2019年中国互联网网络安全报告.pdf_报告吧baogao8.com-

资源描述

关于国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心（中文简称“国家互联网应急中心”，英文缩写“CNCERT”或“CNCERT/CC”），成立于 2001年8月，为非政府非盈利的网络安全技术中心，是中国计算机网络应急技术处理体系中的牵头单位。作为国家级应急中心，CNCERT/CC的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障关键信息基础设施的安全运行。 CNCERT/CC的业务范围及能力如下。事件发现。 CNCERT/CC 依托公共互联网网络安全监测平台开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测。同时还通过与国内外合作伙伴进行数据和信息共享，以及通过热线电话、传真、电子邮箱、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件。预警通报。 CNCERT/CC依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等，为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。应急处置。对于自主发现和接收到的危害较大的事件报告，CNCERT/CC 及时响应并积极协调处置，重点处置的事件包括：影响互联网运行安全的事件，波及较大范围互联网用户的事件，涉及重要政府部门和重要信息系统的事件，用户投诉造成较大影响的事件，以及境外国家级应急组织投诉的各类网络安全事件等。测试评估。作为网络安全检测、评估的专业机构，按照“支撑监管，服务社会” 的原则，以科学的方法、规范的程序、公正的态度、独立的判断，按照相关标准为政府部门、企事业单位提供安全评测服务。CNCERT/CC 还组织通信网络安全相关标准制定，参与电信网和互联网安全防护系列标准的编制等。 CNCERT/CC 的主要合作体系如下。中国互联网网络安全报告国家计算机网络应急技术处理协调中心著人民邮电出版社北京年 2019中国互联网网络安全报告.indd 4 2020/5/16 11:17:54 国内合作。作为中国计算机网络应急技术处理体系中的牵头单位，CNCERT/CC 通过组织网络安全企业、学校、社会组织和研究机构，协调骨干网络运营单位、域名服务机构和其他应急组织等，构建中国互联网安全应急体系，共同处理各类互联网重大网络安全事件。CNCERT/CC积极发挥行业联动合力，发起成立了国家信息安全漏洞共享平台（CNVD）、中国反网络病毒联盟（ANVA）和中国互联网网络安全威胁治理联盟（CCTGA），与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制，加强网络安全信息共享和技术合作。CNCERT/CC通过公开选拔方式，选择部分在中国境内从事公共互联网网络安全服务的机构作为 “CNCERT/CC网络安全应急服务支撑单位”。在 CNCERT/CC的统一协调与指导下，各应急服务支撑单位共同参与中国互联网安全事件的应急处理工作，维护公共互联网网络安全。目前，CNCERT/CC共有103家应急服务支撑单位，其中国家级11家，省级69家，反网络诈骗领域5家，工业控制领域18家。国际合作。 CNCERT/CC积极开展国际合作，致力于构建跨境网络安全事件的快速响应和协调处置机制，是国际著名网络安全合作组织 FIRST 的正式成员，以及亚太应急组织APCERT的发起者之一。截至2019年年底，CNCERT/CC 已与 78个国家和地区的260个组织建立了“CNCERT/CC国际合作伙伴”关系，与其中的31个组织签订了网络安全合作协议。CNCERT/CC还积极参加亚太经合组织、国际电联、上合组织、东盟、金砖等政府层面国际和区域组织的网络安全相关工作。联系方式 CNCERT/CC建立了724小时的网络安全事件投诉机制，国内外用户可通过网站、电子邮箱、热线电话、传真， 4 种主要渠道向 CNCERT/CC 投诉网络安全事件。此外，CNCERT/CC通过网站和微信公众号发布网络安全相关信息。