网络与信息安全
【网络与信息安全状况】
2016年,中国互联网网络安全状况总体平稳,网络安全产业快速发展,网络安全防护能力得到提升。与此同时,信息技术创新发展伴随的安全威胁与传统安全问题相互交织,使得网络空间安全问题日益复杂、隐蔽,各种网络攻击事件层出不穷。
(一)域名系统安全状况良好,防攻击能力明显上升
2016年,针对中国域名系统的流量规模达1Gpbs以上的DDoS攻击事件日均约32起,均未对中国域名解析服务造成影响,在基础电信企业侧也未发生严重影响解析成功率的攻击事件,主要与域名系统普遍加强安全防护措施、抗 DDoS攻击能力显著提升有关。2016年6月,发生针对全球根域名服务器及其镜像的大规模 DDoS 攻击,位于中国的域名根镜像服务器也在同时段遭受大规模网络流量攻击。因应急处置及时,此次攻击未对中国域名系统网络安全造成影响。2016年全国域名服务系统安全状况良好,无重大安全事件发生。
(二)针对工控系统的网络安全攻击日益增多
截至2016年年底,国家信息安全漏洞共享平台(CNVD)共收录工控系统漏洞1036个,其中2016年收录173个,较2015年增长38.4%。中国工控系统规模巨大,安全漏洞、恶意探测等均给中国工控系统带来一定安全隐患,2016年CNCERT累计监测到联网工控设备指纹探测事件88万余次,并发现来自境外60个国家的1610个IP 地址对中国联网工控设备进行了指纹探测。2016年全球发生了多起重要工控领域安全事件,值得我们警醒及引起重视。
(三)高级持续性威胁(APT)常态化,中国面临的攻击威胁尤为严重
截至2016年年底,国内企业发布的高级持续性威胁(APT)研究报告共提及43个APT组织,其中针对中国境内目标发动攻击的 APT 组织有36个。2016年,多起针对中国重要信息系统实施的 APT 攻击事件被曝光,包括“白象行动”“蔓灵花攻击行动”等,主要以教育、能源、军事和科研领域为主要攻击目标。2016年8月,黑客组织“影子经纪人”公布了方程式组织经常使用的工具包,涉及Juniper、飞塔、思科、天融信、华为等厂商产品。中国互联网应急中心(CNCERT)对公布的11个产品漏洞进行普查分析,发现全球有约12万个IP地址承载了相关产品的网络设备,其中,中国境内的IP地址有约3.3万个,占全部IP地址的27.8%,对中国网络空间安全造成严重的潜在威胁。2016年11月,黑客组织“影子经纪人”又公布了一组曾受美国国家安全局网络攻击与控制的IP地址和域名数据,中国是被攻击最多的国家,涉及至少9所高校及12家能源、航空、电信等重要信息系统部门,以及2个政府部门信息中心。
(四)大量联网智能设备遭恶意程序攻击形成僵尸网络,被用于发起大流量DDoS攻击
近年来,针对物联网智能设备的网络攻击事件比例呈上升趋势,攻击者利用物联网智能设备漏洞可获取设备控制权限,或者用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易,或者用于被控制形成大规模僵尸网络。Mirai是一款典型的利用物联网智能设备漏洞进行入侵渗透以实现对设备控制的恶意代码,被控设备数量积累到一定程度将形成一个庞大的“僵尸网络”,称为“Mirai僵尸网络”。CNCERT对Mirai僵尸网络进行抽样监测显示,截至2016年年底,共发现2526台控制服务器控制了125.4万余台物联网智能设备,对互联网的稳定运行形成了严重的潜在安全威胁。此外,CNCERT还对Gafgyt僵尸网络进行抽样检测分析,在2016年第四季度,共发现817台控制服务器控制了42.5万台物联网智能设备,累计发起超过1.8万次的DDoS攻击,其中峰值流量在5Gpbs以上的攻击次数高达72次。
(五)网站数据和个人信息泄露屡见不鲜,“衍生灾害”严重
由于互联网传统边界的消失,各种数据遍布终端、网络、手机和云上,加上互联网黑色产业链的利益驱动,数据泄露威胁日益加剧。2016年,网站数据和个人信息泄露事件频发,对政治、经济、社会的影响逐步加深,甚至个人生命安全也受到侵犯。例如,免疫规划系统网络被恶意入侵,20万条儿童信息被窃取并在网上公开售卖;信息泄露导致精准诈骗案件发生,高考考生信息泄露间接夺去即将步入大学的女学生徐玉玉的生命;2016年公安机关共侦破侵犯个人信息案件1800余起,查获各类公民个人信息300亿余条。
