2021年7月20日,国家计算机网络应急技术处理协调中心(CNCERT/CC)编写的《2020年中国互联网网络安全报告》(以下简称“报告”)正式发布。
报告汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据,对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析,并对 2020年的典型网络安全事件进行了专题介绍,对2021年网络安全关注方向进行了预测。
# 2020年网络安全状况综述 #
2020年,全球突发新冠肺炎疫情,抗击疫情成为各国紧迫任务。不论是在疫情防控相关工作领域,还是在远程办公、教育、医疗及智能化生产等生产生活领域, 大量新型互联网产品和服务应运而生,在助力疫情防控的同时进一步推进社会数字化转型。与此同时,安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战。
No.1
网站安全
据互联网网络安全检测数据显示,因社会热点容易被黑色产业链利用开展网页仿冒诈骗,以社会热点为标题的仿冒页面骤增。2020年监测发现约20万个针对我国境内网站的仿冒页面,同比增长约1.4倍,其中,大部分为关于“ETC在线认证”网站、网上行政审批等利用社会热点的仿冒页面。
除此之外,网站后门、网页篡改等安全问题也层出不穷。监测发现境内外约2.6万个IP地址对我国境内约5.3万个网站植入后门,我国境内被植入后门的网站数量同比下降37.3%。境内被篡改的网站约10万个,同比减少45.9%,其中被篡改的政府网站有494个。从境内被篡改网页的顶级域名分布来看,“.com”“.net”和“.org”占比分列前3位,分别占总数的73.8%、5.2%和1.7%,占比分布情况与2019年相比无明显变化。
受新冠肺炎疫情影响,大量行政审批转向线上。2020年年底,出现大量以“统一企业执照信息管理系统”为标题的仿冒页面,仅11-12月即监测发现此类仿冒页面5.3万余个。不法分子通过该类页面诱骗用户在仿冒页面上提交真实姓名、银行卡号、卡内余额、身份证号、银行预留手机号等信息。此外,监测还发现大量以“核酸检测”“新冠疫苗预约”等为标题的仿冒页面,其目的在于非法获取用户姓名、住址、身份证号、手机号等个人隐私信息。
No.2
DDoS攻击
因为攻击成本低、效果明显,DDoS攻击仍是目前互联网用户面临的较常见、影响较严重的网络安全威胁之一。2020年监测发现DDoS攻击目标主要位于浙江省、山东省、江苏省、广东省、北京市、上海市、福建省等7个地区,事件占比达到81.8%;12月是全年攻击最高峰,攻击异常活跃。
No.3
云平台
随着业务不断上云,发生在我国云平台上的网络安全事件或威胁数量居高不下。首先,发生在我国云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数量的74%,被植入后门网站数量占境内全部被植入后门网站数量的88.1%,被篡改网站数量占境内全部被篡改网站数量的88.6%。其次,攻击者经常利用我国云平台发起网络攻击,其中云平台作为控制端发起DDoS攻击的事件数量占境内控制端发起DDoS攻击的事件数量的81.3%,作为木马或僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的96.3%,承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的83.3%。
No.4
区块链安全
2020年区块链领域共发生安全事件555起,每月均有新增安全事件。其中,9月发生的安全事件数量最多,达69起;下半年事件数量较上半年增长32.1%。从发生事件具体领域来看,DeFi(Decentralized Finance)、数字钱包、资产交易平台发生安全事件数量排前3位。
No.5
漏洞
在2020年“全面推进互联网+,打造数字经济新优势”背景下,数字化经济发展促进了基于互联网的数字化系统和创新应用程序的快速增长。同时由于网络攻击技术和目标类型的更新,数字化转型后业务安全面临的挑战日益严峻,其中Web应用程序漏洞仍然是网络攻击的主要入口。Web应用漏洞主要集中在跨站脚本攻击、注入攻击、无效的身份验证、敏感数据泄露4种类型,占据全部漏洞类型的80.4%。
No.6
云计算
云计算发展已近20年,随着云计算技术日益成熟和应用,企业上云已成为长期趋势。人们对云相关漏洞的研究表明,2020年新增云计算通用组件漏洞241个,比2019年同期(总数166个)增长45.2%,其漏洞类型主要为配置缺陷、内存损坏和权限提升等。
究其原因是随着云计算市场的持续增长,单个漏洞的影响面随之被放大,云服务厂商对云计算平台和组件漏洞的重视以及赏金的投入增加,引导越来越多漏洞挖掘人员将目光投向了云计算。