网址：电子邮箱：热线电话： +86 10 82990999（中文） +86 10 82991000（English）传真： +86 10 82990399 微信公众号： CNCERTCC 中国互联网网络安全报告国家计算机网络应急技术处理协调中心著人民邮电出版社北京年中国互联网中国互联网中国互联网中国互联网中国互联网中国互联网年中国互联网年中国互联网年年中国互联网年中国互联网 2019中国互联网网络安全报告.indd 4 2020/5/16 11:17:54 内容提要本报告是国家计算机网络应急技术处理协调中心（CNCERT/CC）发布的2019年中国互联网网络安全年报。本报告汇总分析了CNCERT/CC 自有网络安全监测数据和CNCERT/CC网络安全应急服务支撑单位报送的数据，具有重要的参考价值，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中，报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、安全漏洞预警与处置、网络安全事件接收与处理等情况进行深入细致的分析，并对2019 年的典型网络安全事件进行专题介绍。此外，报告对国内网络安全组织发展情况和CNCERT/CC举办的国内外重要活动等进行了总结。最后，报告对2020年网络安全热点问题进行预测。本报告内容依托国家计算机网络应急技术处理协调中心多年来从事网络安全监测、预警和应急处置等工作的实际情况，对我国互联网网络安全状况进行总体判断和趋势分析，可以为主管部门提供监管支撑，为企事业单位提供运行管理技术支持，向社会公众普及互联网网络安全知识，提高全社会、全民的网络安全意识。 2019年中国互联网网络安全报告著国家计算机网络应急技术处理协调中心责任编辑牛晓敏责任印制彭志环人民邮电出版社出版发行北京市丰台区成寿寺路11号邮编 100164 电子邮箱网址印刷开本：7101000 1/1 6 印张：16 2020年7月第1版字数：410千字 2020年7月北京第1次印刷 ISBN xxx-x-xxx-xxxxxx-x 定价：89.00元读者服务热线：（010）81055488 印装质量热线：（010）81055316 反盗版热线：（010）81055315 广告经营许可证：京东工商广登字20170147号 2019年中国互联网网络安全报告编委会主编李湘宁副主编卢卫严寒冰执行编委丁丽李志辉郭晶杨欢欢编委王小群王适文张宇鹏贾子骁何能强徐剑韩志辉张帅徐原肖崇蕙姚力吕志泉朱芸茜刘中金窦禹王一宇苏沐冉信息技术广泛应用和网络空间兴起发展，极大促进经济社会繁荣进步，同时也带来新的安全风险和挑战。网络安全事关人类共同利益，事关世界和平与发展，事关各国国家安全。国家计算机网络应急技术处理协调中心（中文简称“国家互联网应急中心”，英文缩写为“CNCERT”或“CNCERT/CC”）作为非政府非营利的网络安全技术中心，是我国网络安全应急体系的核心技术协调机构。作为国家级应急中心，CNCERT/CC的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障关键信息基础设施的安全运行，开展以互联网金融为代表的“互联网+”融合产业的相关安全监测工作。历经20年的实践，CNCERT/CC已形成多种渠道的网络攻击威胁和安全事件发现能力，与国内外数百个机构和部门建立网络安全信息通报和事件处置协作机制，依托所掌握的丰富的数据资源和信息实现对网络安全威胁和宏观态势的分析预警，在维护我国公共互联网环境安全，保障关键信息基础设施安全运行，保护互联网用户上网安全，宣传网络安全防护意识和知识等方面起到重要作用。自2004年起，CNCERT/CC根据工作中受理、监测和处置的网络攻击事件和安全威胁信息，每年撰写和发布CNCERT/CC 网络安全工作报告，为相关部门和社会公众了解国家网络安全状况和发展趋势提供参考。2008年，在进一步丰富了网络安前言 FOREWORD 全工作情况和数据的基础上，CNCERT/CC网络安全工作报告正式更名为中国互联网网络安全报告。自2010年起， CNCERT/CC精心编制并公开发布年度互联网网络安全态势报告，受到社会各界的广泛关注。 