2019年中國互聯網網絡安全報告出爐

孫友添

近日，國家互聯網應急中心公布了《2019年中國互聯網網絡安全報告》（以下簡稱《報告》）。其中，2019年全年捕獲計算機惡意程序樣本數量超過6 200萬個，日均傳播次數達824萬余次，涉及計算機惡意程序家族66萬余個。

據悉，按照傳播來源統計，位于境外的主要來自美國、俄羅斯和加拿大等國家和地區。其中，美國占53.5 %。而按照目標IP地址統計，我國境內受計算機惡意程序攻擊的IP地址約6 762萬個，占我國IP地址總數的18.3 %，主要集中在山東省、江蘇省和浙江省等，分別占8.8 %、8.4 %和8.1 %。

在木馬和僵尸程序方面，我國境內木馬或僵尸程序受控主機IP地址數量占比按地域統計，占比排名前3位的為廣東省、江蘇省和浙江省。在感染計算機惡意程序而形成的僵尸網絡中，規模在100臺主機以上的僵尸網絡數量達5 612個，規模在10萬臺主機以上的僵尸網絡數量達39個。

2019年網絡安全狀況綜述

2019年，在我國相關部門持續開展的網絡安全威脅治理下，分布式拒絕服務攻擊（以下簡稱DDoS攻擊）、高級持續性威脅攻擊（APT攻擊）、漏洞威脅、數據安全隱患、移動互聯網惡意程序、網絡黑灰色產業鏈（以下簡稱黑灰產）和工業控制系統安全威脅總體下降，但呈現出許多新的特點，帶來新的風險與挑戰。

一、黨政機關、關鍵信息基礎設施等重要單位防護能力顯著增強，但DDoS攻擊呈現高發頻發態勢，攻擊組織性和目的性更加凸顯

1.可被利用實施DDoS攻擊的我國境內攻擊資源穩定性持續降低，數量逐年遞減，但攻擊資源遷往境外，處置難度提高

與2018年相比，我國境內控制端、反射服務器等資源按月變化速度加快、消亡率明顯上升、新增率降低、可被利用的資源活躍時間和數量明顯減少———每月可被利用的我國境內活躍控制端IP地址數量同比減少15.0 %、活躍反射服務器同比減少34.0 %。在治理行動的持續高壓下，DDoS攻擊資源大量向境外遷移，DDoS攻擊的控制端數量和來自境外的反射攻擊流量的占比均超過90.0 %。攻擊我國目標的大規模DDoS攻擊事件中，來自境外的流量占比超過50.0%。

2.針對黨政機關、關鍵信息基礎設施等重要單位發動攻擊的組織性、目的性更加明顯，同時重要單位的防護能力也顯著加強

2019年，我國黨政機關、關鍵信息基礎設施運營單位的信息系統頻繁遭受DDoS攻擊，大部分單位通過部署防護設備或購買云防護服務等措施加強自身防護能力。CNCERT/CC跟蹤發現的某黑客組織2019年對我國300余個政府網站發起了1 000余次DDoS攻擊，在初期其攻擊可導致80.0 %以上的攻擊目標網站正常服務受到不同程度影響，但后期其攻擊已無法對攻擊目標網站帶來實質傷害，說明被攻擊單位的防護能力已得到大幅提升。

3. DDoS攻擊依然呈現高發頻發態勢，仍有大量物聯網設備被入侵控制后用于發動DDoS攻擊

我國發生攻擊流量峰值超過10 Gbit/s的大流量攻擊事件日均約220起，同比增加40.0 %。由于我國加大對Mirai、Gafgyt等物聯網僵尸網絡控制端的治理力度，2019年物聯網僵尸網絡控制端消亡速度加快、活躍時間普遍較短，難以形成較大的控制規模，Mirai、Gafgyt等惡意程序控制端IP地址日均活躍數量呈現下降態勢，單個IP地址活躍時間在3天以下的占比超過60.0 %，因此，物聯網設備參與DDoS攻擊活躍度在2019年后期也呈下降走勢。盡管如此，在監測發現的僵尸網絡控制端中，物聯網僵尸網絡控制端數量占比仍超過54.0 %，其參與發起的DDoS攻擊的次數占比也超過50.0 %。未來將有更多的物聯網設備接入網絡，如果其安全性不能提高，必然會給網絡安全的防御和治理帶來更多困難。