(六)移动互联网恶意程序趋利性更加明确
2016年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序205万余个,较2015年增长39%,近6年来持续保持高速增长趋势。通过恶意程序行为分析发现,以诱骗欺诈、恶意扣费、锁屏勒索等攫取经济利益为目的的应用程序骤增,占恶意程序总数的59.6%,较2015年增长了近3倍。从恶意程序传播途径发现,诱骗欺诈行为的恶意程序主要通过短信、广告和网盘等特定传播渠道进行传播,感染用户达到2493万人,造成重大经济损失。从恶意程序的攻击模式发现,通过短信方式传播窃取短信验证码的恶意程序数量占比较大,全年获得相关样本10845个,表现出制作简单、攻击模式固定、暴利等特点,移动互联网黑色产业链已经成熟。
(七)敲诈勒索软件肆虐,严重威胁本地数据和智能设备安全
根据CNCERT监测发现,2016年在传统PC端捕获敲诈勒索类恶意程序样本约1.9万个,数量创近年新高。对敲诈勒索软件攻击对象分析发现,勒索软件已逐渐由针对个人终端设备延伸至企业用户,特别是针对高价值目标的勒索情况严重。针对企业用户方面,勒索软件利用安全漏洞发起攻击,对企业数据库进行加密勒索,2016年年底开源MongoDB数据库遭一轮勒索软件攻击,大量的用户受到影响。针对个人终端设备方面,敲诈勒索软件恶意行为在传统 PC 端和移动端表现出明显的不同特点:在传统 PC 端,主要通过“加密数据”进行勒索,即对用户电脑中的文件加密,胁迫用户购买解密密钥;在移动端,主要通过“加密设备”进行勒索,即远程锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用。从敲诈勒索软件传播方式来看,传统PC端和移动端表现出共性,主要通过邮件、仿冒正常应用、QQ 群、网盘、贴吧、受害者等传播。
【网络与信息安全保障工作】
2016年,中国不断完善网络安全保障措施,网络安全防护水平进一步提升,有力保障了“G20杭州峰会”“第三届世界互联网大会”等多项重要活动的顺利举办,为维护国家网络空间安全建立一道坚实的堡垒。
(一)网络安全法律法规、管理制度不断完善
近年来,中国持续推进依法治理网络空间安全进程,不断完善网络安全人才培养机制,《国家安全法》《反恐怖主义法》《国家网络空间安全战略》等多个网络空间法律法规或战略制定并发布,《关于加强网络安全学科建设和人才培养的意见》出台,首批优秀网络安全杰出人才、优秀人才和优秀教师受到表彰。2016年11月7日,第十二届全国人民代表大会常委会第二十四次会议表决通过《网络安全法》,标志着中国在网络安全立法方面取得重大突破。《网络安全法》有7章79条,对网络空间主权、网络产品和服务提供者的安全义务、网络运营者的安全义务、个人信息保护规则、关键信息基础设施安全保护制度、重要数据跨境传输规则等进行了明确规定。《网络安全法》于2017年6月1日起施行。随着《网络安全法》的出台和实施,相关的配套政策法规也将编制出台,网络空间依法治理脉络会越来越清晰。
(二)持续对网络安全展开抽样监测,实时掌控网络安全宏观状况
根据 CNCERT 持续对全国网络安全宏观状况开展的抽样监测,2016年,木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降,而移动互联网恶意程序捕获数量、网站后门攻击数量及安全漏洞收录数量较2015年有所上升。
木马和僵尸网络:2016年约9.7万个木马和僵尸网络控制服务器控制了中国境内1699万余台主机,控制服务器数量较2015年下降8%,境内感染主机数量较2015年下降14.1%。
拒绝服务攻击:2016年监测到1Gbps 以上DDoS攻击事件日均452起,比2015年下降60%。
网站仿冒:2016年监测发现约17.8万个针对中国境内网站的仿冒页面,页面数量较2015年下降3.6%;约2万个IP地址承载了上述仿冒页面,其中位于境外的IP地址占85.4%。
