報告丨《2016年我國互聯網網路安全態勢綜述》發布

4月19日，國家計算機網路應急技術處理協調中心（簡稱「國家互聯網應急中心」，英文簡稱「CNCERT」)發布《2016年互聯網網路安全態勢綜述》，在對互聯網宏觀安全態勢監測的基礎上，結合網路安全預警通報、應急處置工作實踐成果，著重分析和總結了2016年互聯網網路安全狀況，並預測2017年網路安全熱點問題。

一、2016年互聯網網路安全監測數據分析

CNCERT持續對網路安全宏觀狀況開展抽樣監測，2016年，移動互聯網惡意程序捕獲數量、網站後門攻擊數量以及安全漏洞收錄數量較2015年有所上升，而木馬和殭屍網路感染數量、拒絕服務攻擊事件數量、網頁仿冒和網頁篡改頁面數量等均有所下降。

據抽樣監測，2016年約9.7萬個木馬和殭屍網路控制伺服器控制了境內1699萬餘台主機，控制伺服器數量較2015年下降8.0%，境內感染主機數量較2015年下降了14.1%。其中，來自境外的約4.8萬個控制伺服器控制了境內1499萬餘台主機，來自美國的控制伺服器數量居首位，其次是香港和日本。

在監測發現的因感染惡意程序而形成的殭屍網路中，規模在100台主機以上的殭屍網路數量4896個，其中規模在10萬台以上的殭屍網路數量52個。 從境內感染木馬和殭屍網路主機按地區分佈數量分析來看，排名前三位的分別是廣東省（占境內感染數量的13.4%）、江蘇省（佔9.2%）和山東省（佔8.3%）。為有效控制木馬和殭屍網路感染主機引發的危害，2016年，在工業和信息化部指導下，根據《木馬和殭屍網路監測與處置機制》，CNCERT組織基礎電信企業、域名服務機構等成功關閉1011個控制規模較大的殭屍網路。

2016年，CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量205萬餘個，較2015年增長39.0%，近7年來持續保持高速增長趨勢。按其惡意行為進行分類，前三位分別是流氓行為類、惡意扣費類和資費消耗類，佔比分別為61.1%、18.2%和13.6%。CNCERT發現移動互聯網惡意程序下載鏈接近67萬條，較2015年增長近1.2倍，涉及的傳播源域名22萬餘個、IP地址3萬餘個，惡意程序傳播次數達1.24億次。

2016年，CNCERT重點對通過簡訊傳播，且具有竊取用戶簡訊和通信錄等惡意行為的「相冊」類安卓惡意程序及具有惡意扣費、惡意傳播屬性的色情軟體進行監測，並開展協調處置工作。全年共發現此類惡意程序47316個，累計感染用戶超過101萬人，用於傳播惡意程序的域名6045個，用於接收用戶簡訊和通訊錄的惡意郵箱賬戶7645個，用於接收用戶簡訊的惡意手機號6616個，泄露用戶簡訊和通訊錄的郵件222萬封，嚴重危害用戶個人信息安全和財產安全。在工業和信息化部指導下，根據《移動互聯網惡意程序監測與處置機制》，CNCERT組織郵箱服務商、域名註冊商等積極開展協調處置工作，對發現的惡意郵箱賬號、惡意域名等進行關停處置。

二、2016年互聯網網路安全狀況

近年來，隨著網路安全法律法規、管理制度的不斷完善，在網路安全技術實力、人才隊伍、國際合作等方面取得了明顯的成效。2016年，互聯網網路安全狀況總體平穩，網路安全產業快速發展，網路安全防護能力得到提升，網路安全國際合作進一步加強。但隨著網路空間戰略地位的日益提升，世界主要國家紛紛建立網路空間攻擊能力，國家級網路衝突日益增多，網路空間面臨的安全挑戰日益複雜。

域名系統安全狀況良好，防攻擊能力明顯上升。2016年，域名服務系統安全狀況良好，無重大安全事件發生。據抽樣監測，2016年針對域名系統的流量規模達1Gpbs以上的DDoS攻擊事件日均約32起，均未對域名解析服務造成影響，在基礎電信企業側也未發生嚴重影響解析成功率的攻擊事件，主要與域名系統普遍加強安全防護措施，抗DDoS攻擊能力顯著提升相關。2016年6月，發生針對全球根域名伺服器及其鏡像的大規模DDoS攻擊，大部分根域名伺服器受到不同程度的影響，位於的域名根鏡像伺服器也在同時段遭受大規模網路流量攻擊。因應急處置及時，且根區頂級域緩存過期時間往往超過1天，此次攻擊未對域名系統網路安全造成影響。