业务可以上云,安全防护能力也可以上云。伴随云计算对计算和网络资源利用率的不断提升,传统安全产品云化将成为趋势。各类虚拟WAF、虚拟防火墙技术已较为成熟,将安全设备软件化,并建立简单的虚拟化安全资源池属于第一层的安全云化;从逻辑控制层的角度出发,屏蔽底层技术细节,将各类安全能力从单纯的产品配置转变为服务化配置,将烦琐的安全业务重新进行定义,从用户业务的角度出发,抽象为必要的实现逻辑,则是第二层安全云化。
面对网络安全威胁,我国先后发布多项网络安全法律法规,加大治理力度。
2020年,国家互联网信息办公室等12个部门联合制定和发布《网络安全审查办法》,以确保关键信息基础设施供应链安全,维护国家安全。
全国人大法工委就《数据安全法(草案)》和《个人信息保护法(草案)》征求社会公众意见,法律将为切实保护数据安全和用户个人信息安全提供强有力的法治保障。
《密码法》正式施行,规定使用密码进行数据加密、身份认证以及开展商用密码应用安全性评估成为系统运营单位的法定义务。
《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》正式发布,提出保障国家数据安全,加强个人信息保护,全面加强网络安全保障体系和能力建设,维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全。
国家发改委、工业和信息化部、公安部、交通运输部、国家市场监督管理总局等多个部门,陆续出台相关配套文件,不断推进我国各领域网络安全工作。我国网络安全法律法规体系建设进一步完善。
此外,我国持续加强网络安全顶层设计,每年开展国家网络安全宣传周活动,组织丰富多样的网络安全会议、赛事等活动,不断加大网络安全知识宣传力度,网络安全威胁治理成效显著。
#2021年网络安全关注方向预测#
(1)与社会热点相关联的 APT 攻击活动仍将持续
2020年,全球范围内多个APT组织都发起以新冠肺炎疫情主题为诱饵的APT攻击。攻击者通过“鱼叉”钓鱼邮件等方式对分布在全球的攻击目标实施窃密和控制。2021年,在新冠肺炎疫情持续扩散、各国规模化开展疫苗采购和接种工作的背景下,这类攻击方式仍将流行,以窃取新冠病毒疫苗相关信息为目标的APT攻击活动将持续,政府机构、关键信息基础设施运营者、疫苗生产厂商、卫生组织、医疗机构等将成为重点攻击目标。
(2)App 违法违规收集使用个人信息情况将进一步改善
在移动互联网时代,个人信息已成为高价值的数据资源,加强App个人信息保护势在必行。2021年,随着《个人信息保护法》的即将出台,以及国家监管部门监督和治理力度不断加大,相关运营企业将更加重视个人信息保护工作,规范收集使用个人信息行为。
(3)网络产品和服务的供应链安全问题面临挑战
近年来,因停止提供基础产品组件或服务,或遭受网络攻击等方式而发生的网络产品和服务供应链安全问题时有发生。任何产品和服务的供应链只要在某个环节出现问题,都可能影响整个供应链的安全运行,破坏性巨大。面对愈加严峻的供应链安全形势,预计各行业领域政策标准将陆续出台,区块链等技术将为保障供应链安全提供可能的解决方案。
(4)加强关键信息基础设施安全保护成为社会共识
2020年4月13日,国家互联网信息办公室等12个部门联合发布《网络安全审查办法》(以下简称“办法”),明确关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照办法进行网络安全审查。近年来,针对关键信息基础设施的信息窃取、攻击破坏等恶意活动持续增加,相关安全问题受到社会关注。例如,新冠肺炎疫情发生以来,涉及医疗卫生的关键信息基础设施成为攻击者的重点攻击对象。预计2021年,关键信息基础设施安全保护的顶层设计、体系建设等将持续完善。
(5)远程协作安全风险问题或将更受重视
2020年,全球出现多起涉及远程会议软件、VPN设备等的网络安全事件,远程协作中的网络安全问题得到高度重视。2020年3月全国信息安全标准化技术委员会出台《国家网络安全标准实践指南——远程办公安全防护》。2021年,攻击者或将针对远程协作环境下的薄弱环节,重点针对使用的工具、协议以及所依赖的信息基础设施开展攻击,远程协作安全风险问题将受到更多关注和重视,需要更体系化的安全解决方案。
(6)全社会数字化转型加快背景下将着力提升数据安全防护能力
随着云计算、大数据、物联网、工业互联网、人工智能等技术应用的大规模发展,互联网上承载的数据和信息越来越丰富。这些数据资源已经成为国家重要战略资源和新生产要素,对经济发展、国家治理、社会管理、人民生活都产生重大影响。随着全社会数字化进程的加快,数据的价值将更为凸显。近年来针对数据的网络攻击以及数据滥用问题日趋严重,数据安全风险将更加突出。2021年,随着《数据安全法》的出台,数据安全管理将会进一步加强,数据安全治理水平将得到有效提升。
【版权提示】葫芦娃集团尊重并保护版权。内容摘自《2020年中国互联网网络安全报告》),目的在于传递,如有侵权请及时告知我们处理。