［林國池］

1 引言

習(xí)近平總書記指出：“網(wǎng)絡(luò)安全牽一發(fā)而動全身，深刻影響政治、經(jīng)濟、文化、社會、軍事等各領(lǐng)域安全。沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。”為維護廣東區(qū)域內(nèi)網(wǎng)絡(luò)安全，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心（英文簡稱為GDCERT/CC）作為廣東網(wǎng)絡(luò)安全應(yīng)急機構(gòu)，依托國家級公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測平臺及其應(yīng)急管理體系，與業(yè)內(nèi)合作單位共享信息、交換數(shù)據(jù)，積極開展屬地互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)、預(yù)警、應(yīng)急處置和測試評估等工作。2018 年4 月，根據(jù)黨和國家機構(gòu)改革需要，CDCERT/CC 成建制轉(zhuǎn)隸到中央網(wǎng)信辦。本文對2018 年以來GDCERT/CC 網(wǎng)絡(luò)安全監(jiān)測、收集、匯總的數(shù)據(jù)進行綜合分析，旨在扼要揭示近年廣東省面臨著的網(wǎng)絡(luò)安全總體態(tài)勢，并提出相關(guān)應(yīng)對策略供參考。

2 網(wǎng)絡(luò)安全總體態(tài)勢和主要威脅

廣東省互聯(lián)網(wǎng)基礎(chǔ)資源總量和互聯(lián)網(wǎng)用戶規(guī)模均名列全國首位，根據(jù)廣東省通信管理局統(tǒng)計，截止2020 年底，固定寬帶接入用戶3 890 萬戶，移動互聯(lián)網(wǎng)用戶高達14 251 萬戶；域名數(shù)量約534 萬個，IPv4 地址數(shù)量約3 250 萬個。2020 年全年流量均值為49.40 Tbit/s；全日峰值時段為20:25～22:50，全年每日流量峰值的均值為72.60 Tbit/s；全日谷值時段為4:00～6:15，全年每日流量谷值的均值為16.85 Tbit/s。

近年來，廣東省屬地互聯(lián)網(wǎng)運行總體安全平穩(wěn)，未發(fā)生較大規(guī)模的網(wǎng)絡(luò)安全事件。但網(wǎng)絡(luò)安全總體態(tài)勢仍不容樂觀，一方面，傳統(tǒng)網(wǎng)絡(luò)安全威脅持續(xù)，反動黑客行事高調(diào)，安全漏洞威脅形勢嚴峻，木馬植入和僵尸網(wǎng)絡(luò)數(shù)量居高不下，虛假和仿冒移動APP 成電信網(wǎng)絡(luò)詐騙新手段，行業(yè)數(shù)據(jù)和個人隱私信息泄露屢見不鮮，境外APT 組織持續(xù)高強度開展網(wǎng)絡(luò)攻擊；另一方面，新技術(shù)新業(yè)態(tài)伴生新風(fēng)險，云平臺成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，供應(yīng)鏈攻擊嚴重威脅關(guān)鍵信息基礎(chǔ)設(shè)施運行安全，5G 和IPv6 規(guī)模部署其自身的安全問題不可小覷，區(qū)塊鏈基礎(chǔ)設(shè)施、平臺和應(yīng)用安全問題凸顯，衛(wèi)星互聯(lián)網(wǎng)引發(fā)新的安全和管理隱患，數(shù)字新基建面臨各種各樣的網(wǎng)絡(luò)安全風(fēng)險等等。

2.1 計算機惡意程序傳播

惡意程序是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行為達到不正當目的的程序，主要包括：木馬（Trojan Horse）、僵尸程序（Bot）、蠕蟲（Worm）和病毒（Virus）等。

根據(jù)監(jiān)測，活躍的DDos 僵尸網(wǎng)絡(luò)家族依然以Mirai和Gafgyt 為代表的傳統(tǒng)IoT 木馬為主，IoT 設(shè)備的安全性應(yīng)引起足夠重視。疫情期間，郵件僵尸網(wǎng)絡(luò)Emotet、Trickbot 等也不失時機地出現(xiàn)，這些木馬僵尸網(wǎng)絡(luò)利用釣魚郵件、欺騙性文檔以及水坑站點發(fā)動定向攻擊，隱患極大。