二、APT攻擊監測與應急處置力度加大，釣魚郵件防范意識繼續提升，但APT攻擊逐步向各重要行業領域滲透，在重大活動和敏感時期更加猖獗

1.投遞高誘惑性釣魚郵件是大部分APT組織常用技術手段，我國重要行業部門對釣魚郵件防范意識不斷提高

2019年，CNCERT/CC監測到重要黨政機關部門遭受釣魚郵件攻擊數量達56萬多次，月均4.6萬余次，其中攜帶漏洞利用惡意代碼的Office文檔成為主要載荷，主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882等。

2.攻擊領域逐漸由黨政機關、科研院所向各重要行業領域滲透

2019年，我國持續遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30余個APT組織的網絡竊密攻擊，國家網絡空間安全受到嚴重威脅。境外APT組織不僅攻擊我國黨政機關、國防軍工和科研院所，還進一步向“一帶一路”、基礎行業、物聯網以及供應鏈等領域擴展延伸，電信、外交、能源、商務、金融、軍工和海洋等領域成為境外APT組織重點攻擊對象。

3.APT攻擊在我國重大活動和敏感時期更為猖獗頻繁

境外APT組織習慣使用當下熱點時事或與攻擊目標工作相關的內容作為郵件主題，特別是瞄準我國重要攻擊目標，持續反復進行滲透和橫向擴展攻擊，并在我國重大活動和敏感時期異常活躍。

三、重大安全漏洞應對能力不斷強化，但事件型漏洞和高危零日漏洞數量上升，信息系統面臨的漏洞威脅形勢更加嚴峻

1.我國漏洞信息共享與通報處置工作持續加強

2019年，國家信息安全漏洞共享平臺（CNVD）聯合國內產品廠商、網絡安全企業、科研機構和個人白帽子等相關力量，共同完成對約3.2萬起漏洞事件的驗證、通報和處置工作，同比上漲56.0 %。

2.漏洞數量和影響范圍仍然大幅增加

一是披露的通用軟硬件漏洞數量持續增長，且影響面大、范圍廣。2019年，CNVD新收錄通用軟硬件漏洞數量創下歷史新高，達16 193個，同比增長14.0 %。

位于我國境內的RDP（IP地址）規模就高達193.0萬余個，其中大約有34.9萬個受此漏洞影響。此外，移動互聯網行業安全漏洞數量持續增長，2019年，CNVD共收錄移動互聯網行業漏洞1 324個，較2018年同期1 165個增加了13.6 %，智能終端藍牙通信協議、智能終端操作系統、App客戶端應用程序和物聯網設備等均被曝光存在安全漏洞。

二是2019年我國事件型漏洞數量大幅上升。CNVD接收的事件型漏洞數量約14.1萬條，首次突破10萬條，較2018年同比大幅增長227 %。

三是高危零日漏洞占比增大。近5年來，零日漏洞（指CNVD收錄該漏洞時還未公布補丁）收錄數量持續走高，年均增長率達47.5 %。2019年收錄的零日漏洞數量繼續增長，占總收錄漏洞數量的35.2 %，同比增長6.0 %。

四、數據風險監測與預警防護能力提升，但數據安全防護意識依然薄弱，大規模數據泄露事件頻發

1.數據安全保護力度繼續加強

2019年，CNCERT/CC加強監測發現、協調處置，全年累計發現我國重要數據泄露風險與事件3 000余起，支撐中央網信辦重點對其中400余起存儲有重要數據或大量公民個人信息數據的事件進行了應急處置。MongoDB，ElasticSearch，SQL Server，MySQL，Redis等主流數據庫的弱口令漏洞、未授權訪問漏洞導致數據泄露，成為2019年數據泄露風險與事件的突出特點。

