|
版权说明 《2011年中国互联网网络安全报告》(以下简称“年报”)为CNCERT的内部刊物,由CNCERT编制并拥有版权。年报中凡摘录或引用内容均已指明出处,其版权归相应单位所有。本年报所有权利及许可由CNCERT进行管理,未经CNCERT同意,任何单位或个人不得将本年报以及其中内容转发或用于其他用途。 目 录 1 2011年网络安全状况综述 2 计算机恶意程序传播和活动情况 3 移动智能终端恶意程序传播和活动情况 4 网站安全监测情况 5 信息安全漏洞公告与处置 6 网络安全事件接收与处理 7 网络安全信息通报情况 8 网络安全专题分析 9 国内网络安全组织发展情况 10 国内外网络安全重要活动 11 2012年网络安全挑战与工作展望 12 网络安全术语解释 1 2011年网络安全状况综述 1、总体状况 2011年,在政府相关部门、互联网服务机构、网络安全企业和网民的共同努力下,我国互联网网络安全状况继续保持平稳状态,未发生造成大范围影响的重大网络安全事件,基础信息网络防护水平明显提升,政府网站安全事件显著减少,网络安全事件处置速度明显加快,但以用户信息泄露为代表的与网民利益密切相关的事件,引起了公众对网络安全的广泛关注。本综述着重对2011年互联网安全威胁的一些新特点和趋势进行了分析和总结。 2、数据导读 多年来,国家互联网应急中心对我国网络安全宏观状况进行了持续监测,本节介绍了2011年对木马僵尸网络、“飞客”蠕虫、移动互联网安全、网站安全、信息系统安全漏洞等方面的抽样监测获得的主要数据分析结果。 2 计算机恶意程序传播和活动情况 1、木马僵尸监测数据分析 2011年CNCERT抽样监测结果显示,在利用木马或僵尸程序控制服务器对主机进行控制的事件中,控制服务器IP总数为300407个,较2010年下降39.1%,受控主机IP总数为27275399个,较2010年大幅增长71.1%。 2、“飞客”蠕虫数据分析 2011年全球互联网平均每月有超过3500万个主机IP感染“飞客”蠕虫,排名前三的国家或地区分别是美国(16.1%)、中国大陆(11.6%)和巴西(7.4%)。其中,境内感染“飞客”蠕虫的主机IP月均超过400万个。 3、恶意程序传播活动监测 2011年全年,CNCERT监测发现恶意程序传播事件35821698次,其中恶意程序下载链接785388个,“放马站点”域名67468个,“放马站点”IP地址55673个。 4、通报成员单位报送情况 本节汇总安天公司、瑞星公司、金山网络公司和奇虎360公司报送的恶意代码情况。 3 移动智能终端恶意程序传播和活动情况 1、移动互联网恶意程序监测情况 2011年CNCERT捕获移动互联网恶意程序6249个,其中有控制域名的3060个,占49.0%。ANVA成员单位报送移动互联网恶意程序样本及分析报告1674个,其中有控制域名的878个,占52.5%。 2、通报成员单位报送情况 本节汇总网秦公司、安天公司和瑞星公司报送的移动互联网恶意程序捕获情况。 4 网站安全监测情况 1、网页篡改情况 自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测,在发现被篡改网站后及时通知网站所在省份的分中心协助解决,争取被篡改网站快速恢复。2011年,中国大陆地区被篡改网站各月累计为36612个,与2010年的34858个相比略增5.1%。 其中,政府网站数量为2807个,与2010年的4635个相比下降39.4%,按域名去重后为1484个,在CNCERT监测的政府网站列表中所占比例达到3.4%。 2、网页挂马情况 网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。一些针对新披露的信息安全漏洞制造的新型恶意程序往往会借网页挂马的方式进行大规模传播;网络中一些搜索热词或社会热点事件的出现引发网民大量搜索和点击,相关页面也容易被黑客利用来挂马,达到快速传播恶意程序并控制大量用户主机的目的。网页挂马是揭开互联网黑色地下产业链黑幕的重要一环,是CNCERT监测的重点目标。政府和重要信息系统部门、访问量较大的网站被挂马的事件,以及网页挂马相关的恶意域名是CNCERT事件处置的重点。 