2011年,在政府相關(guān)部門、互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)和網(wǎng)民的共同努力下,我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況繼續(xù)保持平穩(wěn)狀態(tài),未發(fā)生造成大范圍影響的重大網(wǎng)絡(luò)安全事件,基礎(chǔ)信息網(wǎng)絡(luò)防護(hù)水平明顯提升,政府網(wǎng)站安全事件顯著減少,網(wǎng)絡(luò)安全事件處置速度明顯加快,但以用戶信息泄露為代表的與網(wǎng)民利益密切相關(guān)的事件,引起了公眾對(duì)網(wǎng)絡(luò)安全的廣泛關(guān)注。本綜述著重對(duì)2011年互聯(lián)網(wǎng)安全威脅的一些新特點(diǎn)和趨勢(shì)進(jìn)行了分析和總結(jié)。
一、我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)
(一)基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升,但安全隱患不容忽視。根據(jù)工信部組織開展的2011年通信網(wǎng)絡(luò)安全防護(hù)檢查情況,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較2010年均有所提高,對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大,網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升,對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng),網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高,各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%,較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢(shì)。
但是,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。據(jù)抽查結(jié)果顯示,域名解析系統(tǒng)(DNS)、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)的百分比分別為6.8%、17.3%和0.6%。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的漏洞統(tǒng)計(jì),2011年發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)的漏洞203個(gè),其中高危漏洞73個(gè);發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè), 應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測(cè),2011年每天發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊,導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無法解析。8月18日晚和19日晚,新疆某運(yùn)營(yíng)商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊,造成局部用戶無法正常使用互聯(lián)網(wǎng)。
(二)政府網(wǎng)站安全事件顯著減少,網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注。據(jù)CNCERT監(jiān)測(cè),2011年中國(guó)大陸被篡改的政府網(wǎng)站為2807個(gè),比2010年大幅下降39.4%;從CNCERT專門面向國(guó)務(wù)院部門門戶網(wǎng)站的安全監(jiān)測(cè)結(jié)果來看,國(guó)務(wù)院部門門戶網(wǎng)站存在低級(jí)別安全風(fēng)險(xiǎn)的比例從2010年的60%進(jìn)一步降低為50%。但從整體來看,2011年網(wǎng)站安全情況有一定惡化趨勢(shì)。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中,網(wǎng)站安全類事件占到61.7%;境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè),較2010年增加5.1%;4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接收的漏洞中,涉及網(wǎng)站相關(guān)的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底, CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注,被公開的疑似泄露數(shù)據(jù)庫26個(gè),涉及帳號(hào)、密碼信息2.78億條,嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn),我國(guó)部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ),相關(guān)漏洞修補(bǔ)不及時(shí),安全防護(hù)水平較低。
(三)我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。
黑影服務(wù)器-僵尸網(wǎng)絡(luò)控制端數(shù)量排名(2012年3月14日)
麥咖啡
賽門鐵克
賽門鐵克——病毒郵件排名(2011年11月)
賽門鐵克——釣魚網(wǎng)站排名(2011年11月)
賽門鐵克-垃圾郵件數(shù)量排名(2011年11月)
索菲斯
索菲斯—垃圾郵件排名
2011年,CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),境外有近4.7萬個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī),雖然其數(shù)量較2010年的22.1萬大幅降低,但其控制的境內(nèi)主機(jī)數(shù)量卻由2010年的近500萬增加至近890萬,呈現(xiàn)大規(guī);厔(shì)。其中位于日本(22.8%)、美國(guó)(20.4%)和韓國(guó)(7.1%)的控制服務(wù)器IP數(shù)量居前三位,美國(guó)繼2009年和2010年兩度位居榜首后,2011年其控制服務(wù)器IP數(shù)量下降至第二,以9528個(gè)IP控制著我國(guó)境內(nèi)近885萬臺(tái)主機(jī),控制我國(guó)境內(nèi)主機(jī)數(shù)仍然高居榜首。在網(wǎng)站安全方面,境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁篡改;境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制,其中美國(guó)有3328個(gè)IP(占28.1%)控制著境內(nèi)3437個(gè)網(wǎng)站,位居第一,源于韓國(guó)(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位;仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外,其中美國(guó)仍然排名首位——共有481個(gè)IP(占72.1%)仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn),中國(guó)香港(占17.8%)和韓國(guó)(占2.7%)分列二、三位?傮w來看,2011年位于美國(guó)、日本和韓國(guó)的惡意IP地址對(duì)我國(guó)的威脅最為嚴(yán)重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù),2011年在我國(guó)實(shí)施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊(cè)。此外,CNCERT在2011年還監(jiān)測(cè)并處理多起境外IP對(duì)我國(guó)網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件。這些情況表明我國(guó)面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴(yán)重。
(四)網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。隨著我國(guó)網(wǎng)上銀行的蓬勃發(fā)展,廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。2011年初,全國(guó)范圍大面積爆發(fā)了假冒中國(guó)銀行網(wǎng)銀口令卡升級(jí)的騙局,據(jù)報(bào)道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測(cè),2011年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍, 3月-12月發(fā)現(xiàn)針對(duì)我國(guó)網(wǎng)銀的釣魚網(wǎng)站域名3841個(gè)。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件,較2010年增長(zhǎng)近2.5倍,占總接收事件的35.5%;重點(diǎn)處理網(wǎng)頁釣魚事件1833件,較2010年增長(zhǎng)近兩倍。
(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后,2011年美國(guó)伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作,11月Stuxnet病毒轉(zhuǎn)變?yōu)閷iT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞,但在處置過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。
(六)手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展,黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。2011年CNCERT捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè),較2010年增加超過兩倍。其中,惡意扣費(fèi)類惡意程序數(shù)量最多,為1317個(gè),占21.08%,其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來看,約有60.7%的惡意程序針對(duì)Symbian平臺(tái),該比例較2010年有所下降,針對(duì)Android平臺(tái)的惡意程序較2010年大幅增加,有望迅速超過Symbian平臺(tái)。2011年境內(nèi)約712萬個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序,嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。
(七)木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗。2011年,CNCERT全年共發(fā)現(xiàn)近890萬余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序,較2010年大幅增加78.5%。其中,感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬余個(gè),國(guó)家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告,2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%,位于較高水平。黑客在瘋狂制造新的惡意程序的同時(shí),也在想方設(shè)法逃避監(jiān)測(cè)和打擊,例如,越來越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測(cè)和處置。