涉及基础电信运营企业的信息安全漏洞数量较多据国家信息安全漏洞共享平台 (CNVD) 收录的漏洞统计,2011 年发现涉及电信运营企业网络设备 ( 如路由器交换机等 ) 的漏洞 203 个, 其中高危漏洞 73 个 ; 发现直接面向公众服务的零日 DNS 漏洞 23 个, 应用广泛的域名解析服务器

Size: px

Start display at page:

Download "涉及基础电信运营企业的信息安全漏洞数量较多据国家信息安全漏洞共享平台 (CNVD) 收录的漏洞统计,2011 年发现涉及电信运营企业网络设备 ( 如路由器交换机等 ) 的漏洞 203 个, 其中高危漏洞 73 个 ; 发现直接面向公众服务的零日 DNS 漏洞 23 个, 应用广泛的域名解析服务器"

饱郎
5 years ago
Views:

1 2011 年我国互联网网络安全态势综述 2011 年, 在政府相关部门互联网服务机构网络安全企业和网民的共同努力下, 我国互联网网络安全状况继续保持平稳状态, 未发生造成大范围影响的重大网络安全事件, 基础信息网络防护水平明显提升, 政府网站安全事件显著减少, 网络安全事件处臵速度明显加快, 但以用户信息泄露为代表的与网民利益密切相关的事件, 引起了公众对网络安全的广泛关注本综述着重对 2011 年互联网安全威胁的一些新特点和趋势进行了分析和总结一我国互联网网络安全形势 ( 一 ) 基础网络防护能力明显提升, 但安全隐患不容忽视根据工信部组织开展的 2011 年通信网络安全防护检查情况, 基础电信运营企业的网络安全防护意识和水平较 2010 年均有所提高, 对网络安全防护工作的重视程度进一步加大, 网络安全防护管理水平明显提升, 对非传统安全的防护能力显著增强, 网络安全防护达标率稳步提高, 各企业网络安全防护措施总体达标率为 98.78%, 较 2010 年的 92.25% 2009 年的 78.61% 呈逐年稳步上升趋势但是, 基础电信运营企业的部分网络单元仍存在比较高的风险据抽查结果显示, 域名解析系统 (DNS) 移动通信网和 IP 承载网的网络单元存在风险的百分比分别为 6.8% 17.3% 和 0.6% 1

2 涉及基础电信运营企业的信息安全漏洞数量较多据国家信息安全漏洞共享平台 (CNVD) 收录的漏洞统计,2011 年发现涉及电信运营企业网络设备 ( 如路由器交换机等 ) 的漏洞 203 个, 其中高危漏洞 73 个 ; 发现直接面向公众服务的零日 DNS 漏洞 23 个, 应用广泛的域名解析服务器软件 Bind9 漏洞 7 个涉及基础电信运营企业的攻击形势严峻据国家计算机网络应急技术处理协调中心 ( CNCERT) 监测,2011 年每天发生的分布式拒绝服务攻击 (DDoS) 事件中平均约有 7% 的事件涉及到基础电信运营企业的域名系统或服务 2011 年 7 月 15 日域名注册服务机构三五互联 DNS 服务器遭受 DDoS 攻击, 导致其负责解析的大运会官网域名在部分地区无法解析 8 月 18 日晚和 19 日晚, 新疆某运营商 DNS 服务器也连续两次遭到拒绝服务攻击, 造成局部用户无法正常使用互联网 ( 二 ) 政府网站篡改类安全事件显著减少, 网站用户信息泄漏引发社会高度关注据 CNCERT 监测,2011 年中国大陆被篡改的政府网站为 2807 个, 比 2010 年大幅下降 39.4%; 从 CNCERT 专门面向国务院部门门户网站的安全监测结果来看, 国务院部门门户网站存在低级别安全风险的比例从 2010 年的 60% 进一步降低为 50% 但从整体来看,2011 年网站安全情况有一定恶化趋势在 CNCERT 接收的网络安全事件 ( 不含漏洞 ) 中, 网站安全类事件占到 61.7%; 境内被篡改网站数量为个, 较 2010 年增加 5.1%;4 月 -12 月被植入网站后门的境内网站为个 CNVD 接收的漏洞中, 涉及网站相关的漏洞占 22.7%, 较 2010 年大幅上升, 排名 2