3、网页仿冒情况 网页仿冒俗称网络钓鱼,这类事件是社会工程学欺骗原理结合网络技术的典型应用。2011年3月-12月,CNCERT共监测到仿冒境内银行网站的域名3841个,这些域名分别解析到境内外667个IP地址,平均每个IP地址承载5.8个仿冒网站域名。 4、网站后门情况 网站后门是黑客成功入侵网站服务器后留下的后门程序。通过网站后门,黑客可以上传、查看、修改、删除网站服务器上的文件,可以读取并修改网站数据库的数据,甚至可以直接在网站服务器上运行系统命令。2011年4月-12月CNCERT共监测到境内12513个网站被植入网站后门,其中政府网站有1167个。位于境外的攻击IP有11851个,主要位于美国(28.1%)、韩国(8.0%)和尼日利亚(5.8%)等国家或地区。 5 信息安全漏洞公告与处置 1、国家信息安全漏洞共享平台(CNVD)漏洞收录情况 国家信息安全漏洞共享平台(CNVD)自2009年成立以来,共收集整理漏洞信息35032个。其中,2011 年新增漏洞5547个,包括高危漏洞2164个(占39.0%)、 中危漏洞2529个(占45.6%)、低危漏洞854个(占15.4%)。 2、高危漏洞典型案例 本节列举了亚控公司工业系统监控软件高危漏洞、域名系统软件ISC BIND高危漏洞、三维力控公司pNetPower 6.1高危漏洞、Microsoft Word存在远程代码执行零日漏洞、万户公司网站内容管理系统WanHu ezEIP注入漏洞、H3C ER系列路由器存在安全漏洞等高危漏洞典型案例。 6 网络安全事件接收与处理 1、事件接收情况 2011年,CNCERT共接收国内外报告网络安全事件15366起,较2010年增加了47.3%;其中,国外报告的网络安全事件数量为2100起,较2010年下降了58.6%。 2、事件处理情况 CNCERT对投诉事件中危害大、影响范围广的事件,进行了协调处理,以消除其威胁。2011年,CNCERT共成功处理各类网络安全事件10924件,较2010年的6683件增长63.5%。 3、事件处理典型案例介绍 本节介绍了CNCERT参与处理的典型案例,包括:厦门易名DNS服务器遭攻击事件、针对APCERT的DDoS攻击事件、某国家重点实验室网站感染恶意程序事件、韩国多家政府部门和企业网站受攻击事件、某中央重点新闻网站访问流量异常事件、与微软公司联手清除Rustock僵尸网络等。 7 网络安全信息通报情况 1、互联网网络安全信息通报 2011年CNCERT作为通信行业内的通报中心,协调组织各地通信管理局、中国互联网协会、基础电信运营企业、域名注册管理和服务机构、非经营性互联单位、增值电信业务经营企业以及网络安全企业开展通信行业网络安全信息通报工作。 2、行业外互联网网络安全信息发布情况 2011年,CNCERT通过发布网络安全专报、周报、月报、年报和在期刊杂志上发表文章等多种形式面向行业外发布报告139份。其中通过印刷品向有关部门发布月度网络安全专报和简报各12期、简报增刊2期;通过邮件推送、CNCERT网站发布《网络安全信息与动态周报》52期、英文版《网络安全信息与动态周报》18期、《CNCERT互联网安全威胁报告》12期、《2011年互联网网络安全态势报告》1份;通过期刊杂志发布网络安全数据分析文章29篇;出版发行了《2010年中国互联网网络安全报告》。其中,英文版《网络安全信息与动态周报》自2011年8月起开始公开发布,主要面向国际组织机构和用户,以进一步促进国内外网络安全信息共享与交流。 8 网络安全专题分析 1、2011年国内网络安全监管动态 本节介绍了国内网络安全相关立法动态和国内网络安全相关行政管理动态。 2、2011年国外网络安全监管动态 在世界发达国家中,互联网早已渗透到其国家政治、经济、军事、文化、生活等各个领域,在社会运转中承担重要角色。所以发达国家面临更为严峻的网络安全挑战,其在应对的过程中有很多先进的经验值得我们认真研究和学习。 3、分布式拒绝服务攻击趋势分析 分布式拒绝服务(DDoS: Distributed Denial of Service)攻击,是指攻击者利用众多攻击源向受害机器同时发动DoS攻击,是DoS攻击中最常用的一种方式。 