网站篡改:2016年中国境内约1.7万个网站被篡改,较2015年减少31.7%,其中,被篡改政府网站有467个,较2015年减少47.9%。
移动互联网恶意程序:2016年 CNCERT 通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,较2015年增长39%,近7年来持续保持高速增长趋势。
安全漏洞:2016年国家信息安全漏洞共享平台(CNVD)共收录通用软、硬件漏洞10822个,较2015年增长33.9%。
网站后门:2016年监测发现约4万个 IP地址对中国境内约8.2万个网站植入后门,网站数量较2015年增长9.3%;境外有约3.3万个(占全部IP地址总数的84.9%)IP地址通过向网站植入后门对境内约6.8万个网站进行远程控制。
(三)持续开展互联网网络安全威胁治理行动,网络安全事件处置能力不断提升
2016年,在工业和信息化部指导下,CNCERT联合国内外多方力量共同协作,持续开展互联网网络安全威胁治理行动。
根据《木马和僵尸网络监测与处置机制》,CNCERT组织基础电信企业、域名服务机构等成功关闭1011个控制规模较大的僵尸网络,有效控制木马和僵尸网络感染主机引发的危害。
根据《移动互联网恶意程序监测与处置机制》,CNCERT 组织邮箱服务商、域名注册商等积极开展协调处置工作,对发现的恶意邮箱账号、恶意域名等进行关停处置;要求国内的应用商店、网盘、云盘和广告宣传等平台不断完善安全检测、安全审核、社会监督举报、恶意App下架等制度,积极参与处置响应与反馈,严格控制恶意App传播途径;2016年 CNCERT 累计向网站运营者通报恶意App事件8910起,较2015年减少47.8%,表明恶意App在正规网站上传播的途径得到有效控制。
CNCERT牵头组织通信行业、安全行业单位成立中国互联网网络安全威胁治理联盟,着力开展分布式拒绝服务攻击(以下简称“DDoS攻击”)防范打击工作;2016年 CNCERT 监测到1Gbps以上DDoS攻击事件日均452起,比2015年下降60%,有效缓解了DDoS攻击事件的危害。
CNCERT重点针对金融行业、电信行业网上营业厅的仿冒页面进行重点处置,全年共协调处置仿冒页面52836个,有效防止网页仿冒引起的网民经济损失;针对跨境仿冒页面的处置,CNCERT继续与国际网络安全组织加强合作,全年协调境外安全组织处置跨境网页仿冒事件14515起。
(四)加强网络安全国际对话与合作
2016年6月13日,首次中英高级别安全对话在北京举行,为中英两国打击恐怖主义、打击网络犯罪和有组织犯罪、加强国际地区安全问题合作等方面搭建了一个新的合作交流的平台。2016年6月14日,第二次中美打击网络犯罪及相关事项高级别联合对话在北京举行,中美两国相关执法部门就网络安全桌面推演、热线机制、网络安全保护、执法信息交流和能力提升、涉网案件调查等重要议题进行会商。2016年7月11日,中国与联合国共同举办了第二次网络安全国际研讨会,旨在推动网络空间全球治理,促进形成一个开放、安全、稳定、可接入、和平的信息通信技术环境。2016年12月7日,中美双方在华盛顿共同主持了第三次中美打击网络犯罪及相关事项高级别联合对话,双方对网络犯罪或其他恶意网络行为的信息及协助请求进行响应的时效性、质量进行了评估,并就加强打击网络犯罪、网络保护及其他相关事项的双边务实合作达成意见。另外,中美双方就网络传播儿童色情、商业窃密、网络诈骗、利用技术和通信组织、策划和实施恐怖活动等10余起案件相互开展协查和合作;中方还向美方提出20起位于美国的僵尸网络控制端和仿冒中国银行机构钓鱼网站线索,请美方进行核查、处置,美方给予了积极响应。
此外,中国互联网应急中心(CNCERT)作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口,多年来积极开展网络安全国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制。CNCERT是国际著名网络安全合作组织 FIRST 的正式成员,以及亚太应急组织APCERT的发起者之一。截至2016年,CNCERT已与69个国家和地区的185个组织建立了“CNCERT国际合作伙伴”关系。