當前，網(wǎng)絡(luò)安全威脅日益突出，網(wǎng)絡(luò)安全風(fēng)險不斷向政治、經(jīng)濟、文化、社會、生態(tài)、國防等領(lǐng)域傳導(dǎo)滲透，各國加強網(wǎng)絡(luò)安全監(jiān)管，持續(xù)出臺網(wǎng)絡(luò)安全政策法規(guī)。2018年，在中央網(wǎng)絡(luò)安全和信息化委員會（原“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”）的統(tǒng)一領(lǐng)導(dǎo)下，我國進一步加強網(wǎng)絡(luò)安全和信息化管理工作，各行業(yè)主管部門協(xié)同推進網(wǎng)絡(luò)安全治理。國家互聯(lián)網(wǎng)應(yīng)急中心（以下簡稱“CNCERT”）持續(xù)加強我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測，開展我國互聯(lián)網(wǎng)宏觀網(wǎng)絡(luò)安全態(tài)勢評估，網(wǎng)絡(luò)安全事件監(jiān)測、協(xié)調(diào)處置和預(yù)警通報工作，取得了顯著成效。CNCERT依托我國宏觀安全監(jiān)測數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)安全威脅治理實踐成果，在本報告中重點對2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況進行了分析和總結(jié)，并對2019年的網(wǎng)絡(luò)安全趨勢進行預(yù)測。

以下是該報告全文，敬請閱讀。

一、2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況

2018年，我國進一步健全網(wǎng)絡(luò)安全法律體系，完善網(wǎng)絡(luò)安全管理體制機制，持續(xù)加強公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測和治理，構(gòu)建互聯(lián)網(wǎng)發(fā)展安全基礎(chǔ)，構(gòu)筑網(wǎng)民安全上網(wǎng)環(huán)境，特別是在黨政機關(guān)和重要行業(yè)方面，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力不斷提升，惡意程序感染、網(wǎng)頁篡改、網(wǎng)站后門等傳統(tǒng)的安全問題得到有效控制。全年未發(fā)生大規(guī)模病毒爆發(fā)、大規(guī)模網(wǎng)絡(luò)癱瘓的重大事件，但關(guān)鍵信息基礎(chǔ)設(shè)施、云平臺等面臨的安全風(fēng)險仍較為突出，APT攻擊、數(shù)據(jù)泄露、分布式拒絕服務(wù)攻擊（以下簡稱“DDoS攻擊”）等問題也較為嚴重。

（一）我國網(wǎng)絡(luò)安全法律法規(guī)政策保障體系逐步健全

自我國《網(wǎng)絡(luò)安全法》于2017年6月1日正式實施以來，我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及配套制度逐步健全，逐漸形成綜合法律、監(jiān)管規(guī)定、行業(yè)與技術(shù)標準的綜合化、規(guī)范化體系，我國網(wǎng)絡(luò)安全工作法律保障體系不斷完善，網(wǎng)絡(luò)安全執(zhí)法力度持續(xù)加強。2018年，全國人大常委會發(fā)布《十三屆全國人大常委會立法規(guī)劃》，包含個人信息保護、數(shù)據(jù)安全、密碼等方面。黨中央、國務(wù)院各部門相繼發(fā)力，網(wǎng)絡(luò)安全方面法規(guī)、規(guī)章、司法解釋等陸續(xù)發(fā)布或?qū)嵤?。《網(wǎng)絡(luò)安全等級保護條例》已向社會公開征求意見，《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》、《關(guān)于加強跨境金融網(wǎng)絡(luò)與信息服務(wù)管理的通知》、《區(qū)塊鏈信息服務(wù)管理規(guī)定》、《關(guān)于加強政府網(wǎng)站域名管理的通知》等加強網(wǎng)絡(luò)安全執(zhí)法或強化相關(guān)領(lǐng)域網(wǎng)絡(luò)安全的文件發(fā)布。

