网络时代

《2016年中国互联网网络安全报告》分析网络安全态势

2017年5月27日，国家互联网应急中心（CNCERT/CC）发布《2016 年中国互联网网络安全报告》，汇总分析国家互联网应急中心自有网络安全监测数据和通信行业相关单位报送的数据。报告涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面的内容。

2016 年，移动互联网恶意程序捕获数量、网站后门攻击数量以及安全漏洞收录数量较2015 年有所上升，而木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降。

一、木马和僵尸网络

抽样监测，2016 年约 9.7 万个木马和僵尸网络控制服务器控制了我国境内 1699 万余台主机，控制服务器数量较 2015 年下降 8.0%，近 5 年来总体保持平稳向好发展。其中，来自境外的约 4.8 万个控制服务器控制了我国境内 1499 万余台主机，其中来自美国的控制服务器数量居首位，其次是中国香港和日本。就所控制的我国境内主机数量来看，来自美国、中国台湾和荷兰的控制服务器规模分列前三位，分别控制了我国境内约 475 万、182 万、153 万台主机。在监测发现的因感染恶意程序而形成的僵尸网络中，规模在100 台主机以上的僵尸网络数量 4896 个，其中规模在 10 万台以上的僵尸网络数量 52 个。

二、移动互联网安全

2016 年，CNCERT/CC 通过自主捕获和厂商交换获得的移动互联网恶意程序数量 205 万余个，较 2015 年增长 39.0%，近 7 年来保持持续高速增长趋势。按恶意行为进行分类，前三位分别是流氓行为类、恶意扣费类和资费消耗类，占比分别为 61.1%、18.2% 和 13.6%。互联网恶意程序下载链接近 67 万条，较 2015 年增长近 1.2 倍，涉及的传播源域名 22 万余个，IP 地址 3 万余个，恶意程序传播次数达 1.24 亿次。

2016 年，CNCERT/CC 重点对通过短信传播，且具有窃取用户短信和通信录等恶意行为的“相册”类安卓恶意程序及具有恶意扣费、恶意传播属性的色情软件进行监测，并开展协调处置工作。全年共发现此类恶意程序 18414 个，累计感染用户超过 101 万人，用于传播恶意程序的域名 6045 个，用于接收用户短信和通信录的恶意邮箱账户 7645 个，用于接收用户短信的恶意手机号 6616 个，泄露用户短信和通信录的邮件 222 万封，严重危害用户个人信息安全和财产安全。

目前，移动互联网 APP 传播途径多样，包括应用商店、网盘、云盘和广告宣传等平台，且大量的未备案网站也在提供 APP 下载服务。在工业和信息化部的指导下，经过连续 4 年的治理，要求国内的应用商店、网盘、云盘和广告宣传等平台积极落实安全责任，不断完善安全检测、安全审核、社会监督举报、恶意 APP 下架等制度，积极参与处置响应与反馈，严格控制恶意 APP 传播途径。2016 年，CNCERT/CC 累计向 141 家已备案的应用商店、网盘、云盘的广告宣传等网站运营者通报恶意 APP 事件 8910 起，较 2015 年减少 47.8%，表明在移动互联网恶意程序持续快速增长的情况下，恶意 APP 在备案网站上传播的途径得到有效控制。

三、拒绝服务攻击

2016 年，CNCERT/CC 牵头组织通信行业和安全行业单位，宣布成立了中国互联网网络安全威胁治理联盟，并着力开展分布式拒绝服务攻击（以下简称“DDoS 攻击”）防范打击工作。经过协同治理，有效缓解了 DDoS攻击的危害，2016 年 监测到 1Gbit/s 以上的 DDoS 攻击事件日均 452 起，比 2015 年下降 60%。但同时发现，2016 年大流量攻击事件数量全年持续增加，10Gbit/s 以上的攻击事件数量第四季度日均攻击次数较第一季度增长 1.1 倍，全年日均达 133 次，占日均攻击事件的 29.4%。另外100Gbit/s 以上的攻击事件数量日均在 6 起以上，并监测发现阿里云多次遭受 500Gbit/s 以上的攻击。从攻击流量来源来看，在 2016 年攻击事件中，超过 60% 的攻击流量来自境外；从攻击目的来看，67% 涉及互联网地下黑色产业链；从攻击方式来看，反射攻击依旧占据主流；从攻击源 IP 地址对应的设备来看，除了传统的 PC“肉鸡”和 IDC 服务器外，智能设备逐渐被利用为 DDoS 攻击工具。

