5月26日,国家互联网应急中心(CNCERT)正式发布《2020 年我国互联网网络安全态势综述》报告,以 CNCERT 宏观网络安全监测数据为基础,结合各类安全威胁、事件信息以及网络安全威胁治理实践,对 2020 年我国互联网网络安全状况进行了全面分析和总结,并对 2021 年网络安全关注方向进行预测。
据悉,该系列报告已连续发布12年,是全面反映我国网络安全整体态势的权威性报告。安全419梳理总结2020年度报告精华重点内容,为我国党政机关、行业企业及社会了解我国网络安全形势,提高网络安全意识,做好网络安全工作提供有力参考。
2020 年我国互联网网络安全状况
1.我国网络安全法律法规体系日趋完善,网络安全威胁治理成效显著。
2020年,《网络安全审查办法》发布,确保关键信息基础设施供应链安全。《数据安全法(草案)》和《个人信息保护法(草案)》公开征求意见,为切实保护数据安全和用户个人信息安全提供有力保障。《密码法》正式施行,规定使用密码进行数据加密、身份认证以及开展商用密码应用安全性评估成为系统运营单位的法定义务。
网络安全宣传活动丰富、威胁治理成效显著。2020 年,CNCERT 协调处臵各类网络安全事件约 10.3 万起,同比减少4.2%。全年我国境内 DDoS 攻击次数减少 16.16%,攻击总流量下降 19.67%;僵尸网络控制端数量在全球的占比稳步下降至 2.05%。
2.APT 组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击,远程办公需求增长扩大了 APT 攻击面。
境外“白象”“海莲花”“毒云藤”等 APT 攻击组织以“新冠肺炎疫情”“基金项目申请”等相关社会热点及工作文件为诱饵,向我国重要单位邮箱账户投递钓鱼邮件。APT 组织多次对攻击目标采用供应链攻击。例如,新冠肺炎疫情防控下的远程办公需求明显增多,虚拟专用网络(VPN)成为远程办公人员接入单位网络的主要技术手段之一。为长期控制重要目标从而窃取信息,部分 APT 组织利用网络攻击工具,在入侵我国重要机构后长期潜伏,这些工具功能强大、结构复杂、隐蔽性高。
3.App 违法违规收集个人信息治理取得积极成效,但个人信息非法售卖情况仍较为严重,联网数据库和微信小程序数据泄露风险较为突出。
国家多部门对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的 App依法予以公开曝光或下架处理。监测发现敏感个人信息暴露在互联网上,全年仅CNCERT就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条。
CNCERT对国内50家银行发布的小程序进行安全性检测,平均一个小程序存在8项安全风险,在程序源代码暴露关键信息和输入敏感信息时未采取防护措施的小程序数量占比超过90%;未提供个人信息收集协议的超过80%。
4.漏洞信息共享与应急工作稳步深化,但历史重大漏洞利用风险仍然较大,网络安全产品自身漏洞问题引起关注。
CNVD平台全年新增收录通用软硬件漏洞数量创历史新高,达 20,704 个,同比增长 27.9%,近五年来新增收录漏洞数量呈显著增长态势,年均增长率为 17.6%。历史重大漏洞利用风险较为严重,攻击网站所利用的典型漏洞为 Apache Struts2 远程代码执行、Weblogic 反序列化等漏洞;攻击主机所利用的典型漏洞为“永恒之蓝”、OpenSSL“心脏滴血”等漏洞;攻击移动终端所利用的典型漏洞为 Webview 远程代码执行等漏洞,修复工作尤为重要和紧迫。
网络安全产品自身漏洞风险上升,CNVD 收录的通用型漏洞中,网络安全产品类漏洞数量达424 个,同比增长110.9%,网络安全产品自身存在的安全漏洞需获得更多关注。
5.恶意程序治理成效明显,但勒索病毒技术手段不断升级,恶意程序传播与治理对抗性加剧。
我国持续开展计算机恶意程序常态化打击工作,2020 年成功关闭 386 个控制规模较大的僵尸网络,近五年来我国感染计算机恶意程序的主机数量持续下降,并保持在较低感染水平,年均减少率为 25.1%。
勒索病毒持续活跃,全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。近年来,勒索病毒逐渐从“广撒网”转向定向攻击,表现出更强的针对性,攻击目标主要是大型高价值机构。
P2P传播方式是恶意程序的传统传播手段之一,Mozi、Pinkbot等联网智能设备恶意程序家族在利用该传播方式后活动异常活跃。据抽样监测发现,我国境内以P2P传播方式控制的联网智能设备数量非常庞大,达2299.7万个。
6.网页仿冒治理工作力度持续加大,但因社会热点容易被黑产利用开展网页仿冒诈骗,以社会热点为标题的仿冒页面骤增。
CNCERT 围绕针对金融、电信等行业的仿冒页面进行重点处臵,全年共协调国内外域名注册机构关闭仿冒页面 1.7 万余个。
受新冠肺炎疫情影响,大量行政审批转向线上。2020 年底,出现大量以“统一企业执照信息管理系统”为标题的仿冒页面,仅 11 月至 12 月即监测发现此类仿冒页面 5.3 万余条。
7.工业领域网络安全工作不断强化,但工业控制系统互联网侧安全风险仍较为严峻。
监管要求、行业扶持和产业带动成为网络安全在工业领域不断落地和深化的三大动力。我国境内直接暴露在互联网上的工控设备和系统存在高危漏洞隐患占比仍然较高。20%的能源、轨道交通等关键信息基础设施生产管理系统存在高危安全漏洞。2 月,针对存在某特定漏洞工控设备的恶意代码攻击持续半个月之久,攻击次数达 6,700 万次,攻击对象包含数十万个 IP 地址。
2021 年网络安全关注方向预测
1.与社会热点相关联的 APT 攻击活动仍将持续。
2021 年,在新冠肺炎疫情持续扩散、各国规模化开展疫苗采购和接种工作的背景下,这类攻击方式仍将流行,以窃取新冠肺炎疫苗相关信息为目标的 APT 攻击活动将持续,政府机构、关键信息基础设施运营者、疫苗生产厂商、卫生组织、医疗机构等将成为重点攻击目标。
2.App 违法违规收集使用个人信息情况将进一步改善。
2021 年,随着《个人信息保护法》的即将出台,以及国家监管部门监督和治理力度不断加大,相关运营企业将更加重视个人信息保护工作,规范收集使用个人信息行为。
3.网络产品和服务的供应链安全问题面临挑战。
面对愈加严峻的供应链安全形势,预计各行业领域政策标准将陆续出台,区块链等新技术也将为保障供应链安全提供可能的解决方案。
4.加强关键信息基础设施安全保护成为社会共识。
2020 年 4 月 13 日,国家互联网信息办公室等 12 个部门联合发布《网络安全审查办法》,预计 2021 年,关键信息基础设施安全保护的顶层设计、体系建设等将持续完善。
5.远程协作安全风险问题或将更受重视。
2021 年,攻击者或将针对远程协作环境下的薄弱环节,重点针对使用的工具、协议以及所依赖的信息基础设施开展攻击,远程协作安全风险问题需要更体系化的安全解决方案。
6.全社会数字化转型加快背景下将着力提升数据安全防护能力。
2021 年,随着《数据安全法》的即将出台,数据安全管理将会进一步加强,数据安全治理水平也将得到有效提升。