)絡(luò)安全應(yīng)急事件等。公安部門積極開展網(wǎng)絡(luò)犯罪打擊行動(dòng)，破獲了2011年12月底CSDN、天涯社區(qū)等數(shù)據(jù)泄漏案等大量網(wǎng)絡(luò)攻擊案件；國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心積極發(fā)揮網(wǎng)絡(luò)安全信息共享平臺(tái)作用，有力支撐各部門做好網(wǎng)絡(luò)安全工作。（二）通信行業(yè)積極行動(dòng)，采取技術(shù)措施凈化公共網(wǎng)絡(luò)環(huán)境。面對(duì)木馬和僵尸程序在網(wǎng)上的橫行和肆虐，在工信部的指導(dǎo)下，2011年CNCERT會(huì)同基礎(chǔ)電信運(yùn)營企業(yè)、域名從業(yè)機(jī)構(gòu)開展14次木馬和僵尸網(wǎng)絡(luò)專項(xiàng)打擊行動(dòng)，次數(shù)比去年增加近一倍。成功處置境內(nèi)外5078個(gè)規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端和惡意程序傳播源。此外，CNCERT全國各分中心在當(dāng)?shù)赝ㄐ殴芾砭值闹笇?dǎo)下，協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運(yùn)營企業(yè)分公司合計(jì)處置木馬和僵尸網(wǎng)絡(luò)控制端6.5萬個(gè)、受控端93.9萬個(gè)。根據(jù)監(jiān)測，在中國網(wǎng)民數(shù)和主機(jī)數(shù)量大幅增加的背景下，控制端數(shù)量相對(duì)2010年下降4.6%，專項(xiàng)治理工作取得初步成效。（三）互聯(lián)網(wǎng)企業(yè)和安全廠商聯(lián)合行動(dòng)，有效開展網(wǎng)絡(luò)安全行業(yè)自律。2011年CNVD收集整理并發(fā)布漏洞信息，重點(diǎn)協(xié)調(diào)國內(nèi)外知名軟件商處置了53起影響我國政府和重要信息系統(tǒng)部門的高危漏洞。中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANVA）啟動(dòng)聯(lián)盟內(nèi)惡意代碼共享和分析平臺(tái)試點(diǎn)工作，聯(lián)合20余家網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)簽訂遵守《移動(dòng)互聯(lián)網(wǎng)惡意程序描述規(guī)范》，規(guī)范了移動(dòng)互聯(lián)網(wǎng)惡意代碼樣本的認(rèn)定命名，促進(jìn)了對(duì)其的分析和處置工作。中國互聯(lián)網(wǎng)協(xié)會(huì)于2011年8月組織包括奇虎360和騰訊公司在內(nèi)的38個(gè)單位簽署了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》，該公約提倡公平競爭和禁止軟件排斥，一定程度上規(guī)范了終端軟件市場的秩序；在部分網(wǎng)站發(fā)生用戶信息泄露事件后，中國互聯(lián)網(wǎng)協(xié)會(huì)立即召開了“網(wǎng)站用戶信息保護(hù)研討會(huì)”，提出安全防范措施建議。（四）深化網(wǎng)絡(luò)安全國際合作，切實(shí)推動(dòng)跨境網(wǎng)絡(luò)安全事件有效處理。作為我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對(duì)外合作窗口，2011年CNCERT積極推動(dòng)“國際合作伙伴計(jì)劃”，已與40個(gè)國家、79個(gè)組織建立了聯(lián)系機(jī)制，全年共協(xié)調(diào)國外安全組織處理境內(nèi)網(wǎng)絡(luò)安全事件1033起，協(xié)助境外機(jī)構(gòu)處理跨境事件568起。其中包括針對(duì)境內(nèi)的DDoS攻擊、網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)安全事件，也包括針對(duì)境外蘇格蘭皇家銀行網(wǎng)站、德國郵政銀行網(wǎng)站、美國金融機(jī)構(gòu)WellsFargo網(wǎng)站、希臘國家銀行網(wǎng)站和韓國農(nóng)協(xié)銀行網(wǎng)站等金融機(jī)構(gòu)，加拿大稅務(wù)總局網(wǎng)站、韓國政府網(wǎng)站等政府機(jī)構(gòu)的事件。另外CNCERT再次與微軟公司聯(lián)手，繼2010年打擊Waledac僵尸網(wǎng)絡(luò)后，2011年又成功清除了Rustock僵尸網(wǎng)絡(luò)，積極推動(dòng)跨境網(wǎng)絡(luò)安全事件的處理。2011年，CNCERT圓滿完成了與美國東西方研究所（EWI）開展的為期兩年的中美網(wǎng)絡(luò)安全對(duì)話機(jī)制反垃圾郵件專題研討，并在英國倫敦和我國大連舉辦的國際會(huì)議上正式發(fā)布了中文版和英文版的成果報(bào)告“抵御垃圾郵件建立互信機(jī)制”，增進(jìn)了中美雙方在網(wǎng)絡(luò)安全問題上的相互了解，為進(jìn)一步合作打下基礎(chǔ)。三、2012年值得關(guān)注的網(wǎng)絡(luò)安全熱點(diǎn)問題隨著我國互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的快速發(fā)展，2012年的網(wǎng)絡(luò)安全形勢(shì)將更加復(fù)雜，尤其需要重點(diǎn)關(guān)注如下幾方面問題：（一）網(wǎng)站安全面臨的形勢(shì)可能更加嚴(yán)峻，網(wǎng)站中集中存儲(chǔ)的用戶信息將成為黑客竊取的重點(diǎn)。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差，其中存儲(chǔ)的用戶信息極易被竊取，黑客在得手之后會(huì)進(jìn)一步研究利用所竊取的個(gè)