CNCERT-2020年我國互聯網網絡安全態(tài)勢綜述-2021.5-32正式版

2020年我國互聯網網絡安全態(tài)勢綜述國家計算機網絡應急技術處理協(xié)調中心2021年

5月一、前言2020

年，全球突發(fā)新冠肺炎疫情，抗擊疫情成為各國緊迫任務。不論是在疫情防控相關工作領域，還是在遠程辦公、教育、醫(yī)療及智能化生產等生產生活領域，大量新型互聯網產品和服務應運而生，在助力疫情防控的同時也進一步推進社會數字化轉型。與此同時，安全漏洞、數據泄露、網絡詐騙、勒索病毒等網絡安全威脅日益凸顯，有組織、有目的的網絡攻擊形勢愈加明顯，為網絡安全防護工作帶來更多挑戰(zhàn)。我國持續(xù)加強網絡安全監(jiān)測發(fā)現和應急處臵工作，組織應急演練，并不斷加強網絡安全法治體系建設。中央網信辦發(fā)布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》；全國人大法工委就《數據安全法(草案)》和《個人信息保護法（草案）》征求意見，進一步強調對數據安全和個人信息的保護；《密碼法》正式施行，是我國密碼領域的綜合性、基礎性法律。本報告以CNCERT宏觀網絡安全監(jiān)測數據為基礎，結合各類安全威脅、事件信息以及網絡安全威脅治理實踐，對

2020

年我國互聯網網絡安全狀況進行了全面分析和總結，并對

2021

年網絡安全關注方向進行預測。-1-二、2020

年我國互聯網網絡安全狀況（一）我國網絡安全法律法規(guī)體系日趨完善，網絡安全威脅治理成效顯著。1.我國網絡安全法律法規(guī)體系建設進一步完善。2020

年，多項網絡安全法律法規(guī)面向社會公眾發(fā)布，我國網絡安全法律法規(guī)體系日臻完善。國家互聯網信息辦公室等

12個部門聯合制定和發(fā)布《網絡安全審查辦法》，以確保關鍵信息基礎設施供應鏈安全，維護國家安全。全國人大法工委就《數據安全法(草案)》和《個人信息保護法（草案）》征求社會公眾意見，法律將為切實保護數據安全和用戶個人信息安全提供強有力的法治保障?！睹艽a法》正式施行，規(guī)定使用密碼進行數據加密、身份認證以及開展商用密碼應用安全性評估成為系統(tǒng)運營單位的法定義務?！吨泄仓醒腙P于制定國民經濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》正式發(fā)布，提出保障國家數據安全，加強個人信息保護，全面加強網絡安全保障體系和能力建設，維護水利、電力、供水、油氣、交通、通信、網絡、金融等重要基礎設施安全。中共中央印發(fā)《法治社會建設實施綱要（2020－2025

年）》，要求依法治理網絡空間，推動社會治理從現實社會向網絡空間覆蓋，建立健全網絡綜合治理體系，加強依法管網、依法辦網、依法上網，全面推進網絡空間法治化，營造清朗的網絡空間。同時，國家發(fā)改委、工業(yè)和信息化部、公安部、交通運輸部、國家市場監(jiān)督管理總局-2-等多個部門，陸續(xù)出臺相關配套文件，不斷推進我國各領域網絡安全工作。2.網絡安全宣傳活動豐富、威脅治理成效顯著。黨的十八大以來，我國持續(xù)加強網絡安全頂層設計，每年開展國家網絡安全宣傳周活動，組織豐富多樣的網絡安全會議、賽事等活動，不斷加大網絡安全知識宣傳力度。2020

年，CNCERT協(xié)調處臵各類網絡安全事件約

10.3

萬起，同比減少4.2%。據抽樣監(jiān)測發(fā)現，我國被植入后門網站、被篡改網站等數量均有所減少，其中被植入后門的網站數量同比減少

37.3%，境內政府網站被植入后門的數量大幅下降，同比減少

64.3%；被篡改的網站數量同比減少

45.9%。在主管部門指導下，CNCERT持續(xù)開展對被用于進行DDoS攻擊的網絡資源（以下簡稱“攻擊資源”）治理工作，境內可被利用的攻擊資源穩(wěn)定性降低，被利用發(fā)起攻擊的境內攻擊資源數量持續(xù)控制在較低水平，有效降低了發(fā)起自我國境內的攻擊流量，從源頭上持續(xù)遏制DDoS攻擊事件。根據外部報告，全年我國境內DDoS攻擊次數減少

