2014安全态势分析-CNCERT

2014国家计算机网络应急技术处理协调中心2015年4月1 ,2014年是我国接入国际互联网20周年，也是我国网络安全和信息化国家战略迈出重要步伐的一年。党中央高度重视网络

2014

国家计算机网络应急技术处理协调中心

2015年4月

1

2014年是我国接入国际互联网20周年，也是我国网络安全和信息化国家战略迈出重要步伐的一年。党中央高度重视网络安全工作，成立中央网络安全和信息化领导小组，党的十八届四中全会明确提出加强互联网领域立法，政府工作报告首次出现“维护网络安全”表述，相关管理办法和指导意见先后出台，各类宣传和竞赛活动接连开展，网络安全意识水平逐年提高，我国互联网网络安全状况总体平稳。

近年来，2014年121，网站使用的独立域名为481.221068家3，网民规模达6.49亿4，互联网普及率达到47.96，互联网全面升级提速，4G 信息化的迅猛发展也带来诸险，域名系统面临严峻的拒网络攻击威胁日益向工业互联网领域渗透，已发现我国部分地址感染专门针1

2 中国互联网协会《中国互联网站发展状况及其安全报告（2015）》数据。 中国互联网协会《中国互联网站发展状况及其安全报告（2015）》数据。

3 中国互联网协会《中国互联网站发展状况及其安全报告（2015）》数据。

4 CNNIC 《第35次中国互联网络发展状况统计报告》数据。

5 CNNIC 《第35次中国互联网络发展状况统计报告》数据。

6 CNNIC 《第35次中国互联网络发展状况统计报告》数据。

2

对工业控制系统的恶意程序事件。分布式反射型的拒绝服务攻击日趋频繁，大量伪造攻击数据包来自境外网络。针对重要信息系统、基础应用和通用软硬件漏洞的攻击利用活跃，漏洞风险向传统领域、智能终端领域泛化演进。网站数据和个人信息泄露现象依然严重，移动应用程序成为数据泄露的新主体。移动恶意程序不断发展演化，环境治理仍然面临挑战。

在工业和信息化部通信保障局的具和指导下，CNCERT 基于2014监测数据编制了本报告。络安全态势，提出了2015

3

一、2014年我国互联网网络安全形势

（一）网络基础设施

1、基础网络

2014年，“宽带中国”战略继续推进实施，我国基础网络建设不断升级完善，安全防护水平进一步提升，但基础网络相关设备仍存在安全风险，网络攻击信息保护等内容，基础电信推动工作系统化、各企业符合性测评平均得分均达到80以上的漏洞完成修复，并对

随着基础网络安全增多。2014年，CNCERT 协调处置涉及基础电信企业的漏洞事件1578起，是2013年的3倍。CNVD 7收录与基础电信企业软硬件7 CNVD 全称为国家信息安全漏洞共享平台（CHINA NATIONAL VULNERABILITY DATABASE），是由CNCERT 联合国内重要信息系统单位、基础电信企业、网络安全厂商、软硬件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

4

资产相关的漏洞825个，其中与路由器、交换机等网络设备相关的漏洞占比达66.2，主要包括内置后门、远程代码执行等类型，这些漏洞将可能导致网络设备或节点被操控，出现窃取用户信息、传播恶意代码、实施网络攻击、破坏网络稳定运行等安全事件。

云服务日益成为网络攻击的重点目标。我国基础电信企业和许多大型互联网服务商纷纷加快云平台部署，大量金融、游戏、电子商务、2014年协助处浙江宁波某IDC 年12月中旬，某击，。还可能

其解析安全直接影响网站的正常访问。域面临严重拒绝服务攻击威胁，一些重要网站频繁发生域名解析被篡改事件。

域名系统面临的拒绝服务攻击威胁进一步加剧。据抽样监测，2014年针对我国域名系统的流量规模达1Gbps 以上的拒绝服务攻击事件日均约187起，约为2013年的3倍，攻击目标上至国家顶

5

级域名系统，下至CDN 服务商的域名解析系统。与往年相比，攻击发生频率更高、流量规模更大。6月，我国某权威新闻网站的权威域名服务器遭受拒绝服务攻击，峰值流量达1.6Gbps ，CNCERT 对攻击进行追溯分析，为公安部门破案提供了重要线索。同月，国内某主要CDN 服务商的域名服务器遭到大规模异常流量攻击，由于其承载国内大量重要网站的CDN 访问均受到严重影响。10月，国家.CN 2013年8月25措施，未受到严重影响，面临的严峻外部威胁。12

2014年发生了多起直接将其域名解DNSPOD 服务器地址，经CNCERT 对我国政府网站（以.gov.cn 结尾）域名解析情况监测分析，在10月份期间测试的870万余个域名中，约有107万余个域名被解析到境外IP 地址，其中有2.9万个域名的Web 端口能够访问，部分指向推广游戏、色情、赌博等内容的异常页面，还有部分页面被植入恶意代码，不仅影响网站

6

管理方形象，甚至可能造成大面积网络安全危害。

3、工业互联网

随着互联网的推进和制造业的转型升级，工业互联网成为推动制造业向智能化发展的重要支撑，将工业领域的生产、研发、管理、销售等各个环节与互联网紧密相连，网络安全风险逐渐累积和延伸，威胁扩展至传统工业基础设施。

攻击方法和手段已逐渐成熟，根据国际有关机构披露，2014年9，它利用了OPC 工业通信技术8，预全球能源行我国境内已有部分IP 部分

1

2014继续呈下降趋势，治理工作成效明显。

我国境内木马僵尸网络感染主机数量稳步下降。据抽样监测，2014年我国境内感染木马僵尸网络的主机为1108.8万余台，较8一种开放、通用的工业数据交换协议，能够实现基于Windows 平台的工业控制系统应用程序与过程控制硬件之间

7 的交互通信。

2013年下降2.3，境内木马僵尸控制服务器6.1万余个，较2013年大幅下降61.4。2014年，在工业和信息化部的指导下，CNCERT 协调基础电信企业、域名服务机构等成功关闭744个控制规模较大的僵尸网络，累计处置767个恶意控制服务器和恶意域名，成

8

传统拒绝服务攻击主要依托木马僵尸网络，通过控制大量主机或服务器（俗称“肉鸡”）对受害目标发起攻击，近年来，拒绝服务攻击的方式和手段不断发展变化，分布式反射型的拒绝服务攻击日趋频繁。

9

分布式反射型攻击逐渐成为拒绝服务攻击的重要形式。分布式反射型攻击是指黑客不直接攻击目标，而利用互联网的一些网络服务协议和开放服务器，伪造被攻击目标地址向开放服务器发起大量请求包，服务器向攻击目标反馈大量应答包，间接发起攻击。这种方式能够隐藏攻击者来源，以较小代价实现攻击规模放大，且攻击目标难以防御，一是频繁发生且流量规模大。仅2014年1010Gbps 协议、NTP 协议9、UPnP 协议10112014年发现的这一方面

“心脏出血”、“破壳”等漏洞展现了基础应用和通用软硬件面临的高危风险，漏洞威胁向传统领域和智能设备领域演化延伸。 9 NTP 协议，即网络时间协议（Network Time Protocol）。

UPnP 协议，即通用即插即用（Universal Plug and Play）协议。

11 CHARGEN 协议，即字符发生器协议（Character General Protocol）。

10

10