3 由第三位上升至第二位网站安全问题进一步引发网站用户信息和数据的安全问题 2011 年底, CSDN 天涯等网站发生用户信息泄露事件引起社会广泛关注, 被公开的疑似泄露数据库 26 个, 涉及帐号密码信息 2.78 亿条, 严重威胁了互联网用户的合法权益和互联网安全根据调查和研判发现, 我国部分网站的用户信息仍采用明文的方式存储, 相关漏洞修补不及时, 安全防护水平较低 ( 三 ) 我国遭受境外的网络攻击持续增多 2011 年,CNCERT 抽样监测发现, 境外有近 4.7 万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机, 虽然其数量较 2010 年的 22.1 万大幅降低, 但其控制的境内主机数量却由 2010 年的近 500 万增加至近 890 万, 呈现大规模化趋势其中位于日本 (22.8%) 美国 (20.4%) 和韩国 (7.1%) 的控制服务器 IP 数量居前三位, 美国继 2009 年和 2010 年两度位居榜首后,2011 年其控制服务器 IP 数量下降至第二, 以 9528 个 IP 控制着我国境内近 885 万台主机, 控制我国境内主机数仍然高居榜首在网站安全方面, 境外黑客对境内 1116 个网站实施了网页篡改 ; 境外个 IP 通过植入后门对境内个网站实施远程控制, 其中美国有 3328 个 IP ( 占 28.1%) 控制着境内 3437 个网站, 位居第一, 源于韩国 ( 占 8.0%) 和尼日利亚 ( 占 5.8%) 的 IP 位居第二三位 ; 仿冒境内银行网站的服务器 IP 有 95.8% 位于境外, 其中美国仍然排名首位共有 481 个 IP( 占 72.1%) 仿冒了境内 2943 个银行网站的站点, 3

4 中国香港 ( 占 17.8%) 和韩国 ( 占 2.7%) 分列二三位总体来看,2011 年位于美国日本和韩国的恶意 IP 地址对我国的威胁最为严重另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011 年在我国实施网页挂马网络钓鱼等不法行为所利用的恶意域名约有 65% 在境外注册此外,CNCERT 在 2011 年还监测并处理多起境外 IP 对我国网站和系统的拒绝服务攻击事件这些情况表明我国面临的境外网络攻击和安全威胁越来越严重 ( 四 ) 网上银行面临的钓鱼威胁愈演愈烈随着我国网上银行的蓬勃发展, 广大网银用户成为黑客实施网络攻击的主要目标 2011 年初, 全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局, 据报道此次事件中有客户损失超过百万元据 CNCERT 监测,2011 年针对网银用户名和密码网银口令卡的网银大盗 Zeus 等恶意程序较往年更加活跃, 3 月 -12 月发现针对我国网银的钓鱼网站域名 3841 个 CNCERT 全年共接收网络钓鱼事件举报 5459 件, 较 2010 年增长近 2.5 倍, 占总接收事件的 35.5%; 重点处理网页钓鱼事件 1833 件, 较 2010 年增长近两倍 ( 五 ) 工业控制系统安全事件呈现增长态势继 2010 年伊朗布舍尔核电站遭到 Stuxnet 病毒攻击后,2011 年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11 月 Stuxnet 病毒转变为专门窃取工业控制系统信息的 Duqu 木马 2011 年 CNVD 收录了 100 余个对我国影响广泛的工业控制系统软件安全漏洞, 较 2010 年大幅增长近 10 倍, 涉及西门 4