勒索病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須得到攻擊者的解密私鑰才有可能破解。一旦受感染，用戶的損失無法估量。自2017 年WannaCry 勒索病毒給全球帶來災(zāi)難性經(jīng)濟損失以來，勒索病毒攻擊事件一致呈上升趨勢，且不斷變種?！袄账鬈浖捶?wù)”有形成產(chǎn)業(yè)之勢，我國東部沿海地區(qū)成為感染勒索病毒的重災(zāi)區(qū)，廣東更是首當其沖。2018 年底出現(xiàn)的“微信支付”勒索病毒，就采用污染供應(yīng)鏈的方法，其手法與2015 年的XcodeGhost 事件相類似。

在主要的勒索病毒家族中，GranCrab、GlobeImposter、Crysis、Satan、WannaCry 和Hermes 等病毒保持相當?shù)幕钴S度。

（1）僵尸程序或木馬控制服務(wù)器IP 地址數(shù)量

抽樣監(jiān)測數(shù)據(jù)顯示，廣東僵尸程序或木馬控制服務(wù)器IP 地址數(shù)量排名全國第一，約占境內(nèi)總數(shù)的17.81%，如圖1 所示。

圖1 僵尸程序或木馬控制服務(wù)器IP 數(shù)量

在廣東省內(nèi)，深圳、廣州和佛山則分列總數(shù)前三名，如圖2 所示。

圖2 僵尸程序或木馬控制服務(wù)器IP 地區(qū)分布

（2）僵尸程序或木馬控制服務(wù)器IP 地址數(shù)量

2018 年至2020 年，共抽樣發(fā)現(xiàn)廣東僵尸程序或木馬受控主機IP 地址超198 萬個，約占境內(nèi)的11.18%，排名全國第一，如圖3 所示。

圖3 僵尸程序或木馬受控主機IP 數(shù)量

在廣東省內(nèi)，深圳、廣州和東莞分列總數(shù)前三名，如圖4 所示。

圖4 僵尸程序或木馬受控主機IP 地區(qū)分布

2.2 移動互聯(lián)網(wǎng)安全監(jiān)測

移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動終端系統(tǒng)中安裝、運行以達到不正目的，或違反國家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。

自2011 年起，移動互聯(lián)網(wǎng)惡意程序數(shù)量呈持續(xù)增長態(tài)勢。近三年分別發(fā)現(xiàn)新增283 萬、279 萬和302 萬個惡意程序。在移動互聯(lián)網(wǎng)惡意程序8 個主要類別中，流氓行為、資費消耗、信息竊取和惡意扣費這4 類惡意程序約占總數(shù)的94%，如圖5 所示。

圖5 移動互聯(lián)網(wǎng)惡意程序增長態(tài)勢

2020 年捕獲的移動互聯(lián)網(wǎng)惡意程序全部針對Android平臺，可見，Android 平臺用戶是時下移動互聯(lián)網(wǎng)地下產(chǎn)業(yè)最主要的攻擊對象。

2.3 網(wǎng)站安全

（1）網(wǎng)頁篡改

按攻擊手段區(qū)分，網(wǎng)站篡改可分為顯式篡改和隱式篡改兩種。顯式篡改直接修改呈現(xiàn)網(wǎng)頁，炫耀技巧或聲明主張；隱式篡改則在被攻擊的網(wǎng)頁中植入非法暗鏈鏈接，以謀取不當經(jīng)濟利益等。通過自主監(jiān)測手段等跟蹤監(jiān)測，數(shù)據(jù)顯示，2018 年廣東省被篡改網(wǎng)站數(shù)量約占境內(nèi)總數(shù)的38.03%，排名第一；2019 年，國內(nèi)加大監(jiān)測力度后，監(jiān)測數(shù)據(jù)大幅增加，廣東約占12.30%，排名第二；2020年，約占境內(nèi)總數(shù)的12.72%，位居北京、山東之后，全國排名第三。2018～2020 年間，廣東全省攻擊被篡改網(wǎng)站36 485 個，占境內(nèi)總數(shù)的12.45%，按地市分布劃分，廣東省網(wǎng)頁被篡改的網(wǎng)站數(shù)量前三名分別是深圳、廣州和佛山，合計約占全省70%以上。

