CNCERT发布《2020 年中国互联网网络安全报告》

首页 / 业界 / 报告 /  正文
来源:安全419
发布于:1个月前
近日,国家计算机网络应急技术处理协调中心(CNCERT)发布《2020 年中国互联网网络安全报告》,汇总分析CNCERT/CC自有网络安全监测数据和CNCERT/CC网络安全应急服务支撑单位报送的数据,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面,报告为政府部门提供监管支撑,为互联网企业提供运行管理技术支持,具有重要的参考价值。


2020年我国互联网网络安全状况

1. 我国网络安全法律法规体系日趋完善,网络安全威胁治理成效显著。


2020年,《网络安全审查办法》发布,确保关键信息基础设施供应链安全。《数据安全法(草案)》和《个人信息保护法(草案)》公开征求意见,为切实保护数据安全和用户个人信息安全提供有力保障。《密码法》正式施行,规定使用密码进行数据加密、身份认证以及开展商用密码应用安全性评估成为系统运营单位的法定义务。

网络安全宣传活动丰富、威胁治理成效显著。2020 年,CNCERT协调处臵各类网络安全事件约10.3万起,同比减少4.2%。全年我国境内DDoS攻击次数减少16.16%,攻击总流量下降19.67%;僵尸网络控制端数量在全球的占比稳步下降至2.05%。

2. APT组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击,远程办公需求增长扩大了APT攻击面。

境外“白象”“海莲花”“毒云藤”等APT攻击组织以“新冠肺炎疫情”“基金项目申请”等相关社会热点及工作文件为诱饵,向我国重要单位邮箱账户投递钓鱼邮件。APT组织多次对攻击目标采用供应链攻击。例如,新冠肺炎疫情防控下的远程办公需求明显增多,虚拟专用网络(VPN)成为远程办公人员接入单位网络的主要技术手段之一。为长期控制重要目标从而窃取信息,部分APT组织利用网络攻击工具,在入侵我国重要机构后长期潜伏,这些工具功能强大、结构复杂、隐蔽性高。

3. App违法违规收集个人信息治理取得积极成效,但个人信息非法售卖情况仍较为严重,联网数据库和微信小程序数据泄露风险较为突出。

国家多部门对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的 App依法予以公开曝光或下架处理。监测发现敏感个人信息暴露在互联网上,全年仅CNCERT就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条。

CNCERT对国内50家银行发布的小程序进行安全性检测,平均一个小程序存在8项安全风险,在程序源代码暴露关键信息和输入敏感信息时未采取防护措施的小程序数量占比超过90%;未提供个人信息收集协议的超过80%。

4. 漏洞信息共享与应急工作稳步深化,但历史重大漏洞利用风险仍然较大,网络安全产品自身漏洞问题引起关注。

CNVD平台全年新增收录通用软硬件漏洞数量创历史新高,达20,704个,同比增长27.9%,近五年来新增收录漏洞数量呈显著增长态势,年均增长率为17.6%。历史重大漏洞利用风险较为严重,攻击网站所利用的典型漏洞为Apache Struts2远程代码执行、Weblogic 反序列化等漏洞;攻击主机所利用的典型漏洞为“永恒之蓝”、OpenSSL“心脏滴血”等漏洞;攻击移动终端所利用的典型漏洞为Webview远程代码执行等漏洞,修复工作尤为重要和紧迫。

网络安全产品自身漏洞风险上升,CNVD收录的通用型漏洞中,网络安全产品类漏洞数量达424个,同比增长110.9%,网络安全产品自身存在的安全漏洞需获得更多关注。

5. 恶意程序治理成效明显,但勒索病毒技术手段不断升级,恶意程序传播与治理对抗性加剧。

我国持续开展计算机恶意程序常态化打击工作,2020年成功关闭386个控制规模较大的僵尸网络,近五年来我国感染计算机恶意程序的主机数量持续下降,并保持在较低感染水平,年均减少率为 25.1%。

勒索病毒持续活跃,全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。近年来,勒索病毒逐渐从“广撒网”转向定向攻击,表现出更强的针对性,攻击目标主要是大型高价值机构。

P2P传播方式是恶意程序的传统传播手段之一,Mozi、Pinkbot等联网智能设备恶意程序家族在利用该传播方式后活动异常活跃。据抽样监测发现,我国境内以P2P传播方式控制的联网智能设备数量非常庞大,达2299.7万个。

6. 网页仿冒治理工作力度持续加大,但因社会热点容易被黑产利用开展网页仿冒诈骗,以社会热点为标题的仿冒页面骤增。

CNCERT围绕针对金融、电信等行业的仿冒页面进行重点处臵,全年共协调国内外域名注册机构关闭仿冒页面1.7万余个。受新冠肺炎疫情影响,大量行政审批转向线上。2020年底,出现大量以“统一企业执照信息管理系统”为标题的仿冒页面,仅11月至12月即监测发现此类仿冒页面5.3万余条。

7. 工业领域网络安全工作不断强化,但工业控制系统互联网侧安全风险仍较为严峻。

监管要求、行业扶持和产业带动成为网络安全在工业领域不断落地和深化的三大动力。我国境内直接暴露在互联网上的工控设备和系统存在高危漏洞隐患占比仍然较高。20%的能源、轨道交通等关键信息基础设施生产管理系统存在高危安全漏洞。2 月,针对存在某特定漏洞工控设备的恶意代码攻击持续半个月之久,攻击次数达6,700万次,攻击对象包含数十万个IP地址。

2021 年网络安全关注方向预测

1、与社会热点相关联的 APT 攻击活动仍将持续。

2021 年,在新冠肺炎疫情持续扩散、各国规模化开展疫苗采购和接种工作的背景下,这类攻击方式仍将流行,以窃取新冠肺炎疫苗相关信息为目标的 APT 攻击活动将持续,政府机构、关键信息基础设施运营者、疫苗生产厂商、卫生组织、医疗机构等将成为重点攻击目标。

2、App 违法违规收集使用个人信息情况将进一步改善。
2021 年,随着《个人信息保护法》的即将出台,以及国家监管部门监督和治理力度不断加大,相关运营企业将更加重视个人信息保护工作,规范收集使用个人信息行为。

3、网络产品和服务的供应链安全问题面临挑战。
面对愈加严峻的供应链安全形势,预计各行业领域政策标准将陆续出台,区块链等新技术也将为保障供应链安全提供可能的解决方案。

4、加强关键信息基础设施安全保护成为社会共识。
2020 年 4 月 13 日,国家互联网信息办公室等 12 个部门联合发布《网络安全审查办法》,预计 2021 年,关键信息基础设施安全保护的顶层设计、体系建设等将持续完善。

5、远程协作安全风险问题或将更受重视
2021 年,攻击者或将针对远程协作环境下的薄弱环节,重点针对使用的工具、协议以及所依赖的信息基础设施开展攻击,远程协作安全风险问题需要更体系化的安全解决方案。

6、全社会数字化转型加快背景下将着力提升数据安全防护能力。
2021 年,随着《数据安全法》的出台,数据安全管理将会进一步加强,数据安全治理水平也将得到有效提升。