針對工業控制系統的網路安全攻擊日益增多，多起重要工控系統安全事件應引起重視。 2016年，全球發生的多起工控領域重大事件值得警醒。3月，美國紐約鮑曼水壩的一個小型防洪控制系統遭攻擊；8月，卡巴斯基安全實驗室揭露了針對工控行業的「食屍鬼」網路攻擊活動，該攻擊主要對中東和其他國家的工業企業發起定向網路入侵；12月，烏克蘭電網再一次經歷了供電故障，據分析本次故障緣起惡意程序「黑暗勢力」的變種。

工控系統規模巨大，安全漏洞、惡意探測等均給工控系統帶來一定安全隱患。截至2016年年底，CNVD共收錄工控漏洞1036條，其中2016年收錄了173個，較2015年增長了38.4%。工控系統主要存在緩衝區溢出、缺乏訪問控制機制、弱口令、目錄遍歷等漏洞風險。通過對網路流量分析發現，2016年度CNCERT累計監測到聯網工控設備指紋探測事件88萬餘次，並發現來自境外60個國家的1610個IP地址對聯網工控設備進行了指紋探測。

高級持續性威脅常態化，面臨的攻擊威脅尤為嚴重。 截止到2016年底，國內企業發布高級持續性威脅（APT）研究報告共提及43個APT組織，其中針對境內目標發動攻擊的APT組織有36個。從攻擊實現方式來看，更多APT攻擊採用工程化實現，即依託商業攻擊平台和互聯網黑色產業鏈數據等成熟資源實現 APT攻擊。這類攻擊不僅降低了發起APT攻擊的技術和資源門檻，而且加大了受害方溯源分析的難度。2016年，多起針對重要信息系統實施的APT攻擊事件被曝光，包括 「白象行動」、「蔓靈花攻擊行動」等，主要以教育、能源、軍事和科研領域為主要攻擊目標。2016年8月，黑客組織 「影子經紀人（Shadow Brokers）」公布了方程式組織經常使用的工具包，包含各種防火牆的漏洞利用代碼、黑客工具和腳本，涉及Juniper、飛塔、思科、天融信、華為等廠商產品。CNCERT對公布的11個產品漏洞（有4個疑似為0day漏洞）進行普查分析，發現全球有約12萬個IP地址承載了相關產品的網路設備，其中境內IP地址有約3.3萬個，佔全部IP地址的27.8%，對網路空間安全造成嚴重的潛在威脅。2016年11月，黑客組織「影子經紀人」又公布一組曾受美國國家安全局網路攻擊與控制的IP地址和域名數據，是被攻擊最多的國家，涉及至少9所高校，12家能源、航空、電信等重要信息系統部門和2個政府部門信息中心。

大量聯網智能設備遭惡意程序攻擊形成殭屍網路，被用於發起大流量DDoS攻擊。 近年來，隨著智能可穿戴設備、智能家居、智能路由器等終端設備和網路設備的迅速發展和普及利用，針對物聯網智能設備的網路攻擊事件比例呈上升趨勢，攻擊者利用物聯網智能設備漏洞可獲取設備控制許可權，或用於用戶信息數據竊取、網路流量劫持等其他黑客地下產業交易，或用於被控制形成大規模殭屍網路。CNCERT對車聯網系統安全性進行在線監測分析，發現部分車聯網信息服務商及相關產品存在安全漏洞，可導致車輛、位置及車主信息泄露和車輛被遠程控制等安全風險。2016年底，因美國東海岸大規模斷網事件和德國電信大量用戶訪問網路異常事件，Mirai惡意程序受到廣泛關注。Mirai是一款典型的利用物聯網智能設備漏洞進行入侵滲透以實現對設備控制的惡意代碼，被控設備數量積累到一定程度將形成一個龐大的「殭屍網路」，稱為「Mirai殭屍網路」。又因物聯網智能設備普遍是24小時在線，感染惡意程序后也不易被用戶察覺，形成了「穩定」的攻擊源。CNCERT對Mirai殭屍網路進行抽樣監測顯示，截至2016年年底，共發現2526台控制伺服器控制了125.4萬餘台物聯網智能設備，對互聯網的穩定運行形成了嚴重的潛在安全威脅。此外，CNCERT還對Gafgyt殭屍網路進行抽樣檢測分析，在2016年第四季度，共發現817台控制伺服器控制了42.5萬台物聯網智能設備，累計發起超過1.8萬次的DDoS攻擊，其中峰值流量在5Gpbs以上的攻擊次數高達72次。