（2）網(wǎng)站仿冒

俗稱網(wǎng)絡(luò)釣魚（Phishing）。2018 年抽樣檢測到仿冒我國境內(nèi)網(wǎng)站的釣魚頁面53,049 個，涉及境內(nèi)10,440 個IP 地址；2019 年，檢測到仿冒我國境內(nèi)網(wǎng)站的釣魚頁面84,711 個，涉及境內(nèi)7,176 個IP 地址；2020 年，檢測仿冒我國境內(nèi)網(wǎng)站的釣魚頁面17,124 個，涉及境內(nèi)外2,900個IP 地址。平均每個IP 地址承載7.55 個釣魚頁面。在網(wǎng)站仿冒涉及到的IP 地址中，95.9%以上位于境外。

域名類型為.cn 和.com 的網(wǎng)站成為網(wǎng)站仿冒的重要對象。

（3）網(wǎng)頁后門

抽樣監(jiān)測發(fā)現(xiàn)，2018-2020 年間，廣東省被植入后門的網(wǎng)站累計達27,314 個，占全國的16.90%，位列前茅。

2.4 網(wǎng)絡(luò)安全漏洞

漏洞是指信息系統(tǒng)中的軟件、硬件或通信協(xié)議中存在缺陷或不適當?shù)呐渲茫瑥亩墒构粽咴谖唇?jīng)授權(quán)的情況下訪問或破壞系統(tǒng)，導(dǎo)致信息系統(tǒng)面臨安全風(fēng)險。

2018 年至2020 年，國家信息安全漏洞共享平臺（CNVD）共收錄新增漏洞51,098 個，其中高危漏洞17,195 個，占比33.65%?！傲闳铡甭┒词珍浟窟B創(chuàng)新高，近6 年來年均增長幅度高達49.2%。此外，監(jiān)測發(fā)現(xiàn)，Apache、Struts2、Window DNS Server、F5 BIG-IP 等存在遠程代碼執(zhí)行漏洞等。

按影響對象類型分類，應(yīng)用程序漏洞、Web 應(yīng)用漏洞和操作系統(tǒng)漏洞位居前三位，具體如圖6 所示。

圖6 安全漏洞按影響對象類型分布

2.5 網(wǎng)絡(luò)安全日常事件處置情況

這三年，省內(nèi)累計處理網(wǎng)絡(luò)安全事件近6500 件，按事件類型分類，排名前三的是漏洞事件（48.04%）、網(wǎng)頁仿冒事件（19.93%）和網(wǎng)站后門事件（10.69%），如圖7 所示。

3 網(wǎng)絡(luò)安全熱點追蹤

3.1 高級持續(xù)性威脅攻擊

（1）具攻擊性特點

絕大多數(shù)的高級持續(xù)性威脅APT（Advanced Persistent Threat）組織具有一定的政府背景，通常是出于政治或商業(yè)目的，對特定目標實施針對性、連續(xù)性的網(wǎng)絡(luò)攻擊活動。多數(shù)情況下，APT 攻擊就是發(fā)生在網(wǎng)絡(luò)的情報戰(zhàn)爭。

2020 年初，隨著新冠疫情的突然來襲，境外APT 組織對我國的相關(guān)機構(gòu)或個人的攻擊活動也隨之增加。數(shù)據(jù)分析顯示，政府、國防軍工、教育、科技和金融等仍為APT 攻擊的重災(zāi)區(qū)，但疫情下圍繞“新冠肺炎疫情”話題的誘餌釣魚APT 攻擊甚為活躍。此外，APT 發(fā)動多起供應(yīng)鏈攻擊事件，使供應(yīng)商淪為全行業(yè)的安全短板，其中，美國SolarWinds 公司Orion 平臺的多款軟件被爆出植入了后門，成為史上最嚴重的供應(yīng)鏈攻擊事件。

（2）活躍組織及其核心技戰(zhàn)術(shù)

針對我國的APT 組織有數(shù)十個，2020 年共計監(jiān)測到3000 多次的國家級網(wǎng)絡(luò)攻擊，按攻擊頻次、被攻擊單位數(shù)量、受影響設(shè)備數(shù)量、技戰(zhàn)術(shù)迭代頻次等多個指標綜合評估其活躍度，占據(jù)TOP10 的APT 組織排序如下：海蓮花、Darkhotel、蔓靈花、毒云藤、響尾蛇、潛行者、魔鼠、Lazarus、藍色魔眼和CNC。老牌APT 組織海蓮花、Darkhotel 和蔓靈花依然持續(xù)活躍，而CNC 等組織則呈現(xiàn)階段性攻擊特征。