2. App違法違規收集使用個人信息治理持續推進

截至2019年12月底，共受理網民有效舉報信息1.2萬余條，核驗問題App 2 300余款；組織四部門推薦的14家專家技術評估機構對1 000余款常用重點App進行了深度評估，發現大量強制授權、過度索權和超范圍收集個人信息問題，對于問題嚴重且不及時整改的依法予以公開曝光或下架處理。

3.涉及公民個人信息的數據庫數據安全事件頻發

2019年針對數據庫的密碼暴力破解攻擊次數日均超過百億次，數據泄露、非法售賣等事件層出不窮，數據安全與個人隱私面臨嚴重挑戰。科技公司、電商平臺等信息技術服務行業，銀行、保險等金融行業以及醫療衛生、交通運輸和教育求職等重要行業涉及公民個人信息的數據庫數據安全事件頻發。

此外，部分不法分子已將數據非法交易轉移至暗網，暗網已成為數據非法交易的重要渠道，涉及銀行、證券和網貸等金融行業數據非法售賣事件最多占比達34.3 %，黨政機關、教育、各主流電商平臺等行業數據被非法售賣的事件也時有發生。

五、惡意程序增量首次下降，但“灰色”應用程序大量出現，針對重要行業安全威脅更加明顯

1.移動互聯網惡意程序增量首次出現下降，高危惡意程序的生存空間正在壓縮，下架惡意程序數量連續6年下降

2019年，新增移動互聯網惡意程序279萬余個，同比減少1.4 %。根據14年來的監測統計，移動互聯網惡意程序新增數量在經歷快速增長期、爆發式增長期后，現已進入緩速增長期，并在2019年新增數量首次出現下降趨勢。

2019年出現的移動互聯網惡意程序主要集中在Android平臺，根據《移動互聯網惡意程序描述格式》（YD/T 2439-2012）行業標準對惡意程序的行為屬性進行統計，具有流氓行為類、資費消耗類等低危惡意行為的App數量占69.3 %，具有遠程控制類、惡意扣費類等高危惡意行為的App數量占10.6 %。

2019年共處理協調152個應用商店、86個廣告平臺、63個個人網站以及19個云平臺共320個傳播渠道，下架App總計3 057個，相較2014 - 2018年期間下架數量分別為3.9萬余個、1.7萬余個、0.9萬余個、0.8萬余個、3 578個，連續6年呈逐年下降趨勢。

2.以移動互聯網仿冒App為代表的“灰色”應用程序大量出現，主要針對金融、交通等重要行業的用戶

六、黑產資源得到有效清理，但惡意注冊、網絡賭博、勒索病毒、挖礦病毒等依然活躍，高強度技術對抗更加激烈

1.網絡黑產打擊取得階段性成果

每月活躍“黑卡”總數從約500萬個逐步下降到約200萬個，降幅超過60.0 %。2019年年底，用于瀏覽器主頁劫持的惡意程序月新增數量由65款降至16款，降幅超過75 %；被植入賭博暗鏈的網站數量從1萬余個大幅下降到不超過1 000個。公安機關在“凈網2019”行動中，關掉各類黑產公司210余家，搗毀、關停買賣手機短信驗證碼或幫助網絡賬號惡意注冊的網絡接碼平臺40余個，抓獲犯罪嫌疑人1.4萬余名。

2.網絡黑產活動專業化、自動化程度不斷提升，技術對抗越發激烈

2019年監測到各類網絡黑產攻擊日均70萬余次，電商網站、視頻直播和棋牌游戲等行業成為網絡黑產的主要攻擊對象，攻防博弈持續演進。

3.勒索病毒、挖礦木馬在黑產刺激下持續活躍

2019年，CNCERT/CC捕獲勒索病毒73.1萬余個，較2018年增長超過4倍，勒索病毒活躍程度持續居高不下。分析發現，勒索病毒攻擊活動越發具有目標性，且以文件服務器、數據庫等存有重要數據的服務器為首要目標，通常利用弱口令、高危漏洞和釣魚郵件等作為攻擊入侵的主要途徑或方式。