（二）我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理取得新成效

我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境經(jīng)過多年的持續(xù)治理效果顯著，網(wǎng)絡(luò)安全環(huán)境得到明顯改善。特別是黨中央加強了對網(wǎng)絡(luò)安全和信息化工作的統(tǒng)一領(lǐng)導(dǎo)，黨政機關(guān)和重要行業(yè)加強網(wǎng)絡(luò)安全防護措施，針對黨政機關(guān)和重要行業(yè)的木馬僵尸惡意程序、網(wǎng)站安全、安全漏洞等傳統(tǒng)網(wǎng)絡(luò)安全事件大幅減少。2018年，CNCERT協(xié)調(diào)處置網(wǎng)絡(luò)安全事件約10.6萬起，其中網(wǎng)頁仿冒事件最多，其次是安全漏洞、惡意程序、網(wǎng)頁篡改、網(wǎng)站后門、DDoS攻擊等事件。CNCERT持續(xù)組織開展計算機惡意程序常態(tài)化打擊工作，2018年成功關(guān)閉772個控制規(guī)模較大的僵尸網(wǎng)絡(luò)，成功切斷了黑客對境內(nèi)約390萬臺感染主機的控制。據(jù)抽樣監(jiān)測，在政府網(wǎng)站安全方面，遭植入后門的我國政府網(wǎng)站數(shù)量平均減少了46.5%，遭篡改網(wǎng)站數(shù)量平均減少了16.4%，顯示我國政府網(wǎng)站的安全情況有所好轉(zhuǎn)。在主管部門指導(dǎo)下，CNCERT聯(lián)合基礎(chǔ)電信企業(yè)、云服務(wù)商等持續(xù)開展DDoS攻擊資源專項治理工作，從源頭上遏制了DDoS攻擊行為，有效降低了來自我國境內(nèi)的攻擊流量。據(jù)CNCERT抽樣監(jiān)測，2018年境內(nèi)發(fā)起DDoS攻擊的活躍控制端數(shù)量同比下降46%、被控端數(shù)量同比下降37%；境內(nèi)反射服務(wù)器、跨域偽造流量來源路由器、本地偽造流量來源路由器等可利用的攻擊資源消亡速度加快、新增率降低。根據(jù)外部報告，我國境內(nèi)僵尸網(wǎng)絡(luò)控制端數(shù)量在全球的排名從前三名降至第十名 ，DDoS活躍反射源下降了60% ①。

（三）勒索軟件對重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施威脅加劇

2018年勒索軟件攻擊事件頻發(fā)，變種數(shù)量不斷攀升，給個人用戶和企業(yè)用戶帶來嚴重損失。2018年，CNCERT捕獲勒索軟件近14萬個，全年總體呈現(xiàn)增長趨勢，特別在下半年，伴隨“勒索軟件即服務(wù)”產(chǎn)業(yè)的興起，活躍勒索軟件數(shù)量呈現(xiàn)快速增長勢頭，且更新頻率和威脅廣度都大幅度增加，例如勒索軟件GandCrab全年出現(xiàn)了約19個版本，一直快速更新迭代。勒索軟件傳播手段多樣，利用影響范圍廣的漏洞進行快速傳播是當前主要方式之一，例如勒索軟件Lucky通過綜合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等進行快速攻擊傳播。2018年，重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點攻擊目標，其中，政府、醫(yī)療、教育、研究機構(gòu)、制造業(yè)等是受到勒索軟件攻擊較嚴重行業(yè)。例如GlobeImposter、GandCrab等勒索軟件變種攻擊了我國多家醫(yī)療機構(gòu)，導(dǎo)致醫(yī)院信息系統(tǒng)運行受到嚴重影響。

（四）越來越多的APT攻擊行為被披露

2018年，全球?qū)I(yè)網(wǎng)絡(luò)安全機構(gòu)發(fā)布了各類高級威脅研究報告478份，同比增長了約3.6倍，其中我國12個研究機構(gòu)發(fā)布報告80份，這些報告涉及已被確認的APT攻擊組織包括APT28、Lazarus、Group 123、海蓮花、MuddyWater等53個，攻擊目標主要分布在中東、亞太、美洲和歐洲地區(qū)，總體呈現(xiàn)出地緣政治緊密相關(guān)的特性，受攻擊的領(lǐng)域主要包括軍隊國防、政府、金融、外交和能源等。值得注意的是，醫(yī)療、傳媒、電信等國家服務(wù)性行業(yè)領(lǐng)域也正面臨越來越多的APT攻擊風(fēng)險。② APT攻擊組織采用的攻擊手法主要以魚叉郵件攻擊、水坑攻擊、網(wǎng)絡(luò)流量劫持或中間人攻擊等，其頻繁利用公開或開源的攻擊框架和工具，并綜合利用多種技術(shù)以實現(xiàn)攻擊，或規(guī)避與歷史攻擊手法的重合。

