2020年上半年网络安全 态势情况综述 指导：工业和信息化部网络安全管理局 编制：中国信息通信研究院 2020年9月 前 言 在工业和信息化部网络安全管理局的指导下， 中国信息 通信研究院发布《 2020年上半年网络安全态势情况综述》 ， 通过对电信和互联网行业 2020年上半年网络安全威胁及事 件的监测、汇总、分析认定和处置情况进行梳理和分析，提 出上半年十大网络安全态势的突出特点， 并对下半年网络安 全趋势进行预测。 本报告版权属于中国信息通信研究院，并受法律保护。 2020年上半年网络安全态势情况综述 1 一、上半年网络安全态势 与2019年下半年相比， 安全形势依旧严峻， 2020年上 半年公共互联网网络安全威胁数量总体呈大幅度上升趋势， 但整体安全态势平稳，未发生重大区域性、行业性网络安全 突发事件 。 （一）DDoS攻击强度、类型、重点目标基本不变。 共 监测到针对基础通信网络的 DDoS攻击 45万余次，与去年 相比无明显变化。攻击类型主要为 TCP SYN Flood 和UDP Flood，未发现新类型。攻击规模主要以 10Gbps以下的攻击 为主，占比约 70%。攻击源方面，攻击流量中境外流量占比 约50%。攻击对象方面，浙江、江苏、福建、北京、山东等 ICP资源比较集中的省网依然 是主要攻击目标。 （二）安全威胁处置数量大幅增长，处置率显著提高。 2020年上半年， 工业和信息化部网络安全威胁信息共享平台 （以下简称平台）共完成约 7.6万个各类威胁处置。一是完 成约 1.2万个安全隐患的处置工作， 相比 2019年下半年上涨 约5倍，北京市、广东省、上海市和江苏省等地处置完成量 约占安全隐患处置总量的 53.76%。二是完成恶意程序传播威 胁处置约 4万个，相比 2019年下半年增长 13倍，广东省、 北京市、江苏省为处置数量排名前三的省份，在仿冒 APP治 理工作中，累计处置腾讯应用宝、百度手机助手等应用商店 仿冒 APP类事件 72件。三是协调处置网页篡改问题近 5千 2020年上半年网络安全态势情况综述 2 个、网站仿冒 35个，相比 2019年下半年增长 40.11%，北京 市、广东省、河南省为处置数量排名前三的省份。四是处置 僵尸网络类事件近 7千起，相比 2019年下半年增长 36倍， 来自河南省、广东省、浙江省、辽宁省、北京市的 IP占重复 发起攻击 IP的33.49%，广东省、江苏省、浙江省、北京市 和山东省处置 43.16%的僵尸网络事件。 （三）多个境外 APT组织利用 “新型肺炎 ”话题为诱饵 对我国境内目标和机构实施攻击活动。 监测发现 APT组织蔓 灵花、摩诃草、海莲花、透明部落等攻击 活动活跃，其中， 海莲花是对我境内攻击最频繁的 APT组织，利用以 COVID -19为主题的钓鱼邮件，对我目标进行入侵。从攻击 手法看，从钓鱼邮件攻击向利用 0day或Nday漏洞实施攻击 转变。 （四）医疗行业高危漏洞数量与 Web攻击事件占比最 高，攻击危害不容忽视。 从漏洞类型和分布区域看，高危漏 洞占比高达 72%，上海、江苏等规模较大省市漏洞数量相对 较多。 从事件类型与后果看， Web攻击事件占比高达 96.44%， 而僵木蠕攻击危害同样严重，可造成系统不可用、数据丢失 等严重后果。多家医疗机构网站遭受漏洞利用等攻击，其中 暴力破解达到单日 80万次高峰。例如，某市中心医院数据 上报系统存在未授权访问漏洞，攻击者可获取医护人员敏感 信息。 2020年上半年网络安全态势情况综述 3 （五）人工智能数据流通存在泄露和滥用风险。 目前， 多数人工智能初创企业普遍使用开源框架进行应用开发并 存在较大依赖性。由于缺乏严格的安全认证， 将面临不可预 期的系统漏洞、数据泄露和供应链断供等安全风险 。例如， 2020年上半年，中国信息通信研究院对我国 14款APP进行 传输安全、权限控制等安全项检测，发现 5款APP存在数据 泄露风险。 （六）5G智慧城市 加速发展同时仍需防范 可用性破坏、 数据泄露等风险。 5G与城市现代 化的深度融合与迭代演进， 推动5G智慧城市建设提速发展。 5G新技术新架构加大了网 络安全边界泛化的程度，导致线上线下安全问题复杂交织、 智能基础设施安全防御难度增大。具体而言， 5G智慧城市网 络架构主要包括应用层、数据平台层、网络层、边缘层、终 端层等架构层面，可能面临服务中断、数据滥用与隐私信息 泄露等风险。 （七）部分远程办公软件存在安全漏洞，我国成为重要 攻击目标。 随着远程办公方式兴起，一定程度上增加了暴露 面，2020年上半年出现多起围绕 VPN漏洞的 APT攻击活动。 