七、工業控制系統網絡安全在國家層面頂層設計進一步完善，但工業控制系統產品安全問題依然突出，新技術應用帶來新安全隱患更加嚴峻

1.國家層面工業控制系統網絡安全頂層設計不斷完善，國家級工業控制系統網絡安全監測和態勢感知能力不斷提升。

2.工業控制系統產品漏洞數量居高不下。

3.互聯網側暴露面持續擴大，新技術的應用給工業控制系統帶來了新的安全隱患。

網絡安全監測數據分析

一、惡意程序

1.計算機惡意程序用戶感染情況

2019年，我國境內感染計算機惡意程序的主機數量為581.88萬臺，同比下降11.3 %。

位于境外的約5.6萬個計算機惡意程序控制服務器控制了我國境內約552萬臺主機，就控制服務器所屬國家和地區來看，位于美國、日本和中國香港地區的控制服務器數量分列前3位。

就所控制我國境內主機數量來看，位于美國、荷蘭和法國的控制服務器控制規模分列前3位。

此外，根據CNCERT/CC抽樣監測數據，針對IPv6網絡的攻擊情況也開始出現，2019年境外約3 000個IPv6地址的計算機惡意程序控制服務器控制了我國境內約4.0萬臺IPv6地址主機。

2019年我國境內木馬或僵尸程序受控主機IP地址數量占比按地域統計，占比排名前3位的為廣東省、江蘇省和浙江省。

在感染計算機惡意程序而形成的僵尸網絡中，規模在100臺主機以上的僵尸網絡數量達5 612個，規模在10萬臺主機以上的僵尸網絡數量達39個。

2.移動互聯網惡意程序捕獲情況

2019年，CNCERT/CC通過自主捕獲和廠商交換新增獲得移動互聯網惡意程序樣本279萬余個，同比減少1.4%，近5年來增速持續保持放緩，并首次出現增量下降。

通過對移動互聯網惡意程序的惡意行為屬性統計發現，排名前3位的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為36.1 %，33.2 %，11.6 %。

3.聯網智能設備惡意程序捕獲情況

2019年，CNCERT/CC捕獲聯網智能設備惡意程序樣本約324.1萬個，其中大部分屬于Mirai家族和Gafgyt家族（占比86.1 %）。服務端傳播源IP地址約2.78萬個，其中絕大部分傳播源IP地址位于境外（占比79.9 %），我國境內疑似受感染智能設備IP地址數量約203.8萬個（同比上升31.8 %），主要位于浙江省、江蘇省、山東省、遼寧省和河南省等，被控聯網智能設備日均向1528個目標發起DDoS攻擊。

二、安全漏洞

2019年，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數量創下歷史新高，收錄安全漏洞數量同比增長了14.0 %，共計16 193個，2013年以來每年平均增長率為12.7 %。其中，高危漏洞收錄數量為4 877個（占30.1 %），同比減少0.4 %，但零日漏洞收錄數量持續走高，2019年收錄的安全漏洞中，零日漏洞收錄數量占比35.2 %，達5 706個，同比增長6.0%。

按影響對象類型分類統計，占比前3位的為應用程序漏洞（56.2 %）、Web應用漏洞（23.3 %）和操作系統漏洞（10.3 %）。

2019年，CNVD繼續推進移動互聯網、電信行業、工業控制系統和電子政務4類子漏洞庫的建設工作，分別新增收錄安全漏洞數量1214個（占全年收錄數量的7.5%）、638個（占3.9%）、443個（占2.7 %）和131個（占0.8 %），其中移動互聯網子漏洞庫收錄數量較2018年增長了4.2 %。CNVD全年通報涉及政府機構、重要信息系統等關鍵信息基礎設施安全漏洞事件約2.9萬起，同比大幅增長42.1 %。

三、DDOS攻擊

1.來自境外的DDos攻擊情況

2019年，CNCERT/CC持續監測分析來自境外的DDoS攻擊流量發現，境外DDoS攻擊流量超過10 Gbit/s的大流量攻擊事件日均120余起。境外DDoS攻擊的主要攻擊方式是UDP Flood，TCP SYN Flood，Memcached Amplification，NTP Amplification，DNS Amplification，這5種DDoS攻擊占比達到89 %。98 %的境外DDoS攻擊的攻擊時長小于30 min，攻擊目標主要位于浙江省、廣東省、江蘇省、山東省和北京市等經濟較為發達的地區。