5 子北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品相关企业虽然能够积极配合 CNCERT 处臵安全漏洞, 但在处臵过程中部分企业也表现出产品安全开发能力不足的问题 ( 六 ) 手机恶意程序现多发态势随着移动互联网生机勃勃的发展, 黑客也将其视为攫取经济利益的重要目标 2011 年 CNCERT 捕获移动互联网恶意程序 6249 个, 较 2010 年增加超过两倍其中, 恶意扣费类恶意程序数量最多, 为 1317 个, 占 21.08%, 其次是恶意传播类信息窃取类流氓行为类和远程控制类从手机平台来看, 约有 60.7% 的恶意程序针对 Symbian 平台, 该比例较 2010 年有所下降, 针对 Android 平台的恶意程序较 2010 年大幅增加, 有望迅速超过 Symbian 平台 2011 年境内约 712 万个上网的智能手机曾感染手机恶意程序, 严重威胁和损害手机用户的权益 ( 七 ) 木马和僵尸网络活动越发猖獗 2011 年,CNCERT 全年共发现近 890 万余个境内主机 IP 地址感染了木马或僵尸程序, 较 2010 年大幅增加 78.5% 其中, 感染窃密类木马的境内主机 IP 地址为 5.6 万余个, 国家企业以及网民的信息安全面临严重威胁根据工业和信息化部互联网网络安全信息通报成员单位报告, 2011 年截获的恶意程序样本数量较 2010 年增加 26.1%, 位于较高水平黑客在疯狂制造新的恶意程序的同时, 也在想方设法逃避监测和打击, 例如, 越来越多的黑客采用在境外注册域名频繁更换域名指向 IP 等手段规避安全机构的监测和处臵 ( 八 ) 应用软件漏洞呈现迅猛增长趋势 2011 年,CNVD 共收 5

6 集整理并公开发布信息安全漏洞 5547 个, 较 2010 年大幅增加 60.9% 其中, 高危漏洞有 2164 个, 较 2010 年增加约 2.3 倍在所有漏洞中, 涉及各种应用程序的最多, 占 62.6%, 涉及各类网站系统的漏洞位居第二, 占 22.7%, 而涉及各种操作系统的漏洞则排到第三位, 占 8.8% 除发布预警外,CNVD 还重点协调处臵了大量威胁严重的漏洞, 涵盖网站内容管理系统电子邮件系统工业控制系统网络设备网页浏览器手机应用软件等类型以及政务电信银行民航等重要部门上述事件暴露了厂商在产品研发阶段对安全问题重视不够, 质量控制不严格, 发生安全事件后应急处臵能力薄弱等问题由于相关产品用户群体较大, 因此一旦某个产品被黑客发现存在漏洞, 将导致大量用户和单位的信息系统面临威胁这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动 ( 九 )DDoS 攻击仍然呈现频率高规模大和转嫁攻击的特点 2011 年,DDoS 仍然是影响互联网安全的主要因素之一, 表现出三个特点一是 DDoS 攻击事件发生频率高, 且多采用虚假源 IP 地址据 CNCERT 抽样监测发现, 我国境内日均发生攻击总流量超过 1G 的较大规模的 DDoS 攻击事件 365 起其中,TCP SYN FLOOD 和 UDP FLOOD 等常见虚假源 IP 地址攻击事件约占 70%, 对其溯源和处臵难度较大二是在经济利益驱使下的有组织的 DDoS 攻击规模十分巨大, 难以防范例如 2011 年针对浙江某游戏网站的攻击持续了数月, 综合采用了 DNS 请求攻击 UDP FLOOD TCP SYN FLOOD 6

