4月19日下午消息,国家互联网应急中心发布了《2016年我国互联网网络安全态势综述》(以下简称为《综述》),综述数据显示,2016年,移动互联网恶意程序捕获数量、网站后门攻击数量以及安全漏洞收录数量较2015年有所上升,而木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降。
2016年,国家互联网应急中心捕获移动互联网恶意程序数量近205万个,较2015年增长39.0%,恶意程序数量近7年来保持高速增长趋势。
按恶意行为进行分类,排名前三位的恶意行为分别是流氓行为类、恶意扣费类和资费消耗类,占比分别为61.1%、18.2%和13.6%。
国家互联网应急中心发现移动互联网恶意程序下载链接近67万条,较2015年增长近1.2倍,涉及的传播源域名22万余个、IP 地址近3万余个,恶意程序传播次数达1.24亿次。
在工信部的指导下,经过连续四年的治理,要求国内的应用商店、网盘、云盘和广告宣传等平台积极落实安全责任,不断完善安全检测、安全审核、社会监督举报、恶意App下架等制度,积极参与处置响应与反馈,严格控制恶意App传播途径主流移动应用商店安全状况明显好转。
2016年,国家互联网应急中心累计向141家已备案的应用商店、网盘、云盘的广告宣传等网站运营者通报恶意App件8910起,较2015年减少了47.8%。(徐利)
以下为综述全文:
2016年我国互联网网络安全态势综述
国家计算机网络应急技术处理协调中心
2017年4月
前 言
2016年,是我国在网络空间法制化进程迈出实质性步伐的一年,《网络安全法》正式表决通过和《国家网络空间安全战略》正式发布进一步强化了我国网络安全顶层设计,为实现我国网络强国战略保驾护航。习近平总书记“419”等一系列讲话明确要求树立正确的网络安全观,为网络安全工作指明了主攻方向和行动理念。
《中华人民共和国国民经济和社会发展第十三个五年规划纲要》(以下简称“十三五规划”)发布,明确提出实施网络强国战略,要求加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。2016年,作为“十三五规划”开局之年,网络经济空间发展大幅拓展趋势明显,推动信息技术服务向更为智能、与传统领域全面融合的阶段发展。然而,信息技术创新发展伴随的安全威胁与传统安全问题相互交织,使得网络空间安全问题日益复杂隐蔽,面临的网络安全风险不断加大,各种网络攻击事件层出不穷。2016年,我国互联网网络安全状况总体平稳,未出现影响互联网正常运行的重大网络安全事件,但移动互联网恶意程序数量持续高速上涨且具有明显趋利性;来自境外的针对我国境内的网站攻击事件频繁发生;联网智能设备被恶意控制,并用于发起大流量分布式拒绝服务攻击的现象更加严重;网站数据和个人信息泄露带来的危害不断扩大;欺诈勒索软件在互联网上肆虐;具有国家背景黑客组织发动的高级持续性威胁(APT)攻击事件直接威胁了国家安全和稳定。
国家互联网应急中心(以下简称“CNCERT”)在对我国互联网宏观安全态势监测的基础上,结合网络安全预警通报、应急处置工作实践成果,着重分析和总结了2016年我国互联网网络安全状况,并预测2017年网络安全热点问题。
一、2016年我国互联网网络安全监测数据分析
CNCERT持续对我国网络安全宏观状况开展抽样监测,2016年,移动互联网恶意程序捕获数量、网站后门攻击数量以及安全漏洞收录数量较2015年有所上升,而木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降。
(一)木马和僵尸网络
据抽样监测,2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机,控制服务器数量较2015年下降8.0%,境内感染主机数量较2015年下降了14.1%。。其中,来自境外的约4.8万个控制服务器控制了我国境内1499万余台主机,来自美国的控制服务器数量居首位,其次是中国香港和日本。就所控制我国境内主机数量来看,来自美国、中国台湾和荷兰的控制服务器控制规模分列前三位,分别控制了我国境内约475万、182万、153万台主机。在监测发现的因感染恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量4896个,其中规模在10万台以上的僵尸网络数量52个。
从我国境内感染木马和僵尸网络主机按地区分布数量分析来看,排名前三位的分别是广东省(占我国境内感染数量的13.4%)、江苏省(占9.2%)和山东省(占8.3%)。为有效控制木马和僵尸网络感染主机引发的危害,2016年,在工业和信息化部指导下,根据《木马和僵尸网络监测与处置机制》,CNCERT组织基础电信企业、域名服务机构等成功关闭1011个控制规模较大的僵尸网络。
(二)移动互联网安全
1、移动互联网恶意程序捕获情况
2016年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,较2015年增长39.0%,近7年来持续保持高速增长趋势。按其恶意行为进行分类,前三位分别是流氓行为类、恶意扣费类和资费消耗类,占比分别为61.1%、18.2%和13.6%。CNCERT发现移动互联网恶意程序下载链接近67万条,较2015年增长近1.2倍,涉及的传播源域名22万余个、IP地址3万余个,恶意程序传播次数达1.24亿次。
2016年,CNCERT重点对通过短信传播,且具有窃取用户短信和通信录等恶意行为的“相册”类安卓恶意程序及具有恶意扣费、恶意传播属性的色情软件进行监测,并开展协调处置工作。全年共发现此类恶意程序47316个,累计感染用户超过101万人,用于传播恶意程序的域名6045个,用于接收用户短信和通讯录的恶意邮箱账户7645个,用于接收用户短信的恶意手机号6616个,泄露用户短信和通讯录的邮件222万封,严重危害用户个人信息安全和财产安全。在工业和信息化部指导下,根据《移动互联网恶意程序监测与处置机制》,CNCERT组织邮箱服务商、域名注册商等积极开展协调处置工作,对发现的恶意邮箱账号、恶意域名等进行关停处置。