2019年中国互联网网络安全报告汇总分析了 CNCERT/CC自有网络安全监测数据和CNCERT/CC网络安全应急服务支撑单位报送的数据，具有重要的参考价值，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中，报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、安全漏洞预警与处置、网络安全事件接收与处理等情况进行深入细致的分析，并对 2019年的典型网络安全事件进行专题介绍。此外，报告对国内网络安全组织发展情况和CNCERT/CC举办的国内外重要活动等进行了总结。最后，报告对2020年网络安全热点问题进行预测。特别说明： 1）本报告电子版可以在 CNCERT/CC官方网站（cert. cn）免费下载； 2）2019年中国互联网网络安全报告中其他单位所提供数据的真实性和准确性由报送单位负责，CNCERT/CC未做验证。国家计算机网络应急技术处理协调中心 2020年 6 月前言 2019 年网络安全状况综述 .15 1.12019 年我国互联网网络安全状况 .15 1.22019 年我国互联网网络安全监测数据分析 .23 网络安全专题分析 .41 2.12019 年我国境内云网络安全态势专题分析 .41 2.22019 年我国境内数据库隐患排查及处置情况专题分析 .48 2.32019 年我国境内联网智能设备安全态势专题分析 .53 2.42019 年互联网黑灰产防控专题分析 .63 2.5APT 组织“金龟子”最新攻击活动专题分析 .70 2.6南亚.APT.组织最新活动情况专题分析 .85 2.72019 年 Sodinokibi 勒索病毒活跃轨迹专题分析 .90 计算机恶意程序传播和活动情况 .97 3.1木马和僵尸网络监测情况 .97 3.2蠕虫监测情况 .101 3.3恶意程序传播活动监测情况 .103 3.4支撑单位报送情况 .109 2019 年网络安全大事记 .12 01 02 03 目录 CONTENT 中国互联网网络安全报告2019年移动互联网恶意程序传播和活动情况 .121 4.1移动互联网恶意程序监测情况 .121 4.2支撑单位报送情况 .123 网站安全监测情况 .130 5.1网页篡改情况 .130 5.2网站后门情况 .133 5.3网页仿冒情况 .136 5.4支撑单位报送情况 .137 DDoS 攻击监测情况 .151 6.1DDoS 攻击资源监测情况 .151 6.2发起 DDoS 攻击的主流攻击平台监测情况 .160 6.3支撑单位报送情况 .164 安全漏洞通报与处置情况 .168 7.1CNVD 漏洞收录情况 .168 7.2CNVD 行业漏洞库收录情况 .171 7.3漏洞报送和通报处置情况 .172 7.4高危漏洞典型案例 .173 04 05 06 07 目录网络安全事件接收与处置情况 .180 8.1事件接收情况 .180 8.2事件处置情况 .182 网络安全组织发展情况 .185 9.1CNCERT/CC 应急服务支撑单位 .185 9.2CNVD 成员发展情况 .191 9.3ANVA 成员发展情况 .193 9.4CCTGA 成员发展情况 .197 CNCERT/CC 举办的网络安全重要活动 .202 2020 年网络安全关注方向预测及对策建议 .212 11.12020 年网络安全关注方向预测 .212 11.2对策建议 .214 附录：网络安全术语解释 .217 08 09 10 11 中国互联网网络安全报告2019年网络安全等级保护制度2.0 相关标准正式发布国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，网络安全等级保护制度2.0 相关的信息安全技术网络安全等级保护基本要求信息安全技术网络安全等级保护测评要求信息安全技术网络安全等级保护安全设计技术要求等国家标准正式发布，于 2019 年 12 月 1 日开始实施。网络安全威胁信息发布管理办法（征求意见稿）公开征求意见依据中华人民共和国网络安全法等相关法律法规，国家互联网信息办公室公布网络安全威胁信息发布管理办法（征求意见稿），旨在规范发布网络安全威胁信息的行为，有效应对网络安全威胁和风险，保障网络运行安全。第六届世界互联网大会成功举办以“智能互联.开放合作携手共建网络空间命运共同体”为主题的第六届世界互联网大会在浙江乌镇召开，80多个国家和地区约 1,500 名嘉宾参会。国家主席习近平致贺信，指出各国应顺应时代潮流，勇担发展责任，共迎风险挑战，共同推进网络空间全球治理，努力推动构建网络空间命运共同体。