（五）云平臺成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，雖然國內(nèi)主流云平臺使用的IP地址數(shù)量僅占我國境內(nèi)全部IP地址數(shù)量的7.7%，但云平臺已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，在各類型網(wǎng)絡(luò)安全事件數(shù)量中，云平臺上的DDoS攻擊次數(shù)、被植入后門的網(wǎng)站數(shù)量、被篡改網(wǎng)站數(shù)量均占比超過50%。同時，國內(nèi)主流云平臺上承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的53.7%，木馬和僵尸網(wǎng)絡(luò)惡意程序控制端IP地址數(shù)量占境內(nèi)全部惡意程序控制端IP地址數(shù)量的59%，表明攻擊者經(jīng)常利用云平臺來發(fā)起網(wǎng)絡(luò)攻擊。分析原因，云平臺成為網(wǎng)絡(luò)攻擊的重要目標是因為大量系統(tǒng)部署到云上，涉及國計民生、企業(yè)運營的數(shù)據(jù)和用戶個人信息，成為攻擊者攫取經(jīng)濟利益的目標。從云平臺上發(fā)出的攻擊增多是因為云服務(wù)使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性，且云網(wǎng)絡(luò)流量的復(fù)雜性有利于攻擊者隱藏真實身份，攻擊者更多的利用云平臺設(shè)備作為跳板機或控制端發(fā)起網(wǎng)絡(luò)攻擊。此外，云平臺用戶對其部署在云平臺上系統(tǒng)的網(wǎng)絡(luò)安全防護重視不足，導(dǎo)致其系統(tǒng)可能面臨更大的網(wǎng)絡(luò)安全風(fēng)險。因此，云服務(wù)商和云用戶都應(yīng)加大對網(wǎng)絡(luò)安全的重視和投入，分工協(xié)作提升網(wǎng)絡(luò)安全防范能力。云服務(wù)商應(yīng)提供基礎(chǔ)性的網(wǎng)絡(luò)安全防護措施并保障云平臺安全運行，全面提高云平臺的安全性和可控性。云用戶對部署在云平臺上的系統(tǒng)承擔(dān)主體責(zé)任，需全面落實系統(tǒng)的網(wǎng)絡(luò)安全防護要求。

（六）拒絕服務(wù)攻擊頻次下降但峰值流量持續(xù)攀升

 DDoS攻擊是難以防范的網(wǎng)絡(luò)攻擊手段之一，攻擊手段和強度不斷更新，并逐步形成了“DDoS即服務(wù)”的互聯(lián)網(wǎng)黑色產(chǎn)業(yè)服務(wù)，普遍用于行業(yè)惡意競爭、敲詐勒索等網(wǎng)絡(luò)犯罪。得益于我國網(wǎng)絡(luò)空間環(huán)境治理取得的有效成果，經(jīng)過對DDoS攻擊資源的專項治理，我國境內(nèi)拒絕服務(wù)攻擊頻次總體呈現(xiàn)下降趨勢。根據(jù)第三方分析報告，2018年我國境內(nèi)全年DDoS攻擊次數(shù)同比下降超過20%，特別是反射攻擊較去年減少了80% 。③CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2018年我國境內(nèi)峰值流量超過Tbps級的DDoS攻擊次數(shù)較往年增加較多，達68起。其中，2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27Tbps。

（七）針對工業(yè)控制系統(tǒng)的定向性攻擊趨勢明顯

 2018年，針對特定工業(yè)系統(tǒng)的攻擊越來越多，并多與傳統(tǒng)攻擊手段結(jié)合，針對國家工業(yè)控制系統(tǒng)的攻擊日益呈現(xiàn)出定向性特點。惡意軟件Trisis利用施耐德Triconex安全儀表控制系統(tǒng)零日漏洞，攻擊了中東某石油天然氣工廠，致其工廠停運。分析發(fā)現(xiàn)，Trisis完整的文件庫通過五種不同的編程語言構(gòu)建，因其定向性的特點，僅能在其攻擊的同款工業(yè)設(shè)備上測試才能完全了解該惡意軟件。2018年中期，惡意軟件GreyEnergy被捕獲，主要針對運行數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）軟件和服務(wù)器的工業(yè)控制系統(tǒng)工作站，具有模塊化架構(gòu)，功能可進一步擴展，可進行后門訪問、竊取文件、抓取屏幕截圖、記錄敲擊鍵和竊取憑據(jù)等操作。2018年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)聯(lián)網(wǎng)工業(yè)設(shè)備、系統(tǒng)、平臺等遭受惡意嗅探、網(wǎng)絡(luò)攻擊的次數(shù)顯著提高，雖未發(fā)生重大安全事件，但需提高警惕，引起重視。