4月，APT组织 DarkHotel 利用 VPN零日漏洞入侵多家我国 政府单位及驻外机构， 两百余台 VPN服务器被入侵。 此外， DarkHotel 和Wellmess 组织利用 VPN漏洞进行攻击， 前者主 要针对我基层单位，后者主要针对我多家科研机构。 2020年上半年网络安全态势情况综述 4 （八）远程桌面协议访问点仍是最常见的勒索病毒攻击 媒介，攻击目标正向关键基础设施渗透 。与恶意程序关联的 勒索病毒中，占比排名前三的依次是 phobos、GlobeImposter 和Crysis，安全性较差的远程桌面协议访问点仍是最常用攻 击媒介。同时，攻击目标正逐渐渗透至能源、制造等行业。 例如， 2020年4月，葡萄牙能源公司 EDP遭到勒索攻击， 赎金 1千余万美元。 （九）僵木蠕攻击中以僵尸网络为主，针对大中型政企 机构的攻击事件中挖矿木马占比较多。 上半年僵木蠕事件共 2.8亿起，其中，僵尸网络事件 1.9亿条，木马事件 8千余万 条， 蠕虫事件 77万条。 北京受到僵尸网络的侵害最为严重， 江苏受到木马侵害最为严重，陕西省受到蠕虫侵害最为严重。 此外，在上半年大中型政企机构遭受恶意程序攻击事件中， 挖矿木马占比仅次于勒索 病毒。 （十）诱骗欺诈和流氓行为成为移动恶意程序最主要攻 击手段。上半年移动恶意程序事件近 1.3亿条。其中，诱骗 欺诈事件 1.1亿条，流氓行为事件近两千万条，隐私窃取事 件三百余万条，远程控制事件一百余万条，资费消耗事件 23 万条，恶意扣费事件 16万条，系统破坏类事件 6万条，恶 意传播事件 2万条，诱骗欺诈事件和流氓行为事件数量远超 其他六类事件数量总和。 2020年上半年网络安全态势情况综述 5 二、下半年网络安全趋势 （一）后疫情时代的网络安全形势更加严峻。 随着在线 办公、在线教育等线上生产和生活方式日趋成为主流，现实 和数字世界边界逐渐模糊，网络攻击、勒索病 毒、安全漏洞 等网络安全风险将进一步向现实世界渗透，网络安全成为事 关经济社会稳定、 生产安全、 人民群众生命财产安全的问题。 （二）APT攻击中仍会大量利用已知漏洞 。APT组织 在网络攻击中更倾向于使用包括 1-day1在内的漏洞，将漏洞 披露后的空窗期视为攻击的黄金时间。特别是对于防御方存 在已知漏洞的系统，如果未及时进行有效的安全加固，仍将 面临极大的安全风险。 （三）勒索病毒攻击方式将持续增多。 利用漏洞和弱口 令植入勒索病毒事件将逐渐增多，攻击者将以此类漏洞为跳 板，植入病毒并攻击其它设备以提升攻击效率。定向攻击方 式增多，相对于传统 “广撒网 ”的攻击方式，攻击者将会选择 医院、学校、大型企业等高价值的目标进行定向攻击。 （四）针对供应链的攻击将成为网络定向攻击重要手段。 攻击者利用机器学习等技术对供应链发起攻击，供应链安全 形势愈发严峻。供应链安全 风险主要包括源码、库篡改或污 染，开发工具污染以及违规操作等，攻击者通过寻找相关漏 洞等方式等进行攻击。供应链中的每个环节都可能成为网络 1 1-day漏洞与尚未披露的 0-day漏洞不同，是指刚刚披露且尚没有足够时间进行修复或缺乏有效修复手段的漏洞 2020年上半年网络安全态势情况综述 6 攻击的对象。 （五）“新基建”安全将成为行业关注热点。 “新基建 ”以 5G等通信网络基础设施为承载，推动构建全连接的新型网 络物理世界，网络安全的战略性、全局性和基础性地位尤为 凸显。 “新基建 ”技术架构加速革新、应用生态深度融合、多 元场景不断涌现等新特征给行业网络安全工作提出新挑战， 同时，安全同步建设的战略保障需求也将为网络安全产业注 入新动能，带动网络安全技术产品创新发展。工信部以引领 网络安全新产业、建设安全 “新基建 ”为主题，面向全行业征 集2020年网络安全技术应用试点示范项目，挖掘新一代信 息技术与网络安全技术融合创新的典型应用和最佳实践，将 有力提升新型信息基础设施安全保障能力，推动网络安全生 态协同共治。 （六）公共服务平台将助力产业良性发展。 疫情期间， 中国电信监测发现各类攻击亿余次，启动防护措施 3千余万 次，有力护航 5千余家客户。中国移动流量清洗服务平台为 近50余家企业提供了抗 DDoS、APT分析防护等服务，协助 企业开展应急演练 20余次， 累计发现防护攻击 1千余次。 “联 通云盾 ”面向中国联通 全网用户， 具备全国近 3T的流量清洗、 DNS解析监测与处置等多项重要网络安全技术手段。 基础电 信企业通过公共服务平台输出安全能力已获得初步成效。随 着产业公共服务平台建设的不断加快，网络安全相关机构、 2020年上半年网络安全态势情况综述 7 企业的能力和研究成果不断推出，我国网