中华人民共和国密码法表决通过十三届全国人大常委会第十四次会议表决通过中华人民共和国密码法。中华人民共和国密码法旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法制化水平，是我国密码领域的综合性、基础性法律，于 2020 年 1 月 1 日起施行。 1-12 5.13 11.20 10.20 10.26 2019年1-12月 2019年5月13日 2019年11月20日 2019年10月20-22日 2019年10月26日 2019年国家网络安全宣传周成功举办 2019年国家网络安全宣传周在全国范围内举行，活动深入贯彻落实习近平总书记关于网络强国的重要思想，围绕中华人民共和国成立70周年特别是党的十八大以来网络安全领域取得的重大成就，贯彻落实中华人民共和国网络安全法以及数据安全管理、个人信息保护等方面的法律、法规、标准，发动企业、媒体、社会组织、群众广泛参与。 9.16 2019年9月16-22日 App违法违规收集使用个人信息专项治理有序开展中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局四部门召开新闻发布会，联合发布关于开展App违法违规收集使用个人信息专项治理的公告，于 2019 年 1-12 月，在全国范围组织开展App违法违规收集使用个人信息专项治理。2019 年 11 月 28 日，四部门联合印发App违法违规收集使用个人信息行为认定方法。 2019 年网络安全大事记互联网网站安全专项整治工作开展中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局四部门于 2019 年 5-12 月，联合开展全国范围的互联网网站安全专项整治工作，对未备案或备案信息不准确的网站进行清理，对攻击网站的违法犯罪行为进行严厉打击，对违法违规网站进行处罚和公开曝光。 5-12 2019年5-12月云计算服务安全评估办法发布国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部发布云计算服务安全评估办法，旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。 7.2 2019年7月2日网络安全审查办法（征求意见稿）公开征求意见依据中华人民共和国国家安全法中华人民共和国网络安全法等法律法规，国家互联网信息办公室会同相关部门联合起草网络安全审查办法（征求意见稿），旨在提高关键信息基础设施安全可控水平，维护国家安全。数据安全管理办法（征求意见稿）公开征求意见依据中华人民共和国网络安全法等法律法规，国家互联网信息办公室会同相关部门研究起草了数据安全管理办法（征求意见稿），旨在维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全。个人信息出境安全评估办法（征求意见稿）公开征求意见依据中华人民共和国网络安全法等法律法规，国家互联网信息办公室会同有关部门起草了个人信息出境安全评估办法（征求意见稿），旨在保障数据跨境流动中的个人信息安全，维护网络空间主权、国家安全、社会公共利益，保护公民、法人的合法权益。 5.24 5.28 6.13 2019年5月24日 2019年5月28日 2019年6月13日 2019中国网络安全年会成功举办以“智能感知态势.携手构建安全”为主题的2019年第十六届中国网络安全年会在广州召开。本次大会由国家互联网信息办公室指导，CERT/CC 联合国内 7 家网络安全企业主办，中国通信学会协办，大会发布了2018年中国互联网网络安全报告。 7.17 2019年7月17-18日 15 2019年网络安全状况综述 01 1.1 2019年我国互联网网络安全状况 2019年，在我国相关部门持续开展的网络安全威胁治理下，分布式拒绝服务攻击（以下简称DDoS攻击）、高级持续性威胁攻击（以下简称APT攻击）、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰色产业链（以下简称黑灰产）、工业控制系统安全威胁总体下降，但呈现出许多新的特点，带来新的风险与挑战。 