（八）虛假和仿冒移動應(yīng)用增多且成為網(wǎng)絡(luò)詐騙新渠道

  近年來，隨著互聯(lián)網(wǎng)與經(jīng)濟、生活的深度捆綁交織，通過互聯(lián)網(wǎng)對網(wǎng)民實施遠程非接觸式詐騙手段不斷翻新，先后出現(xiàn)了“網(wǎng)絡(luò)投資”、“網(wǎng)絡(luò)交友”、“網(wǎng)購返利”等新型網(wǎng)絡(luò)詐騙手段。隨著我國移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和應(yīng)用普及，2018年通過移動應(yīng)用實施網(wǎng)絡(luò)詐騙的事件尤為突出，如大量虛假的“貸款A(yù)PP”并無真實貸款業(yè)務(wù)，僅用于詐騙分子騙取用戶的隱私信息和錢財。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，在此類虛假的“貸款A(yù)PP”上提交姓名、身份證照片、個人資產(chǎn)證明、銀行賬戶、地址等個人隱私信息的用戶超過150萬人，大量受害用戶向詐騙分子支付了上萬元的所謂“擔(dān)保費”、“手續(xù)費”費用，經(jīng)濟利益受到實質(zhì)損害。此外，CNCERT還發(fā)現(xiàn)，具有與正版軟件相似圖標或名字的仿冒APP數(shù)量呈上升趨勢。2018年，CNCERT通過自主監(jiān)測和投訴舉報方式共捕獲新增金融行業(yè)移動互聯(lián)網(wǎng)仿冒APP 樣本838個，同比增長了近3.5倍，達近年新高。這些仿冒APP通常采用“蹭熱度”的方式來傳播和誘惑用戶下載并安裝，可能會造成用戶通訊錄和短信內(nèi)容等個人隱私信息泄露，或在未經(jīng)用戶允許的情況下私自下載惡意軟件，造成惡意扣費等危害。

（九）數(shù)據(jù)安全問題引起前所未有的關(guān)注

      2018年3月，F(xiàn)acebook公司被爆出大規(guī)模數(shù)據(jù)泄露，且這些泄露的數(shù)據(jù)被惡意利用，引起國內(nèi)外普遍關(guān)注。2018年，我國也發(fā)生了包括十幾億條快遞公司的用戶信息、2.4億條某連鎖酒店入住信息、900萬條某網(wǎng)站用戶數(shù)據(jù)信息、某求職網(wǎng)站用戶個人求職簡歷等數(shù)據(jù)泄露事件，這些泄露數(shù)據(jù)包含了大量的個人隱私信息，如姓名、地址、銀行卡號、身份證號、聯(lián)系電話、家庭成員等，給我國網(wǎng)民人身安全、財產(chǎn)安全帶來了安全隱患。2018年5月25日，歐盟頒布執(zhí)行史上最嚴的個人數(shù)據(jù)保護條例《通用數(shù)據(jù)保護條例》（GDPR），掀起了國內(nèi)外的廣泛討論，該法案重點保護的是自然人的“個人數(shù)據(jù)”，例如姓名、地址、電子郵件地址、電話號碼、生日、銀行賬戶、汽車牌照、IP地址以及cookies等。根據(jù)定義，該法案監(jiān)管收集個人數(shù)據(jù)的行為，包括所有形式的網(wǎng)絡(luò)追蹤。GDPR實施三天后，F(xiàn)acebook和谷歌等美國企業(yè)成為GDPR法案下第一批被告，這不僅給業(yè)界敲響了警鐘，也督促更多企業(yè)投入精力保護數(shù)據(jù)安全尤其是個人隱私數(shù)據(jù)安全。

二、2019年網(wǎng)絡(luò)安全趨勢預(yù)測

 結(jié)合2018年我國網(wǎng)絡(luò)安全狀況，以及5G、IPv6、區(qū)塊鏈等新技術(shù)的發(fā)展和應(yīng)用，CNCERT預(yù)測2019年網(wǎng)絡(luò)安全趨勢主要如下：

（一）有特殊目的針對性更強的網(wǎng)絡(luò)攻擊越來越多

目前，網(wǎng)絡(luò)攻擊者發(fā)起網(wǎng)絡(luò)攻擊的針對性越來越強，有特殊目的的攻擊行動頻發(fā)。近年來，有攻擊團伙長期以我國政府部門、事業(yè)單位、科研院所的網(wǎng)站為主要目標實施網(wǎng)頁篡改，境外攻擊團伙持續(xù)對我政府部門網(wǎng)站實施DDoS攻擊。網(wǎng)絡(luò)安全事件與社會活動緊密結(jié)合趨勢明顯，網(wǎng)絡(luò)攻擊事件高發(fā)。