APT 組織采用的十大核心技戰(zhàn)術(shù)包括：供應(yīng)鏈失陷（Supply Chain Compromise）、創(chuàng)建或更改系統(tǒng)進程（Create or Modify System Process）、進程注入（Process Injection）、命令和腳本解釋（Command and Scripting Interpreter）、系統(tǒng)憑證提?。∣S Credential Dumpling）、遠程服務(wù)（Remote Services）、利用C2 通道滲漏數(shù)據(jù)（Exfiltration Over C2 Channel ）、協(xié)議通道（Protocol Tunneling）、軟件探測（Software Discovery）和執(zhí)行流劫持（Hijack Execution Flow）等，其中供應(yīng)鏈攻擊在2020年尤其突出。

3.2 工業(yè)互聯(lián)網(wǎng)安全

以數(shù)字化、網(wǎng)絡(luò)化和智能化為主要特征的工業(yè)互聯(lián)網(wǎng)，是人、機、物全面互聯(lián)的新工業(yè)革命關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施。2020 年，我國工業(yè)互聯(lián)網(wǎng)經(jīng)濟增加值規(guī)模仍保持高速增長態(tài)勢，達31,370 億元，增長47.3%。

工業(yè)控制系統(tǒng)（ICS）的主要威脅來自勒索軟件、釣魚郵件、資產(chǎn)暴露和供應(yīng)鏈威脅等。攻擊者從互聯(lián)網(wǎng)入侵目標網(wǎng)絡(luò)上的SCADA 系統(tǒng)后，通過路由器配置直接在內(nèi)網(wǎng)移動并攻擊工業(yè)控制設(shè)備。Ripple20 漏洞就是供應(yīng)鏈攻擊的典型案例。Ripple20 是Treck TCP/IP 協(xié)議棧中發(fā)現(xiàn)的一系列漏洞的統(tǒng)稱，這些漏洞廣泛存在于嵌入式設(shè)備中，涉及能源、運輸?shù)榷鄠€國計民生行業(yè)。今年5 月發(fā)生的美國東岸Colonial Pipeline 公司油氣管道被勒索軟件攻擊事件，迫使該公司不得不全線關(guān)閉長達8 800 公里的油氣燃料管道，影響了美國東岸45%的燃油供應(yīng)，就是最新重大供應(yīng)鏈攻擊案例之一。

3.3 數(shù)據(jù)安全與個人信息隱私保護

（1）數(shù)據(jù)泄露

近幾年，數(shù)據(jù)泄露事件層出不窮。2018 年，萬豪酒店數(shù)據(jù)庫被黑 5 億用戶信息外泄；國泰航空940 萬乘客資料泄露；新加坡醫(yī)療系統(tǒng)遭嚴重網(wǎng)絡(luò)安全攻擊 150 萬患者資料泄露，總理李顯龍的個人醫(yī)療記錄也無可幸免。2020年2 月，新浪微博泄露5.38 億用戶賬號和綁定手機號碼的數(shù)據(jù)，在暗網(wǎng)中被出售。與此同時，數(shù)據(jù)濫用事件也屢見不鮮。2018 年3 月，劍橋分析被爆出利用在Facebook上獲取的5 000 萬用戶的個人數(shù)據(jù)進行“不道德的實驗”，影響2016 年美國總統(tǒng)大選。2019 年初，在我國境內(nèi)大量使用的MongoDB、Elasticsearch 數(shù)據(jù)庫相繼曝出存在嚴重安全漏洞，導(dǎo)致大規(guī)模數(shù)據(jù)存在泄露風(fēng)險。去年以來，國內(nèi)部分疫情防控系統(tǒng)倉促上線，存在用戶信息泄露等高危風(fēng)險隱患。

在數(shù)字經(jīng)濟時代，數(shù)據(jù)已成為一種新型的生產(chǎn)要素，數(shù)據(jù)越來越呈現(xiàn)出其價值。隨之而來的是數(shù)據(jù)泄露事件時有發(fā)生，個人信息非法采集和因私竊取等安全問題愈發(fā)嚴峻。

（2）APP 違法違規(guī)過度收集使用個人信息

截止2020 年12 月，我國手機網(wǎng)民規(guī)模為9.86 億，市場上監(jiān)測到的APP 數(shù)量為345 萬款。不少APP 存在“未公開使用規(guī)則”、“未經(jīng)用戶同意收集使用個人信息”、“未經(jīng)同意向他人提供個人信息”、“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”等違法違規(guī)行為。租租車、當當、e 代駕等知名APP 赫然在目。不僅如此，有些APP 還私自將收集到的信息共享給第三方、超范圍收集個人信息、不給權(quán)限不讓用、強制用戶使用定向推送、過度索取權(quán)限等問題。