1.1.1 党政机关、关键信息基础设施等重要单位防护能力显著增强，但 DDoS攻击呈现高发频发态势，攻击组织性和目的性更加凸显（1）可被利用实施DDoS攻击的我国境内攻击资源稳定性持续降低，数量逐年递减，攻击资源迁往境外，处置难度提高 2019年，国家计算机网络应急技术处理协调中心（以下简称CNCERT/CC）通过我国DDoS攻击资源月度分析报告 1 定期公布DDoS攻击资源（控制端、被控端、反射服务器、伪造流量来源路由器等）并协调各单位处置。与2018年相比，我国境内控制端、反射服务器等资源按月变化速度加快、消亡率明显上升、新增率降低、可被利用的资源活跃时间和数量明显减少每月可被利用的我国境内活跃控制端IP地址数量同比减少15.0%、活跃反射服务器同比减少34.0%。此外， CNCERT/CC持续跟踪DDoS攻击团伙情况，并配合公安部门治理取得了明显的效 12019 年每月报告链接为：中国互联网网络安全报告2019年 16 果。在治理行动的持续高压下，DDoS攻击资源大量向境外迁移，DDoS攻击的控制端数量和来自境外的反射攻击流量的占比均超过90.0%。攻击我国目标的大规模 DDoS攻击事件中，来自境外的流量占比超过50.0%。（2）针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显，同时重要单位的防护能力也显著加强 2019年，我国党政机关、关键信息基础设施运营单位的信息系统频繁遭受 DDoS攻击，大部分单位通过部署防护设备或购买云防护服务等措施加强自身防护能力。CNCERT/CC跟踪发现的某黑客组织2019年对我国300余个政府网站发起了1000余次DDoS攻击，在初期其攻击可导致80.0%以上的攻击目标网站正常服务受到不同程度影响，但后期其攻击已无法对攻击目标网站带来实质伤害，说明被攻击单位的防护能力已得到大幅提升。（3）DDoS攻击依然呈现高发频发态势，仍有大量物联网设备被入侵控制后用于发动DDoS攻击我国发生攻击流量峰值超过10Gbit/s的大流量攻击事件日均约220起，同比增加40.0%。由于我国加大对Mirai、Gafgyt等物联网僵尸网络控制端的治理力度， 2019年物联网僵尸网络控制端消亡速度加快、活跃时间普遍较短，难以形成较大的控制规模，Mirai、Gafgyt等恶意程序控制端IP地址日均活跃数量呈现下降态势，单个IP地址活跃时间在3天以下的占比超过60.0%，因此，物联网设备参与DDoS 攻击活跃度在2019年后期也呈下降走势。尽管如此，在监测发现的僵尸网络控制端中，物联网僵尸网络控制端数量占比仍超过54.0%，其参与发起的DDoS攻击的次数占比也超过50.0%。未来将有更多的物联网设备接入网络，如果其安全性不能提高，必然会给网络安全的防御和治理带来更多困难。 1.1.2 APT攻击监测与应急处置力度加大，钓鱼邮件防范意识继续提升，但APT攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗（1）投递高诱惑性钓鱼邮件是大部分APT组织常用技术手段，我国重要行业部门对钓鱼邮件防范意识不断提高 2019年，CNCERT/CC监测到重要党政机关部门遭受钓鱼邮件攻击数量达56 万多次，月均4.6万余次，其中携带漏洞利用恶意代码的Office文档成为主要载荷，主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882等。例如“海莲花” 组织利用境外代理服务器为跳板，持续对我国党政机关和重要行业发起钓鱼邮件攻 2019年网络安全状况综述 01 17 击，被攻击单位涉及数十个重要行业、近百个单位和数百个目标。随着近年来APT 攻击手段的不断披露和网络安全知识的宣传普及，我国重要行业部门对钓鱼邮件防范意识不断提高。通过比对钓鱼邮件攻击目标与最终被控目标，发现90.0%以上的鱼叉钓鱼邮件可以被用户识别发现。（2）攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透 2019年，我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击，国家网络空间安全受到严重威胁。境外APT组织不仅攻击我国党政机关、国防军工和科研院所，还进一步向军民融合、“一带一路”、基础行业、物联网和供应链等领域扩展延伸，电信、外交、能源、商务、金融、军工、海洋等领域成为境外APT组织重点攻击对象。