（二）國家關(guān)鍵信息基礎(chǔ)設(shè)施保護受到普遍關(guān)注

   作為事關(guān)國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的戰(zhàn)略資源，國家關(guān)鍵信息基礎(chǔ)設(shè)施保護的工作尤為重要。當前，應(yīng)用廣泛的基礎(chǔ)軟硬件安全漏洞不斷被披露、具有特殊目的的黑客組織不斷對我國關(guān)鍵信息基礎(chǔ)設(shè)施實施網(wǎng)絡(luò)攻擊，我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險不斷加大。2018年，APT攻擊活動持續(xù)活躍，我國多個重要行業(yè)遭受攻擊。隨著關(guān)鍵信息基礎(chǔ)設(shè)施承載的信息價值越來越大，針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將會愈演愈烈。

（三）個人信息和重要數(shù)據(jù)泄露危害更加嚴重

  2018年Facebook信息泄露事件讓我們重新審視個人信息和重要數(shù)據(jù)的泄露可能引發(fā)的危害，信息泄露不僅侵犯網(wǎng)民個人利益，甚至可能對國家政治安全造成影響。2018年我國境內(nèi)發(fā)生了多起個人信息和重要數(shù)據(jù)泄露事件，犯罪分子利用大數(shù)據(jù)等技術(shù)手段，整合獲得的各類數(shù)據(jù)，可形成對用戶的多維度精準畫像，所產(chǎn)生的危害將更為嚴重。

（四）5G、IPv6等新技術(shù)廣泛應(yīng)用帶來的安全問題值得關(guān)注

目前，我國5G、IPv6規(guī)模部署和試用工作逐步推進，關(guān)于5G、IPv6自身的安全問題以及衍生的安全問題值得關(guān)注。5G技術(shù)的應(yīng)用代表著增強的移動寬帶、海量的機器通信以及超高可靠低時延的通信，與IPv6技術(shù)應(yīng)用共同發(fā)展，將真正實現(xiàn)讓萬物互聯(lián)，互聯(lián)網(wǎng)上承載的信息將更為豐富，物聯(lián)網(wǎng)將大規(guī)模發(fā)展。但重要數(shù)據(jù)泄露、物聯(lián)網(wǎng)設(shè)備安全問題目前尚未得到有效解決，物聯(lián)網(wǎng)設(shè)備被大規(guī)模利用發(fā)起網(wǎng)絡(luò)攻擊的問題也將更加突出。同時，區(qū)塊鏈技術(shù)也受到國內(nèi)外廣泛關(guān)注并快速應(yīng)用，從數(shù)字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯(lián)網(wǎng)等多個領(lǐng)域延伸。隨著區(qū)塊鏈應(yīng)用的范圍和深度逐漸擴大，數(shù)字貨幣被盜、智能合約、錢包和挖礦軟件漏洞等安全問題將會更加凸顯。

附錄：2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析

一、惡意程序

（一）計算機惡意程序捕獲情況

  2018年，CNCERT全年捕獲計算機惡意程序樣本數(shù)量超過1億個，涉及計算機惡意程序家族51萬余個，較2017年增加8,132個。全年計算機惡意程序傳播次數(shù) 日均達500萬余次。按照計算機惡意程序傳播來源統(tǒng)計，位于境外的主要是來自美國、加拿大和俄羅斯等國家和地區(qū)，來自境外的具體分布如圖1所示。位于境內(nèi)的主要是位于陜西省、浙江省和河南省等省份。按照受惡意程序攻擊的IP統(tǒng)計，我國境內(nèi)受計算機惡意程序攻擊的IP地址約5,946萬個，約占我國IP總數(shù)的17.5%，這些受攻擊的IP地址主要集中在江蘇省、山東省、浙江省、廣東省等地區(qū)，2018年我國受計算機惡意程序攻擊的IP分布情況如圖2所示。

圖1 2018年計算機惡意代碼傳播源位于境外分布情況

圖2 2018年我國受計算機惡意代碼攻擊的IP分布情況

（二）計算機惡意程序用戶感染情況

據(jù)CNCERT抽樣監(jiān)測，2018年，我國境內(nèi)感染計算機惡意程序的主機數(shù)量約655萬臺，同比下降47.8%，如圖3所示。位于境外的約4.9萬個計算機惡意程序控制服務(wù)器控制了我國境內(nèi)約526萬臺主機，就控制服務(wù)器所屬國家來看，位于美國、日本和德國的控制服務(wù)器數(shù)量分列前三位，分別是約14,752個、6,551個和2,166個；就所控制我國境內(nèi)主機數(shù)量來看，位于美國、中國香港和法國的控制服務(wù)器控制規(guī)模分列前三位，分別控制了我國境內(nèi)約334萬、48萬和33萬臺主機。