網站數據和個人信息泄露屢見不鮮，「衍生災害」嚴重。 由於互聯網傳統邊界的消失，各種數據遍布終端、網路、手機和雲上，加上互聯網黑色產業鏈的利益驅動，數據泄露威脅日益加劇。2016年，國內外網站數據和個人信息泄露事件頻發，對政治、經濟、社會的影響逐步加深，甚至個人生命安全也受到侵犯。在國外，美國大選候選人希拉里的郵件泄露，直接影響到美國大選的進程；雅虎兩次賬戶信息泄露涉及約15億的個人賬戶，致使美國電信運營商威瑞森48億美元收購雅虎計劃擱置甚至可能取消。在國內，免疫規劃系統網路被惡意入侵，20萬兒童信息被竊取並在網上公開售賣；信息泄露導致精準詐騙案件頻發，聯考考生信息泄露間接奪去即將步入大學的女學生徐玉玉的生命；2016年公安機關共偵破侵犯個人信息案件1800餘起，查獲各類公民個人信息300億餘條。此外，據新聞媒體報道，俄羅斯、墨西哥、土耳其、菲律賓、敘利亞、肯亞等多個國家政府的網站數據發生了泄漏。

移動互聯網惡意程序趨利性更加明確，移動互聯網黑色產業鏈已經成熟。2016年，CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量205萬餘個，較2015年增長39.0%，近6年來持續保持高速增長趨勢。通過惡意程序行為分析發現，以誘騙欺詐、惡意扣費、鎖屏勒索等攫取經濟利益為目的的應用程序驟增，占惡意程序總數的59.6%，較2015年增長了近三倍。從惡意程序傳播途徑發現，誘騙欺詐行為的惡意程序主要通過簡訊、廣告和網盤等特定傳播渠道進行傳播，感染用戶數達到2493萬人，造成重大經濟損失。從惡意程序的攻擊模式發現，通過簡訊方式傳播竊取簡訊驗證碼的惡意程序數量佔比較大，全年獲得相關樣本10845個，表現出製作簡單、攻擊模式固定、暴利等特點，移動互聯網黑色產業鏈已經成熟。

敲詐勒索軟體肆虐，嚴重威脅本地數據和智能設備安全。根據CNCERT監測發現，2016年在傳統PC端，捕獲敲詐勒索類惡意程序樣本約1.9萬個，數量創近年來新高。對敲詐勒索軟體攻擊對象分析發現，勒索軟體已逐漸由針對個人終端設備延伸至企業用戶，特別是針對高價值目標的勒索情況嚴重。針對企業用戶方面，勒索軟體利用安全漏洞發起攻擊，對企業資料庫進行加密勒索，2016年底開源MongoDB資料庫遭一輪勒索軟體攻擊，大量的用戶受到影響。針對個人終端設備方面，敲詐勒索軟體惡意行為在傳統PC端和移動端表現出明顯的不同特點：在傳統PC端，主要通過「加密數據」進行勒索，即對用戶電腦中的文件加密，脅迫用戶購買解密密鑰；在移動端，主要通過「加密設備」進行勒索，即遠程鎖住用戶移動設備，使用戶無法正常使用設備，並以此脅迫用戶支付解鎖費用。但從敲詐勒索軟體傳播方式來看，傳統PC端和移動端表現出共性，主要是通過郵件、仿冒正常應用、QQ群、網盤、貼吧、受害者等傳播。

三、2017年值得關注的熱點

根據對2016年互聯網網路安全形勢特點的分析，CNCERT預測2017年值得關注的熱點方向主要如下。

（一）網路空間依法治理脈絡更為清晰。2016年11月7日第十二屆全國人大常委會第二十四次會議表決通過《網路安全法》，並將於2017年6月1日起施行。該法有7章79條，對網路空間主權、網路產品和服務提供者的安全義務、網路運營者的安全義務、個人信息保護規則、關鍵信息基礎設施安全保護制度和重要數據跨境傳輸規則等進行了明確規定。預計2017年各部門將更加重視《網路安全法》的宣傳和解讀工作，編製出台相關配套政策法規，落實各項配套措施，網路空間依法治理脈絡將更為清晰。

（二）利用物聯網智能設備的網路攻擊事件將繼續增多。2016年CNVD收錄物聯網智能設備漏洞1117個，主要涉及網路攝像頭、智能路由器、智能家電、智能網關等設備。漏洞類型主要為許可權繞過、信息泄露、命令執行等，其中弱口令（或內置默認口令）漏洞極易被利用，實際影響十分廣泛，成為惡意代碼攻擊利用的重要風險點。隨著無人機、自動駕駛汽車、智能家電的普及和智慧城市的發展，聯網智能設備的漏洞披露數量將大幅增加，針對或利用物聯網智能設備的網路攻擊將更為頻繁。