4 對策思考

如何應(yīng)對日益嚴重的網(wǎng)絡(luò)安全威脅呢？習(xí)近平總書記教導(dǎo)我們：“我們面臨的網(wǎng)絡(luò)完全問題，很多是意識問題，要樹立正確的網(wǎng)絡(luò)安全觀?！睘榇耍袑嵦岣呔W(wǎng)絡(luò)安全意識，采取多管齊下的應(yīng)對思路，從技術(shù)、政府、社會乃至網(wǎng)民個人各方面入手，共筑網(wǎng)絡(luò)安全防線。

一是技術(shù)管理上，要發(fā)展壯大國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)，制定統(tǒng)一的網(wǎng)絡(luò)安全標準規(guī)范，培育網(wǎng)絡(luò)安全人才，建立網(wǎng)絡(luò)安全應(yīng)急處理體系、平臺和隊伍，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，強化關(guān)鍵信息基礎(chǔ)設(shè)施保護，加強行業(yè)信息共享和技術(shù)協(xié)作，及時應(yīng)對網(wǎng)絡(luò)安全事件。

二是政府監(jiān)管上，一方面要加大對各類違法違規(guī)網(wǎng)絡(luò)攻擊破壞行為的治理打擊力度，維護社會各方的合法權(quán)益，另一方面，要及時制訂發(fā)布相關(guān)網(wǎng)絡(luò)安全法律法規(guī)，為網(wǎng)絡(luò)安全保駕護航。2017 年6 月1 日，《網(wǎng)絡(luò)安全法》正式實施，對于保障網(wǎng)絡(luò)安全，促進經(jīng)濟社會信息化健康發(fā)展發(fā)揮積極作用。2020年，我國又陸續(xù)發(fā)布了《數(shù)據(jù)安全法（草案）》《個人信息保護法（草案）》，旨在有力地捍衛(wèi)總體國家安全和個人信息隱私。

三是社會組織上，各行各業(yè)要針對紛繁的網(wǎng)絡(luò)安全威脅，切實落實網(wǎng)絡(luò)安全管理制度，加大網(wǎng)絡(luò)安全措施投入，安裝安全管理軟硬件系統(tǒng)，及時修補服務(wù)器和終端漏洞，不對外提供服務(wù)的設(shè)備不暴露在公共互聯(lián)網(wǎng)上，關(guān)閉不必要的網(wǎng)絡(luò)端口，定期備份關(guān)鍵數(shù)據(jù)，引入多因素身份驗證技術(shù)，配備防垃圾郵件網(wǎng)關(guān)，保障安全可靠的軟件資源，重視對敏感數(shù)據(jù)的全生命周期安全保護，采取必要的數(shù)據(jù)脫敏等技術(shù)措施等。

四是網(wǎng)民個人上，要養(yǎng)成良好的安全習(xí)慣，安裝使用可靠的殺毒軟件，及時修復(fù)系統(tǒng)和軟件漏洞，重要文檔、數(shù)據(jù)應(yīng)及時經(jīng)常備份且設(shè)置較為復(fù)雜的電腦口令，不瀏覽來路不明的賭博色情網(wǎng)站，不輕易打開陌生人發(fā)來的郵件附件或網(wǎng)址鏈接，使用移動存儲設(shè)備先行消殺等。

5 結(jié)束語

當前，網(wǎng)絡(luò)攻擊行為正朝著攻擊成本降低、攻擊面擴大、攻擊方式立體化轉(zhuǎn)化。以供應(yīng)商為核心目標的供應(yīng)鏈攻擊常態(tài)化主流化，勒索軟件商業(yè)化威脅加大，物聯(lián)網(wǎng)既是勒索軟件的首選目標，也是其他類型網(wǎng)絡(luò)攻擊行為如DDoS、社交工程攻擊等的媒介。

網(wǎng)絡(luò)安全威脅時時刻刻，無處不在。近年來，在政府監(jiān)管部門的指導(dǎo)下，GDCERT/CC 陸續(xù)開展針對木馬和僵尸網(wǎng)絡(luò)、互聯(lián)網(wǎng)惡意程序、DDoS 攻擊資源等危害網(wǎng)絡(luò)安全的各類專項清理整治活動，取得積極成效，更好地守護清朗網(wǎng)絡(luò)空間。