（3）APT攻击在我国重大活动和敏感时期更为猖獗频繁境外APT组织习惯使用当下热点时事或与攻击目标工作相关的内容作为邮件主题，特别是瞄准我国重要攻击目标，持续反复进行渗透和横向扩展攻击，并在我国重大活动和敏感时期异常活跃。“蔓灵花”组织就重点围绕我国2019年全国“两会”、新中国成立70周年等重大活动，大幅扩充攻击窃密武器库，利用数十个邮箱发送钓鱼邮件并攻击了近百个目标，向多台重要主机植入了攻击窃密武器，对我国党政机关、能源机构等重要信息系统实施大规模定向攻击。 1.1.3重大安全漏洞应对能力不断强化，但事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻（1）我国漏洞信息共享与通报处置工作持续加强，漏洞应急工作开展卓有成效 2019年，国家信息安全漏洞共享平台（CNVD）联合国内产品厂商、网络安全企业、科研机构、个人白帽子等相关力量，共同完成对约3.2万起漏洞事件的验证、通报和处置工作，同比上涨56.0%；主要完成对微软操作系统远程桌面协议（以下简称RDP）远程代码执行漏洞、WebLogic WLS组件反序列化零日漏洞、ElasticSearch数据库未授权访问漏洞等38起重大风险的应急响应，数量较 2018年上升21%。CNVD联合各支撑单位积极应对上述漏洞威胁，开展技术分析研判、影响范围探测和安全公告发布等应急工作，并第一时间向涉事单位通报漏洞，协调相关方对漏洞及时进行修复和处置。同时，及时公开发布26份影响范围较广的重大安全漏洞通报，使社会公众及时了解漏洞危害，有效化解信息安全漏洞带来的网络安全威胁。中国互联网网络安全报告2019年 18 （2）漏洞数量和影响范围仍然大幅增加，漏洞消控工作依然任重而道远一是披露的通用软硬件漏洞数量持续增长，且影响面大、范围广。2019年， CNVD新收录通用软硬件漏洞数量创下历史新高，达16,193个，同比增长14.0%。这些漏洞影响范围从传统互联网到移动互联网，从操作系统、办公自动化系统（OA）等软件到VPN设备、家用路由器等网络硬件设备，以及芯片、SIM卡等底层硬件，广泛影响我国基础软硬件安全及其上的应用安全以微软RDP远程代码执行漏洞为例，位于我国境内的RDP（IP地址）规模就高达193.0万余个，其中大约有34.9万个受此漏洞影响。此外，移动互联网行业安全漏洞数量持续增长，2019 年，CNVD共收录移动互联网行业漏洞1,324个，较2018年同期1,165个增加了 13.6%，智能终端蓝牙通信协议、智能终端操作系统、App客户端应用程序、物联网设备等均被曝光存在安全漏洞。二是2019年我国事件型漏洞数量大幅上升。CNVD接收的事件型漏洞数量约 14.1万条，首次突破10万条，较2018年同比大幅增长227%。这些事件型漏洞涉及的信息系统大部分属于在线联网系统，一旦漏洞被公开或曝光，如未及时修复，易遭不法分子利用进行窃取信息、植入后门、篡改网页等攻击操作，甚至成为地下黑色产业链（以下简称黑产）进行非法交易的“货物”。三是高危零日漏洞占比增大。近5年来，零日漏洞（指CNVD收录该漏洞时还未公布补丁）收录数量持续走高，年均增长率达47.5%。2019年收录的零日漏洞数量继续增长，占总收录漏洞数量的35.2%，同比增长6.0%。这些漏洞在披露时尚未发布补丁或相应的应急措施，严重威胁我国网络空间安全。 1.1.4数据风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发（1）数据安全保护力度继续加强，及时处置应对大量数据安全事件当前，互联网上数据资源已经成为国家重要战略资源和新生产要素，对经济发展、国家治理、社会管理、人民生活都产生重大影响。2019年，在中共中央网络安全和信息化委员会办公室（以下简称中央网信办）指导下，CNCERT/CC加强监测发现、协调处置，全年累计发现我国重要数据泄露风险与事件3,000余起，支撑中央网信办重点对其中400余起存储有重要数据或大量公民个人信息数据的事件进行了应急处置。MongoDB、ElasticSearch、SQL Server、MySQL、Redis等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露，成为2019年数据泄露风险与事件的突出 2019年网络安全状况综述 01 19 特点。