圖3 境內(nèi)感染計算機惡意程序主機數(shù)量變化

我國境內(nèi)感染計算機惡意程序主機數(shù)量地區(qū)分布來看，主要分布在廣東?。ㄕ嘉覈硟?nèi)感染數(shù)量的10.9%）、江蘇?。ㄕ?.9%）、浙江?。ㄕ?.4%）等省份，但從我國境內(nèi)各地區(qū)感染計算機惡意程序主機數(shù)量所占本地區(qū)活躍IP地址數(shù)量比例來看，河南省、江蘇省和廣西壯族自治區(qū)分列前三位，如圖4所示。在監(jiān)測發(fā)現(xiàn)的因感染計算機惡意程序而形成的僵尸網(wǎng)絡(luò)中，規(guī)模在100臺主機以上的僵尸網(wǎng)絡(luò)數(shù)量達3,710個，規(guī)模在10萬臺以上的僵尸網(wǎng)絡(luò)數(shù)量達36個，如圖5所示。為有效控制計算機惡意程序感染主機引發(fā)的危害，2018年，CNCERT組織基礎(chǔ)電信企業(yè)、域名服務(wù)機構(gòu)等成功關(guān)閉772個控制規(guī)模較大的僵尸網(wǎng)絡(luò)。根據(jù)第三方統(tǒng)計報告，位于我國境內(nèi)的僵尸網(wǎng)絡(luò)控制端數(shù)量在全球的排名情況以及在全球控制端總數(shù)量的占比均呈現(xiàn)下降趨勢④。

圖4 我國各地區(qū)感染計算機惡意程序主機數(shù)量占本地區(qū)活躍IP地址數(shù)量比例

（三）移動互聯(lián)網(wǎng)惡意程序

    目前，隨著移動互聯(lián)網(wǎng)技術(shù)快速發(fā)展，我國移動互聯(lián)網(wǎng)網(wǎng)民數(shù)量突破8.17億（占我國網(wǎng)民總數(shù)量的98.6%）⑤，金融服務(wù)、生活服務(wù)、支付業(yè)務(wù)等全面向移動互聯(lián)網(wǎng)應(yīng)用遷移。但竊取用戶信息、發(fā)送垃圾信息、推送廣告和欺詐信息等危害移動互聯(lián)網(wǎng)正常運行的惡意行為在不斷侵犯廣大移動用戶的合法利益。2018年，CNCERT通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量283萬余個，同比增長11.7%，盡管近三年來增長速度有所放緩，但仍保持高速增長趨勢，如圖6所示。通過對惡意程序的惡意行為統(tǒng)計發(fā)現(xiàn)，排名前三的分別為流氓行為類、資費消耗類和信息竊取類 ，占比分別為45.8%、24.3%和14.9%，如圖7所示。為有效防范移動互聯(lián)網(wǎng)惡意程序的危害，嚴格控制移動互聯(lián)網(wǎng)惡意程序傳播途徑，連續(xù)6年以來，CNCERT聯(lián)合應(yīng)用商店、云平臺等服務(wù)平臺持續(xù)加強對移動互聯(lián)網(wǎng)惡意程序的發(fā)現(xiàn)和下架力度，以保障移動互聯(lián)網(wǎng)健康有序發(fā)展。2018年，CNCERT累計協(xié)調(diào)國內(nèi)314家提供移動應(yīng)用程序下載服務(wù)的平臺，下架3517個移動互聯(lián)網(wǎng)惡意程序。

圖6 2010年至2018年移動互聯(lián)網(wǎng)惡意程序捕獲數(shù)量走勢

圖7 2018年移動互聯(lián)網(wǎng)惡意程序數(shù)量按行為屬性統(tǒng)計

（四）聯(lián)網(wǎng)智能設(shè)備惡意程序

據(jù)CNCERT監(jiān)測發(fā)現(xiàn)，目前活躍在智能聯(lián)網(wǎng)設(shè)備上的惡意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。這些惡意程序及其變種產(chǎn)生的主要危害包括用戶信息和設(shè)備數(shù)據(jù)泄露、硬件設(shè)備遭控制和破壞、被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網(wǎng)絡(luò)設(shè)備竊取用戶上網(wǎng)數(shù)據(jù)等。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2018年，聯(lián)網(wǎng)智能設(shè)備惡意程序控制服務(wù)器IP地址約2.3萬個，位于境外的IP地址占比約87.5%；被控聯(lián)網(wǎng)智能設(shè)備IP地址約446.8萬個，位于境內(nèi)的IP地址占比約34.6%，其中山東、浙江、河南、江蘇等地被控聯(lián)網(wǎng)智能設(shè)備IP地址數(shù)量均超過10萬個；控制聯(lián)網(wǎng)智能設(shè)備且控制規(guī)模在1,000臺以上的僵尸網(wǎng)絡(luò)有363個，其中，控制規(guī)模在1萬臺以上的僵尸網(wǎng)絡(luò)19個，5萬臺以上的8個，如表1所示。