2、 移动互联网恶意APP监测情况
目前,移动互联网APP传播途径多样,包括应用商店、网盘、云盘和广告宣传等平台,且大量的未备案网站也在提供APP下载服务。在工业和信息化部指导下,经过连续4年的治理,要求国内的应用商店、网盘、云盘和广告宣传等平台积极落实安全责任,不断完善安全检测、安全审核、社会监督举报、恶意APP下架等制度,积极参与处置响应与反馈,严格控制恶意APP传播途径。2016年,CNCERT累计向141家已备案的应用商店、网盘、云盘的广告宣传等网站运营者通报恶意APP事件8910起,较2015年减少了47.8%,表明在移动互联网恶意程序持续快速增长的情况下,恶意APP在正规网站上传播的途径得到有效控制,但通过非正规应用商店途径传播恶意APP的数量还在继续增长。
(三)拒绝服务攻击
2016年,CNCERT牵头组织通信行业和安全行业单位,宣布成立了中国互联网网络安全威胁治理联盟,并着力开展分布式拒绝服务攻击(以下简称“DDoS攻击”)防范打击工作。经过协同治理,有效缓解了DDoS攻击的危害,2016年CNCERT监测到1Gbps以上DDoS攻击事件日均452起,比2015年下降60%。但同时发现,2016年大流量攻击事件数量全年持续增加,10Gbps以上攻击事件数量第四季度日均攻击次数较第一季度增长1.1倍,全年日均达133次,占日均攻击事件的29.4%,另外100Gbps以上攻击事件数量日均达到6起以上,并监测发现某云平台多次遭受500Gbps以上的攻击。从攻击目的来看,67%涉及互联网地下黑色产业链;从攻击方式来看,反射攻击依旧占据主流;从攻击源IP地址对应设备来看,除了传统的PC“肉鸡”和IDC服务器外,智能设备也逐渐被利用为DDoS攻击工具。
(四)安全漏洞
2016年,国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个,较2015年增长33.9%。其中,高危漏洞收录数量高达4146个(占38.3%),较2015年增长29.8%;“零日”漏洞2203个,较2015年增长82.5%。漏洞主要涵盖Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei等厂商产品,其中涉及Google产品(含操作系统、手机设备以及应用软件等)的漏洞最多,达到819个,占全部收录漏洞的7.6%;按影响对象类型分类,应用程序漏洞占59.97%,Web应用漏洞占16.8%,操作系统漏洞占13.2%,网络设备漏洞(如路由器、交换机等)占6.47%,数据库漏洞占1.97%,安全产品漏洞(如防火墙、入侵检测系统等)占1.59%。2016年,CNVD加强了原创通用软硬件漏洞的收录工作,成为全年漏洞收录数量的一个新增长点,全年接收白帽子、国内漏洞报告平台、安全厂商等报送相关漏洞1926个,占全年收录总数的17.8%。
CNVD对现有漏洞进行了进一步整理,建立了基于重点关注方向的子漏洞库,目前已建立有移动互联网、电信行业、电子政务和工业控制系统4类子漏洞库。2016年这4类子漏洞库分别收录漏洞985个(占9.1%)、640个(占总收录比例5.9%)、344个(占3.1%)和172个(占1.5%)。
CNVD针对重点关注方向子漏洞库的安全漏洞影响情况进行巡查,全年通报涉及政府机构、重要信息系统部门以及行业安全漏洞事件24246起,较2015年上升3.1%。
(五)网站安全
1、网页仿冒
2016年,CNCERT监测发现约17.8万个针对我国境内网站的仿冒页面,页面数较2015年下降3.6%。约2万个IP地址承载了上述仿冒页面,其中位于境外的IP地址占85.4%。从承载的仿冒页面数量来看,来自中国香港的数量最多,4332个IP地址共承载了仿冒页面2.8万余个,其次是中国大陆和美国,承载的仿冒页面均约1.7万个。为有效防止网页仿冒引起的网民经济损失,CNCERT重点针对金融行业、电信行业网上营业厅的仿冒页面进行重点处置,全年共协调处置仿冒页面52836个。从处置的页面类型来看,积分兑换和用户登录仿冒页面数量最多,分别占处置总数的32%。从承载仿冒页面IP地址归属情况来看,绝大多数IP地址位于境外,主要分布在中国香港、美国及中国台湾,其中位于中国香港的IP地址超过境外总数的一半。针对跨境仿冒页面的处置,CNCERT继续与国际网络安全组织加强合作,全年协调境外安全组织处置跨境网页仿冒事件14515起。
2、网站后门
2016年,CNCERT监测发现约4万个IP地址对我国境内8.2万余个网站植入后门,网站数量较2015年增长9.3%。境外有约3.3万个(占全部IP地址总数的84.9%)IP地址通过向网站植入后门对境内约6.8万个网站进行远程控制。其中,来自美国的IP地址最多,占比14.0%,其次是来自中国香港和俄罗斯的IP地址。从控制我国境内网站总数来看,来自中国香港的IP地址控制数量最多,有1.3万余个,其次是来自美国和乌克兰的IP地址,分别控制了9734个和8756个网站。
3、网页篡改
2016年,CNCERT监测发现,我国境内约1.7万个网站被篡改,较2015年减少31.7%,其中被篡改政府网站有467个,较2015年减少47.9%。从网页篡改的方式来看,被植入暗链的网站占全部被篡改网站的比例高达86%,是我国境内网站被篡改的主要方式。从境内网页被篡改类型分布来看,以。com为后缀的商业网站被篡改网站数量最多,占总数的72.3%,其次是以。net为后缀的网络服务公司网站和以。gov为后缀的政府网站,分别占总数的7.3%和2.8%。