（2）App违法违规收集使用个人信息治理持续推进，工作取得积极成效针对App违法违规收集使用个人信息问题，中央网信办会同工业和信息化部、公安部、国家市场监督管理总局四部门联合开展App违法违规收集使用个人信息专项治理，成立专项治理工作组，制定发布App违法违规收集使用个人信息行为认定方法App违法违规收集使用个人信息自评估指南互联网个人信息安全保护指南；建立公众举报受理渠道，截至2019年12月底，共受理网民有效举报信息 1.2万余条，核验问题App 2,300余款；组织四部门推荐的14家专家技术评估机构对 1,000余款常用重点App进行了深度评估，发现大量强制授权、过度索权、超范围收集个人信息问题，对于问题严重且不及时整改的依法予以公开曝光或下架处理。（3）涉及公民个人信息的数据库数据安全事件频发，违法交易藏入暗网 2019年针对数据库的密码暴力破解攻击次数日均超过百亿次，数据泄露、非法售卖等事件层出不穷，数据安全与个人隐私面临严重挑战。科技公司、电商平台等信息技术服务行业，银行、保险等金融行业以及医疗卫生、交通运输、教育求职等重要行业涉及公民个人信息的数据库数据安全事件频发。国内多家企业上亿份用户简历、智能家居公司过亿条涉及用户相关信息等大规模数据泄露事件在网上相继曝光。此外，部分不法分子已将数据非法交易转移至暗网，暗网已成为数据非法交易的重要渠道，涉及银行、证券、网贷等金融行业数据非法售卖事件最多占比达 34.3%，党政机关、教育、各主流电商平台等行业数据被非法售卖的事件也时有发生。目前我国正在积极推进数据安全管理和个人信息保护立法，但我国数据安全防护水平有待加强，公民个人信息防护意识需进一步提升。 1.1.5恶意程序增量首次下降，但“灰色”应用程序大量出现，针对重要行业安全威胁更加明显（1）移动互联网恶意程序增量首次出现下降，高危恶意程序的生存空间正在压缩，下架恶意程序数量连续6年下降 2019年，新增移动互联网恶意程序279万余个，同比减少1.4%。根据14年来的监测统计，移动互联网恶意程序新增数量在经历快速增长期、爆发式增长期后，现已进入缓速增长期，并在2019年新增数量首次出现下降趋势。2019年出现的移动互联网恶意程序主要集中在Android平台，根据移动互联网恶意程序描述格式（YD/T 2439-2012）行业标准对恶意程序的行为属性进行统计，具有流氓行中国互联网网络安全报告2019年 20 为类、资费消耗类等低危恶意行为的App数量占69.3%，具有远程控制类、恶意扣费类等高危恶意行为的App数量占10.6%。为从源头治理移动互联网恶意程序，有效切断传播源，CNCERT/CC着重处理协调国内已备案的App传播渠道开展恶意 App下架工作，2019年共处理协调152个应用商店、86个广告平台、63个个人网站、19个云平台共320个传播渠道，下架App总计3,057个，相较2014年到2018 年期间下架数量3.9万余个、1.7万余个、0.9万余个、0.8万余个、3,578个，连续6 年呈逐年下降趋势，移动互联网总体安全状况不断好转。（2）以移动互联网仿冒App为代表的“灰色”应用程序大量出现，主要针对金融、交通、等重要行业的用户近年来，随着中华人民共和国网络安全法移动互联网应用程序信息服务管理规定等法律、法规、行业与技术标准的相继出台，我国加大了对应用商店、应用程序的安全管理力度。应用商店对上架App的开发者进行实名审核，对App进行安全检测和内容版权审核等，使得黑产从业人员通过应用商店传播恶意App的难度明显增加，但能够逃避监管并实现不良目的的“擦边球”式的“灰色”应用程序有所增长。例如：具有钓鱼目的、欺诈行为的仿冒App成为黑产从业者重点采用的工具，持续对金融、交通、电信等重要行业的用户形成了较大威胁。2019年，CNCERT/CC通过自主监测和投诉举报的方式捕获大量新出现的仿冒App。这些仿冒App具有容易复制、版本更新频繁、蹭热点快速传播等特点，主要集中在仿冒公检法、银行、社交软件、支付软件、抢票软件等热门应用上，在仿冒方式上以仿冒名称、图标、页面等内容为主，具有很强的欺骗性。针对银行信用卡优惠、办卡等银行类App的仿冒数量最多，其次是仿冒 “最高人民法院”“公安部案件查询系统”“最高人民检察院”等政务类App，以及仿冒“微信”“支付宝”“银联”等社交软件或支付软件。