表1 2018年聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制規(guī)模統(tǒng)計情況

二、安全漏洞

（一）安全漏洞收錄情況

2014年以來，國家信息安全漏洞共享平臺（CNVD） 收錄安全漏洞數(shù)量年平均增長率為15.0%，其中，2018年收錄安全漏洞數(shù)量同比減少了11.0%，共計14,201個，高危漏洞收錄數(shù)量為4,898個（占34.5%），同比減少12.8%，但近年來“零日”漏洞 收錄數(shù)量持續(xù)走高，2018年收錄的安全漏洞數(shù)量中，“零日”漏洞收錄數(shù)量占比37.9%，高達5,381個，同比增長39.6%，如圖8所示。安全漏洞主要涵蓋Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等廠商產(chǎn)品，如表2所示。按影響對象分類統(tǒng)計，收錄漏洞中應(yīng)用程序漏洞占57.8%，Web應(yīng)用漏洞占18.7%，操作系統(tǒng)漏洞占10.6%，網(wǎng)絡(luò)設(shè)備（如路由器、交換機等）漏洞占9.5%，安全產(chǎn)品（如防火墻、入侵檢測系統(tǒng)等）漏洞占2.4%，數(shù)據(jù)庫漏洞占1.0%，如圖9所示。

圖8 2013年至2018年CNVD收錄安全漏洞數(shù)量對比

表2 2018年CNVD收錄漏洞涉及廠商情況統(tǒng)計

圖9 2018年CNVD收錄漏洞按影響對象類型分類統(tǒng)計

2018年，CNVD繼續(xù)推進移動互聯(lián)網(wǎng)、電信行業(yè)、工業(yè)控制系統(tǒng)和電子政務(wù)4類子漏洞庫的建設(shè)工作，分別新增收錄安全漏洞數(shù)量1,150個（占全年收錄數(shù)量的8.1%）、720個（占5.1%）、461個（占3.2%）和171個（占1.2%），如圖10所示。其中工業(yè)控制系統(tǒng)子漏洞庫收錄數(shù)量持續(xù)攀升，較2017年增長了22.6%。CNVD全年通報涉及政府機構(gòu)、重要信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞事件約2.1萬起，同比下降23.6%。

2018年，應(yīng)用廣泛的軟硬件漏洞被披露，修復(fù)難度很大，給我國網(wǎng)絡(luò)安全帶來嚴峻挑戰(zhàn)，包括計算機中央處理器（CPU）芯片爆出Meltdown漏洞 和Spectre漏洞 ，影響了1995年以后生產(chǎn)的所有Intel、AMD、ARM等CPU芯片，同時影響了各主流云服務(wù)平臺及Windows、Linux、MacOS、Android等主流操作系統(tǒng)。隨后，Oracle Weblogic server、Cisco Smart Install等在我國使用廣泛的軟件產(chǎn)品也相繼爆出存在嚴重安全漏洞。

（二）聯(lián)網(wǎng)智能設(shè)備安全漏洞

2018年，CNVD收錄的安全漏洞中關(guān)于聯(lián)網(wǎng)智能設(shè)備安全漏洞有2,244個，同比增長8.0%。這些安全漏洞涉及的類型主要包括設(shè)備信息泄露、權(quán)限繞過、遠程代碼執(zhí)行、弱口令等；涉及的設(shè)備類型主要包括家用路由器、網(wǎng)絡(luò)攝像頭等。

三、拒絕服務(wù)攻擊

2018年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)我國境內(nèi)峰值超過10Gbps的大流量分布式拒絕服務(wù)攻擊（DDoS攻擊）事件數(shù)量平均每月超過4,000起，超過60%的攻擊事件為僵尸網(wǎng)絡(luò)控制發(fā)起。僵尸網(wǎng)絡(luò)主要偏好發(fā)動TCP SYN FLOOD和UDP FLOOD攻擊，在線攻擊平臺主要偏好發(fā)送UDP Amplification FLOOD攻擊。