四、網站安全

1.網頁仿冒

2019年，監測發現約8.5萬個針對我國境內網站的仿冒頁面，頁面數量較2018年增長了59.7 %。從承載仿冒頁面的IP地址歸屬情況來看，絕大多數位于境外，主要分布在中國香港地區和美國。

2.網站后門

2019年，CNCERT/CC監測到我國境內外約4.5萬個IP地址對我國境內約8.5萬個網站植入后門，我國境內被植入后門的網站數量較2018年增長超過2.59倍。其中，約有4萬個境外IP地址（占全部IP地址總數的90.9 %）對我國境內約8萬個網站植入后門，位于美國的IP地址最多，占境外IP地址總數的33.5 %，其次是位于英國和中國香港地區的IP地址。

3.網頁篡改

2019年，我國境內遭篡改的網站約有18.6萬個，其中被篡改的政府網站有515個。從網頁遭篡改的方式來看，被植入暗鏈的網站占全部被篡改網站的比例大幅下降，占比較小；從域名類型來看，2019年我國境內被篡改的網站中，代表商業機構的網站（.com）最多，占75.2 %，其次是網絡組織類（.net）網站、非營利組織類（.org）網站，分別占4.7 %和1.2 %。

五、云平臺安全

云平臺作為控制端發起DDoS攻擊的次數占我國境內控制端發起DDoS攻擊次數的86.0 %，作為木馬和僵尸網絡惡意程序控制的被控端IP地址數量占我國境內全部被控端IP地址數量的89.3 %，承載的惡意程序種類數量占我國境內互聯網上承載的惡意程序種類數量的81.0 %。

六、工業控制系統安全

1.工業控制系統互聯網側暴露情況

2019年，暴露在互聯網上的工業設備7 325臺，比2018年增加21.7 %。

涉及39家國內外知名廠商的可編程邏輯控制器、智能樓宇類設備和數據采集監控服務器等50種設備類型，且存在高危漏洞隱患的設備占比約35 %。醫療健康、電力、石油天然氣、煤炭和城市軌道交通等重點行業暴露的聯網監控管理系統2 249套，相比2018年增加了21.9 %，其中醫療健康行業709套、電力653套、石油天然氣584套、煤炭203套和城市軌道交通100套，涉及的類型包括企業生產管理、企業經營管理、行業云平臺和政府監督等。

2.工業控制系統互聯網側威脅監測情況

2019年，我國大型工業互聯網云平臺持續遭受來自境外的網絡攻擊，平均攻擊次數達90次/日，較2018年提升了43 %。涉及Web應用攻擊、命令注入攻擊和漏洞利用攻擊等，工業云平臺承載著大量接入設備、業務系統，以及企業、個人信息和重要數據，使其成為網絡攻擊的重點目標。

2019年CNCERT/CC通過互聯網監測和定位發現，關鍵信息基礎設施行業有1 773臺打印機連接在互聯網上，其中工業領域相關的打印機有78臺，涉及石油、電力、煤炭和制造等行業。

2020網絡安全關注方向預測及政策建議

一、方向預測

預計2020年，我國更多網絡安全政策法規與治理措施將陸續出臺實施，網絡安全治理力度將進一步加大，但網絡空間也將面臨一些新問題與新挑戰。2020年值得關注的網絡安全方向如下：

規模性、破壞性急劇上升成為有組織網絡攻擊新特點；

體系化協同防護將成關鍵信息基礎設施網絡安全保障新趨勢；

政策法規與執法監管多管齊下為數據安全和個人信息保護提供新指引；

精準網絡勒索集中轉向中小型企事業單位成為網絡黑產新動向；

遠程協同熱度突增引發新興業態網絡安全風險新思考；

5G等新技術新應用大量涌現或面臨網絡安全新挑戰。

二、對策建議

①強化關鍵信息基礎設施保護；

②提升數據安全管理和個人信息保護力度；

③加快網絡安全核心技術創新突破；

④壯大網絡安全技術產業規模和網絡安全人才隊伍；

⑤擴大國內外網絡安全合作。

綜上，網絡安全監察雖稍有成效，但任重道遠。