7 HTTP 请求攻击等多种方式, 攻击峰值流量达数十个 Gbps 三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜 2011 年多家省部级政府网站都遭受过流量转嫁攻击, 且这些流量转嫁事件多数是由游戏私服网站争斗引起二国内网络安全应对措施 ( 一 ) 相关互联网主管部门加大网络安全行政监管力度, 坚决打击境内网络攻击行为针对工业控制系统安全事件愈发频繁的情况, 工信部在 2011 年 9 月专门印发了关于加强工业控制系统信息安全管理的通知, 对重点领域工业控制系统信息安全管理提出了明确要求 2011 年底, 工信部印发了移动互联网恶意程序监测与处臵机制, 开展治理试点, 加强能力建设 6 月起, 工信部组织开展 2011 年网络安全防护检查工作, 积极将防护工作向域名服务和增值电信领域延伸另外还组织通信行业开展网络安全实战演练, 指导相关单位妥善处臵网络安全应急事件等公安部门积极开展网络犯罪打击行动, 破获了 2011 年 12 月底 CSDN 天涯社区等数据泄漏案等大量网络攻击案件 ; 国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用, 有力支撑各部门做好网络安全工作 ( 二 ) 通信行业积极行动, 采取技术措施净化公共网络环境面对木马和僵尸程序在网上的横行和肆虐, 在工信部的指导下, 2011 年 CNCERT 会同基础电信运营企业域名从业机构开展 14 次木马和僵尸网络专项打击行动, 次数比去年增加近一倍成功处 7

8 臵境内外 5078 个规模较大的木马和僵尸网络控制端和恶意程序传播源此外,CNCERT 全国各分中心在当地通信管理局的指导下, 协调当地基础电信运营企业分公司合计处臵木马和僵尸网络控制端 6.5 万个受控端 93.9 万个根据监测, 在中国网民数和主机数量大幅增加的背景下, 控制端数量相对 2010 年下降 4.6%, 专项治理工作取得初步成效 ( 三 ) 互联网企业和安全厂商联合行动, 有效开展网络安全行业自律 2011 年 CNVD 收集整理并发布漏洞信息, 重点协调国内外知名软件商处臵了 53 起影响我国政府和重要信息系统部门的高危漏洞中国反网络病毒联盟 (ANVA) 启动联盟内恶意代码共享和分析平台试点工作, 联合 20 余家网络安全企业互联网企业签订遵守移动互联网恶意程序描述规范, 规范了移动互联网恶意代码样本的认定命名, 促进了对其的分析和处臵工作中国互联网协会于 2011 年 8 月组织包括奇虎 360 和腾讯公司在内的 38 个单位签署了互联网终端软件服务行业自律公约, 该公约提倡公平竞争和禁止软件排斥, 一定程度上规范了终端软件市场的秩序 ; 在部分网站发生用户信息泄露事件后, 中国互联网协会立即召开了网站用户信息保护研讨会, 提出安全防范措施建议 ( 四 ) 深化网络安全国际合作, 切实推动跨境网络安全事件有效处理作为我国互联网网络安全应急体系对外合作窗口,2011 年 CNCERT 积极推动国际合作伙伴计划, 已与 40 个国家 79 个组织建立了联系机制, 全年共协调国外安全组织处理境内网络 8

9 安全事件 1033 起, 协助境外机构处理跨境事件 568 起其中包括针对境内的 DDoS 攻击网络钓鱼等网络安全事件, 也包括针对境外苏格兰皇家银行网站德国邮政银行网站美国金融机构 Wells Fargo 网站希腊国家银行网站和韩国农协银行网站等金融机构, 加拿大税务总局网站韩国政府网站等政府机构的事件另外 CNCERT 再次与微软公司联手, 继 2010 年打击 Waledac 僵尸网络后, 2011 年又成功清除了 Rustock 僵尸网络, 积极推动跨境网络安全事件的处理 2011 年,CNCERT 圆满完成了与美国东西方研究所 (EWI) 开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨, 并在英国伦敦和我国大连举办的国际会议上正式发布了中文版和英文版的成果报告抵御垃圾邮件建立互信机制, 增进了中美双方在网络安全问题上的相互了解, 为进一步合作打下基础三 2012 年值得关注的网络安全热点问题随着我国互联网新技术新应用的快速发展,2012 年的网络安全形势将更加复杂, 尤其需要重点关注如下几方面问题 : ( 一 ) 网站安全面临的形势可能更加严峻, 网站中集中存储的用户信息将成为黑客窃取的重点由于很多社交网站论坛等网站的安全性差, 其中存储的用户信息极易被窃取, 黑客在得手之后会进一步研究利用所窃取的个人信息, 结合社会工程学攻击网上交易等重要系统, 可能导致更严重的财产损失 ( 二 ) 随着移动互联网应用的丰富和 3G wifi 网络的快速发展, 针对移动互联网智能终端的恶意程序也将继续增加, 智能终 9