四、安全漏洞

2016 年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞 10822 个，较 2015 年增长 33.9%。其中，高危漏洞收录数量高达 4146 个（占38.3%），较 2015 年增长 29.8%；“零日”漏洞 2203 个，较 2015 年增长82.5%。漏洞主要涵盖 Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei 等厂商产品，其中涉及 Google 产品（含操作系统、手机设备以及应用软件等）的漏洞最多，达到 819 个，占全部收录漏洞的 7.6%。按影响对象类型分类，应用程序漏洞占 60.0%， Web 应用漏洞占 16.8%，操作系统漏洞占 13.2%，网络设备漏洞（如路由器、交换机等）占 6.5%，安全产品漏洞占 2.0%，数据库漏洞（如防火墙、入侵检测系统等）占 1.5%。2016 年，CNVD 加强原创通用软硬件漏洞的收录工作，成为全年漏洞收录数量一个新的增长点，全年接收白帽子、国内漏洞报告平台、安全厂商等报送的相关漏洞 1926 个，占全年收录总数的 17.8%。

五、网站安全

2016 年，CNCERT/CC 监测发现约 17.8 万个针对我国境内网站的仿冒页面，页面数较 2015 年下降 3.6%，约 2 万个 IP 地址承载了上述仿冒页面，其中位于境外的 IP 地址占 85.4%。从承载的仿冒页面数量来看，来自中国香港的数量最多，4332 个 IP 地址共承载了仿冒页面 2.8 万余个，其次是中国境内和美国，承载的仿冒页面均约为 1.7 万个。为有效防止网页仿冒引起的网民经济损失，CNCERT/CC 重点针对金融行业、电信行业网上营业厅的仿冒页面进行处置，全年共协调处置仿冒页面 52836 个。从处置的页面类型来看，积分兑换和用户登录仿冒页面数量最多，分别占处置总数的 32%。从承载仿冒页面 IP 地址归属情况来看，绝大多数 IP 地址位于境外，主要分布在中国香港、美国及中国台湾，其中位于中国香港的 IP 地址超过境外总数的一半。针对跨境仿冒页面的处置，继续与国际网络安全组织加强合作，全年协调境外安全组织处置跨境网页仿冒事件 14515 起。

2016 年，CNCERT/CC 监测发现约 4 万个 IP 地址对我国境内 8 万余个网站植入后门，网站数量较 2015 年增长 9.3%。境外有约 3.3 万个（占全部 IP 地址总数的 84.9%）IP 地址通过向网站植入后门对境内约 6.8 万个网站进行远程控制。其中，来自美国的 IP 地址最多，占比 14.0%，其次是来自中国香港和俄罗斯的 IP 地址。从控制我国境内的网站总数来看，来自中国香港的 IP 地址控制数量最多，有 1.3 万余个，其次是来自美国和乌克兰的IP 地址，分别控制了 9734 个和 8756 个网站。

2016 年，CNCERT/CC 监测发现，我国境内约 1.7 万个网站被篡改，较 2015 年减少 31.7%，其中被篡改的政府网站有 467 个，较 2015 年减少47.9%。从网页篡改的方式来看，被植入暗链的网站占全部被篡改网站的比例高达 86%，是我国境内网站被篡改的主要方式。从境内网页被篡改的类型分布来看，以 .com 为后缀的商业网站被篡改的数量最多，占总数的72.3%，其次是以 .net 为后缀的网络服务公司网站和以 .gov 为后缀的政府网站，分别占总数的 7.3% 和 2.8%。

通过报告可以看出，目前移动互联网安全需要格外注意，虽然恶性程序较之前有所减少，但是漏洞依然大量存在。业界应对移动互联网加强安全监测，普通用户也要提高防护意识。

Posted at 03:03下午 5月 31, 2017 by 星辉 in 网络安全  |  评论 [0]