4、用户个人信息泄漏事件分析 2011年12月21日,中国互联网遭遇了一次强大的“地震”,从国内最大的中文技术社区CSDN用户数据库被泄漏开始,几天时间内,国内多家大型网站用户数据库被陆续曝光,在互联网上广泛流传。更为严重的是,被泄漏的用户数据库大多数包含明文保存的用户密码,受影响用户数以亿计。 9 国内网络安全组织发展情况 1、网络安全信息通报成员发展情况 2011年,CNCERT作为通信行业网络安全信息通报中心,积极贯彻落实工业和信息化部颁布的《互联网网络安全信息通报实施办法》,协调和组织各地通信管理局、中国互联网协会、基础电信运营企业、域名注册管理和服务机构、非经营性互联单位、增值电信业务经营企业以及安全企业开展通信行业网络安全信息通报工作。CNCERT及各分中心积极拓展信息通报工作单位,努力规范各通报单位报送的数据。 2、国家信息安全漏洞共享平台(CNVD)成员发展情况 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由CNCERT联合国内重要信息系统单位、基础电信运营企业、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。旨在团结行业和社会的力量,共同开展漏洞信息的收集、汇总、整理和发布工作,建立漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,有效应对信息安全漏洞带来的网络信息安全威胁。 3、中国反网络病毒联盟(ANVA)成员发展情况 2009年7月,中国互联网协会网络与信息安全工作委员会发起成立了中国反网络病毒联盟(Anti Network-Virus Alliance of China,简称ANVA),由CNCERT负责具体运营管理。联盟旨在广泛联合基础电信运营企业、互联网内容和服务提供商、网络安全企业等行业机构,积极动员社会力量,通过行业自律机制共同开展互联网网络病毒信息收集、样本分析、技术交流、防范治理、宣传教育等工作,以净化公共互联网网络环境,提升互联网网络安全水平。 4、CNCERT应急服务支撑单位 互联网作为重要信息基础设施,社会功能日益增强,但由于本身的开放性和复杂性,互联网面临巨大的安全风险。因此,面向公共互联网的应急处置工作逐步成为公共应急服务事业的重要组成部分,建立高效的公共互联网应急体系和强大的人才队伍,对及时有效地应对互联网突发事件有着重要意义。 5、国内应急组织发展情况 面对错综复杂的网络安全问题,为维护互联网网络安全,保障重要信息系统正常运行,有效防范和应对各类网络安全事件,提高网络安全防护能力,自CNCERT成立后,通过大力推动基础电信运营企业、安全企业等单位建立专业的网络安全应急组织,我国应急组织得到了迅速发展,初步形成了以CNCERT为核心,各分中心为延伸、以骨干网络运营单位应急组织为主体、以安全企业和社会组织机构为支撑、以大学和科研院所为后援的应急体系。 10 国内外网络安全重要活动 1、国内重要网络安全会议和活动 本节记录了以下事件:“2010年互联网网络安全态势报告发布会”在北京召开、CNCERT发布《2010年中国互联网网络安全报告》、工业和信息化部组织开展“2011年度互联网网络安全应急演练”、 中国反网络病毒联盟制定我国首个手机病毒技术规范、2011年中国计算机网络安全年会在大连召开。 2、国际重要网络安全会议和活动 本节记录了以下事件:APCERT 2011年度应急演练顺利进行、APCERT 2011年年会在韩国召开、中美网络安全对话机制反垃圾邮件专题取得阶段性成果、CNCERT受邀参加亚太经济合作组织电信工作组会议、第二十三届FIRST计算机安全事件处理年会在奥地利召开、CNCERT受邀参加中国-东盟电信监管圆桌讨论会、第四届中国-东盟网络安全研讨会在大连召开、CNCERT与东盟CERT组织完成年度应急演练、网络问题伦敦国际会议在英国召开。 11 2012年网络安全挑战与工作展望 随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂。建议从立法、监管、自身防护和国际合作等多方面,提高互联网网络安全水平。 12 网络安全术语解释 信息系统、漏洞、恶意代码、病毒等网络安全术语解释。 |
|
|