10 端将成为黑客攻击的重点目标由于 Android 手机用户群的快速增长和 Android 应用平台允许第三方应用发布的特点, 运行 Android 操作系统的智能移动终端将成为黑客关注的重点 ( 三 ) 随着我国电子商务的普及, 网民的理财习惯正逐步向网上交易转移, 针对网上银行证券机构和第三方支付的攻击将急剧增加针对金融机构的恶意程序将更加专业化复杂化, 可能集网络钓鱼网银恶意程序和信息窃取等多种攻击方式为一体, 实施更具威胁的攻击 ( 四 )APT 1 攻击将更加盛行, 网络窃密风险加大 APT 攻击具有极强的隐蔽能力和针对性, 传统的安全防护系统很难防御美国等西方发达国家已将 APT 攻击列入国家网络安全防御战略的重要环节,2012 年 APT 攻击将更加系统化和成熟化, 针对重要和敏感信息的窃取, 有可能成为我国政府企业等重要部门的严重威胁 ( 五 ) 随着 2012 年 ICANN 正式启动新通用顶级域名 (gtld) 业务, 新增的大量 gtld 及其多语言域名资源, 将给域名滥用者或欺诈者带来更大的操作空间 ( 六 ) 随着宽带中国战略开始实施, 国家下一代互联网启动商用试点, 以及无线城市的大规模推进和云计算大范围投入应用, IPv6 网络安全无线网安全和云计算系统及数据安全等方面的问 1 APT 即高级可持续威胁 (Advanced Persistent Threat), 也称为定向威胁, 指某组织对某一特定对象展开的持续有效的攻击活动和威胁这种攻击活动具有极强的隐蔽性和针对性, 通常会运用受感染的各种介质供应链和社会工程学等多种手段实施先进的持久的且有效的威胁和攻击黑客个人的行为一般不能构成 APT 攻击, 因为通常情况下没有足够的资源来开展这种先进且复杂的攻击活动 10

11 题将会越来越多地呈现出来四对策建议随着 2012 年下一代互联网和宽带中国战略的推进, 为保障国家网络空间安全, 维护互联网的健康环境, 保护网民权益, 我国政府主管部门互联网企业和互联网用户应进一步重视网络安全问题, 共同提高网络安全水平建议政府部门尽快制定出台我国的国家网络安全战略, 为各部门开展网络安全工作指明方向建议立法和执法部门加大网络犯罪立法惩治和量刑力度, 形成有效震慑建议互联网主管部门加大网络安全行政监管力度, 增强对互联网信息和增值业务服务商的管理建议互联网相关产品厂商加强对产品安全性的管理和规范, 及时发布漏洞补丁和更新版本建议网站和信息系统强化系统的安全防护, 提高网络安全监测和应急处理能力, 并加强相关人员队伍的建设建议电信运营企业完善网络安全监测和应急体系建设, 提高网络攻击发现和溯源处臵能力建议广大网民要提高对网络安全威胁的认识及网络安全防护意识, 做好漏洞修补和恶意程序查杀等防护措施 11

<4D F736F F D C4EABBA5C1AACDF8CDF8C2E7B0B2C8ABCCACCAC6D7DBCAF62DD6D5>

<4D F736F F D C4EABBA5C1AACDF8CDF8C2E7B0B2C8ABCCACCAC6D7DBCAF62DD6D5> 2010 年互联网网络安全态势综述当前, 互联网在我国政治经济文化以及社会生活中发挥着愈来愈重要的作用, 作为国家关键基础设施和新的生产生活工具, 互联网的发展极大地促进了信息流通和共享, 提高了社会生产效率和人民生活水平, 促进了经济社会的发展互联网的影响日益扩大地位日益提升, 维护网络安全工作的重要性日益突出回顾 2010 年, 在政府相关部门互联网服务企业网络安全企业和网民的共同努力下,