（三）互聯網與傳統產業融合引發的安全威脅更為複雜。隨著「互聯網＋」、「製造2025」行動計劃的深入推進，幾乎所有的傳統行業、傳統應用與服務都在被互聯網改變，給各個行業帶來了創新和發展機會。在融合創新發展的過程中，傳統產業封閉的模式逐漸轉變為開放模式，也將以往互聯網上虛擬的網路安全事件轉變為現實世界安全威脅。互聯網金融、工業互聯網等融合的新興行業快速發展，但引發的新的網路安全威脅也不容忽略，互聯網金融整合了信息流和資金流，信息流的風險很可能引發資金流損失；工業控制系統更為智能化、網路化，開放互聯帶來的惡意嗅探行為增多，被惡意攻擊的風險不斷加大。傳統互聯網安全與現實世界安全問題相交織引發的安全威脅更為複雜，產生的後果也更為嚴重。

（四）個人信息和重要數據保護將更受重視。近年來，互聯網技術的發展極大的方便和豐富了我們的生活和工作，網上購物、網上求職、社交平台、政府服務等平台上充斥著大量的個人詳細隱私信息。自2011年以來關於嚴重個人信息泄露的事件不絕於耳，特別是近年來的網路詐騙案件中，受害人的詳細信息都被詐騙分子所掌握，給社會安定帶來嚴重危害。2013年 「斯諾登事件」及後續相繼爆出的美國政府大範圍監聽項目，刺激著各國加強重要數據的保護措施，嚴格規範互聯網數據的收集、使用、存儲等。在《網路安全法》中對個人信息保護規則、重要數據跨境傳輸進行了明確規定，預計關於個人信息和重要數據信息保護的詳細規範性文件將制定出台，切實落實保護措施。

（五）網路安全威脅信息共享工作備受各方關注。及時全面獲取和分析網路安全威脅，提前做好網路安全預警和部署應急響應措施，充分體現了一個國家網路安全綜合防禦能力。通過網路安全威脅信息共享，利用集體的知識和技術能力，是實現全面掌握網路安全威脅情況的有效途徑。美國早在1998年的柯林頓政府時期就簽署了總統令，鼓勵政府與企業開展網路安全信息共享，到歐巴馬政府時期更是將網路安全信息共享寫入了政府法案。近年來，高度重視網路安全信息共享工作，在《網路安全法》中明確提出了促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享。但面對紛繁複雜的、多維度的數據源信息，如何高效地開展共享和深入分析，需建立一套基於大數據分析的網路安全威脅信息共享標準。目前，很多機構已經在開展網路安全威脅信息共享的探索與實踐，相關國家標準和行業標準已在制定中，CNCERT也建立了網路安全威脅信息共享平台，在通信行業和安全行業內進行相關共享工作。

（六）有國家背景的網路爭端受關注度將繼續升溫。目前，互聯網普及率已經達到53.2%，民眾通過互聯網獲得的新聞資訊越來越快捷方便，民眾關注全球政治熱點的熱度也不斷高漲。2016年美國總統大選「郵件門」事件、俄羅斯黑客曝光世界反興奮劑機構醜聞事件等，都讓網民真切感受到有組織、有目的的一場縝密的網路攻擊可以對他國政治產生嚴重的影響，將有國家背景的網路爭端從行業領域關注視角延伸到了全體網民。隨著大量的國家不斷強化網路空間軍事能力建設，有國家背景的網路爭端事件將會熱點不斷、危機頻出，全民討論的趨勢將會持續升溫。

（七）基於人工智慧的網路安全技術研究全面鋪開。在第三屆世界互聯網大會「世界互聯網領先科技成果發布活動」現場，微軟、IBM、谷歌三大國際科技巨頭展示了基於機器學習的人工智慧技術，為我們描繪了人工智慧美好的未來。目前，網路攻擊事件層出不窮、手段多樣、目的複雜，較為短缺的網路安全人才難以應對變化過快的網路安全形勢，而機器學習在數據分析領域的出色表現，人工智慧被認為在網路安全方面將會「大有作為」。有研究機構統計發現，2016年「網路安全」與「人工智慧」兩詞共同出現在文章中的頻率快速上升，表明越來越多的討論將二者聯繫在一起共同關注。以網路安全相關的大數據為基礎，利用機器學習等人工智慧技術，能夠在未知威脅發現、網路行為分析、網路安全預警等方面取得突破性進展。

溫馨提示

免費下載《2016年互聯網網路安全態勢綜述》全文，請點擊左下角「閱讀原文」。