（一）攻擊資源情況

2018年，CNCERT對全年用于發(fā)起DDoS攻擊的攻擊資源進行了持續(xù)分析，發(fā)現(xiàn)用于發(fā)起DDoS攻擊的C&C控制服務(wù)器 數(shù)量共2,108臺，總?cè)怆u 數(shù)量約144萬臺，反射攻擊服務(wù)器約197萬臺，受攻擊目標IP地址數(shù)量約9萬個，這些攻擊目標主要分布在色情、博彩等互聯(lián)網(wǎng)地下黑產(chǎn)方面以及文化體育和娛樂領(lǐng)域，此外還包括運營商IDC、金融、教育、政府機構(gòu)等。

（二）攻擊團伙情況

2018年，CNCERT共監(jiān)測發(fā)現(xiàn)利用僵尸網(wǎng)絡(luò)進行攻擊的DDoS攻擊團伙50個。從全年來看，與DDoS攻擊事件數(shù)量、C&C控制服務(wù)器數(shù)量一樣，攻擊團伙數(shù)量在2018年8月達到最高峰。其中，控制肉雞數(shù)量較大的較活躍攻擊團伙有16個，涉及C&C控制服務(wù)器有358個，攻擊目標有2.8萬個，如表3所示。為進一步分析這16個團伙的關(guān)系情況，通過對全年攻擊活動進行分析，發(fā)現(xiàn)不同攻擊團伙之間相互較為獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間的攻擊目標重合度較小。

表3 2018年活躍攻擊團伙基本信息表

四、網(wǎng)站安全

2018年，CNCERT加強了對網(wǎng)站攻擊資源的分析工作，發(fā)現(xiàn)絕大多數(shù)網(wǎng)站攻擊行為由少量的活躍攻擊資源 發(fā)起，對我國網(wǎng)站安全影響較大。根據(jù)這些攻擊資源之間的關(guān)聯(lián)關(guān)系，可將其劃分為不同的“攻擊團伙”所掌握。這些“攻擊團伙”不斷更換其掌握的大量攻擊資源，長期攻擊并控制著大量安全防護能力薄弱的網(wǎng)站。通過挖掘和研判“攻擊團伙”對受攻擊網(wǎng)站的具體操作行為，CNCERT發(fā)現(xiàn)這些攻擊多帶有黑帽SEO 、網(wǎng)頁篡改等典型黑產(chǎn)利益意圖，并使用流行的攻擊工具對網(wǎng)站開展批量化、長期化控制。隨著對網(wǎng)站面臨安全風(fēng)險的深入分析，CNCERT掌握了大量的攻擊者特征及攻擊手法，能為我國做好網(wǎng)站安全管理提出更有針對性、更有效的防范建議。

（一）網(wǎng)頁仿冒

2018年，CNCERT自主監(jiān)測發(fā)現(xiàn)約5.3萬個針對我國境內(nèi)網(wǎng)站的仿冒頁面，頁面數(shù)量較2017年增長了7.2%。其中，仿冒政務(wù)類網(wǎng)站數(shù)量明顯上升，占比高達25.2%，經(jīng)分析，這些仿冒頁面主要被用于短期內(nèi)提高其域名的搜索引擎排名，從而快速轉(zhuǎn)化為經(jīng)濟利益。為有效防范網(wǎng)頁仿冒引發(fā)的危害，CNCERT重點針對金融行業(yè)、電信行業(yè)網(wǎng)上營業(yè)廳的仿冒頁面進行處置，全年共協(xié)調(diào)處置仿冒頁面3.5萬余個。從承載仿冒頁面IP地址歸屬情況來看，絕大多數(shù)位于境外，主要分布在美國和中國香港，如圖11所示。

圖11 2018年承載仿冒頁面IP地址和仿冒頁面數(shù)量分布

（二）網(wǎng)站后門

1. 我國境內(nèi)被植入后門情況

2018年，CNCERT監(jiān)測發(fā)現(xiàn)境內(nèi)外約1.6萬個IP地址對我國境內(nèi)約2.4萬個網(wǎng)站植入后門。近三年來，我國境內(nèi)被植入后門的網(wǎng)站數(shù)量持續(xù)保持下降趨勢，2018年的數(shù)量較2017年下降了19.3%。其中，約有1.4萬個（占全部IP地址總數(shù)的90.9%）境外IP地址對境內(nèi)約1.7萬個網(wǎng)站植入后門，位于美國的IP地址最多，占境外IP地址總數(shù)的23.2%，其次是位于中國香港和俄羅斯的IP地址，如圖12所示。從控制我國境內(nèi)網(wǎng)站總數(shù)來看，位于中國香港的IP地址控制我國境內(nèi)網(wǎng)站數(shù)量最多，有3,994個，其次是位于美國和俄羅斯的IP地址，分別控制了我國境內(nèi)3,607個和2,011個網(wǎng)站。