另外还有部分仿冒App在一些特殊时期频繁活跃，例如春运期间出现了大量仿冒“12306”“智行火车票”的App，在“个人所得税”App推出期间出现了大量仿冒应用程序。目前，由于开发者在应用商店申请App上架前，需提交软件著作权等证明材料，因此仿冒App很难在应用商店上架，其流通渠道主要集中在网盘、云盘、广告平台等线上传播渠道。 1.1.6黑产资源得到有效清理，但恶意注册、网络赌博、勒索病毒、挖矿病毒等依然活跃，高强度技术对抗更加激烈（1）网络黑产打击取得阶段性成果在相关部门指导下，2019年CNCERT/CC依托中国互联网网络安全威胁治理 2019年网络安全状况综述 01 21 联盟（CCTGA），加强信息共享，支撑有关部门开展网络黑产治理工作，互联网黑产资源得到有效清理。每月活跃“黑卡”总数从约500万个逐步下降到约200万个，降幅超过60.0%。2019年年底，用于浏览器主页劫持的恶意程序月新增数量由65款降至16款，降幅超过75%；被植入赌博暗链的网站数量从1万余个大幅下降到不超过1,000个，互联网黑产违法犯罪活动得到有力打击。公安机关在“净网 2019”行动中，关掉各类黑产公司210余家，捣毁、关停买卖手机短信验证码或帮助网络账号恶意注册的网络接码平台40余个，抓获犯罪嫌疑人1.4万余名，“黑卡”“黑号”等黑色产业链遭到重创，犯罪分子受到极大震慑。（2）网络黑产活动专业化、自动化程度不断提升，技术对抗越发激烈 2019年，CNCERT/CC监测发现各类黑产平台超过500个，提供手机号资源的接码平台、提供IP地址的秒拨平台、提供支付功能的第四方支付平台和跑分平台、专门进行账号售卖的发卡平台、专门用于赌博网站推广的广告联盟等各类专业黑产平台不断产生。专业化的黑产活动为网络诈骗等网络犯罪活动提供了帮助和支持，加速了网络犯罪的蔓延趋势。例如在“杀猪盘”等网盘诈骗犯罪中，犯罪分子通过个人信息售卖的方式获取精准个人信息，从而了解目标人群的爱好特点；通过恶意注册黑产购买社交账号，这些社交账号经过“养号”，具备完整的社交信息，极具迷惑性；通过黑产工具制作团队，快速开发赌博交友网站App等诈骗工具。与此同时，黑产自动化工具不断出现，黑产从业门槛逐步降低。网络黑产工具可自动化进行恶意注册、薅羊毛、刷量、改机等攻击，一般人员经简单学习后即可操作使用。各类专业的网络黑产平台通过API、易语言模块等方式，提供了标准化接口，网络黑产工具通过调用这些接口集成各类资源，用于网络黑产活动。2019年监测到各类网络黑产攻击日均70万余次，电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象，攻防博弈持续演进。（3）勒索病毒、挖矿木马在黑产刺激下持续活跃在互联网黑产治理的推进过程中，2019年，CNCERT/CC捕获勒索病毒73.1 万余个，较2018年增长超过4倍，勒索病毒活跃程度持续居高不下。分析发现，勒索病毒攻击活动越发具有目标性，且以文件服务器、数据库等存有重要数据的服务器为首要目标，通常利用弱口令、高危漏洞、钓鱼邮件等作为攻击入侵的主要途径或方式。勒索病毒攻击活动表现出越来越强的针对性，攻击者针对一些有价值的特定单位目标进行攻击，利用较长时期的探测、扫描、暴力破解、尝试攻击等方中国互联网网络安全报告2019年 22 式，进入目标单位服务器，再通过漏洞工具或黑客工具获取内部网络计算机账号密码实现在内部网络横向移动，攻陷并加密更多的服务器。勒索病毒GandCrab 的“商业成功” 2 ，引爆互联网地下黑灰产，进一步刺激互联网地下黑灰产组织对勒索病毒的制作、分发和攻击技术的快速迭代更新。GandCrab、Sodinokibi、 Globelmposter、CrySiS、Stop等勒索病毒成为2019年最为活跃的勒索病毒家族，其中CrySiS勒索病毒全年出现了上百个变种。随着2019年下半年加密货币价格持续走高，挖矿木马更加活跃。“永恒之蓝”下载器木马、WannaMiner等挖矿团伙频繁推出挖矿木马变种，并利用各类安全漏洞、僵尸网络、网盘等进行快速扩散传播，WannaMiner、Xmrig、CoinMiner等成为2019年最为流行的挖矿木马家族。 1.1.7 工业控制系统网络安全在国家层面顶层设计进一步完善,但工业控制系统产品安全问题依然突出，新技术应用带来新安全隐患更加严峻（1）国家层面工业控制系统网络安全顶层设计不断完善,国家级工业控制系统网络

展开阅读全文