16.16%，攻擊總流量下降

19.67%①；僵尸網絡控制端數量在全球的占比穩(wěn)步下降至

2.05%②。①②相關數據來源于中國電信云堤、綠盟科技聯合發(fā)布的《2020DDoS攻擊態(tài)勢報告》相關數據來源于卡巴斯基公司《DDoSAttacksinQ42020》-3-（二）APT組織利用社會熱點、供應鏈攻擊等方式持續(xù)對我國重要行業(yè)實施攻擊，遠程辦公需求增長擴大了APT攻擊面。1.利用社會熱點信息投遞釣魚郵件的APT攻擊行動高發(fā)。境外“白象”“海蓮花”“毒云藤”等APT攻擊組織以“新冠肺炎疫情”“基金項目申請”等相關社會熱點及工作文件為誘餌，向我國重要單位郵箱賬戶投遞釣魚郵件，誘導受害人點擊仿冒該單位郵件服務提供商或郵件服務系統(tǒng)的虛假頁面鏈接，從而盜取受害人的郵箱賬號密碼。1

月，“白象”組織利用新冠肺炎疫情相關熱點，冒充我國衛(wèi)生機構對我國

20

余家單位發(fā)起定向攻擊；2

月，“海蓮花”組織以“H5N1

亞型高致病性禽流感疫情”“冠狀病毒實時更新”等時事熱點為誘餌對我國部分衛(wèi)生機構發(fā)起“魚叉”攻擊。“毒云藤”組織長期利用偽造的郵箱文件共享頁面實施攻擊，獲取了我國百余個單位的數百個郵箱的賬戶權限。2.供應鏈攻擊成為APT組織常用攻擊手法。APT組織多次對攻擊目標采用供應鏈攻擊。例如，新冠肺炎疫情防控下的遠程辦公需求明顯增多，虛擬專用網絡（VPN）成為遠程辦公人員接入單位網絡的主要技術手段之一。在此背景下，部分APT組織通過控制VPN服務器，將木馬文件偽裝成VPN客戶端升級包，下發(fā)給使用這些VPN服務器的重要單位。經監(jiān)測發(fā)現，東亞區(qū)域APT組織以及“海蓮花”組織等多個境外APT組織通過這一方式對我國黨政機關、科研院所等多-4-個重要行業(yè)單位發(fā)起攻擊，造成較為嚴重的網絡安全風險。2020年底，美國爆發(fā)SolarWinds供應鏈攻擊事件，包括美國有關政府機構及微軟、思科等大型公司在內的大量機構受到影響。3.部分APT組織網絡攻擊工具長期潛伏在我國重要機構設備中。為長期控制重要目標從而竊取信息，部分APT組織利用網絡攻擊工具，在入侵我國重要機構后長期潛伏，這些工具功能強大、結構復雜、隱蔽性高。3

月至

7

月，“響尾蛇”組織隱蔽控制我國某重點高校主機，持續(xù)竊取了多份文件；9

月，在我某研究機構服務器上發(fā)現“方程式”組織使用的高度隱蔽網絡竊密工具，結合前期該機構主機被控情況，可以推斷，最早可追溯至

2013

年，“方程式”組織就已開始對該研究機構實施長期潛伏攻擊。（三）App違法違規(guī)收集個人信息治理取得積極成效，但個人信息非法售賣情況仍較為嚴重，聯網數據庫和微信小程序數據泄露風險較為突出。1.App違法違規(guī)收集個人信息治理取得積極成效。App違法違規(guī)收集使用個人信息亂象的治理持續(xù)推進，取得積極成效。截至

2020

年底，國內主流應用商店可下載的在架活躍App達到

267

萬款，安卓、蘋果App分別為

105

萬款、162萬款。為落實《網絡安全法》，進一步規(guī)范App個人信息收集行為，保障個人信息安全，國家互聯網信息辦公室會同工業(yè)和信-5-息化部、公安部、市場監(jiān)管總局持續(xù)開展App違法違規(guī)收集使用個人信息治理工作，對存在未經同意收集、超范圍收集、強制授權、過度索權等違法違規(guī)問題的App依法予以公開曝光或下架處理；研究起草了《常見類型移動互聯網應用程序（App）必要個人信息范圍規(guī)定（征求意見稿）》并面向社會公開征求意見，規(guī)定了地圖導航、網絡約車、即時通信等常見類型App的必要個人信息范圍。2.公民個人信息未脫敏展示與非法售賣情況較為嚴重。監(jiān)測發(fā)現涉及身份證號碼、手機號碼、家庭住址、學歷、工作信息等敏感個人信息暴露在互聯網上，全年僅CNCERT就累計監(jiān)測發(fā)現政務公開、招考公示等平臺未脫敏展示公民個人信息事件107起，涉及未脫敏個人信息近10萬條。此外，全年累計監(jiān)測發(fā)現個人信息非法售賣事件203起，其中，銀行、證券、保險相關行業(yè)用戶個人信息遭非法售賣的事件占比較高，約占數據非法交易事件總數的40%；電子商務、社交平臺等用戶數據和高校、培訓機構、考試機構等教育行業(yè)通訊錄數據分別占數據非法交易事件總數的20%和12%。3.聯網數據庫和微信小程序數據泄露風險問題突出。CNCERT持續(xù)推進數據安全事件監(jiān)測發(fā)現和協(xié)調處臵工作，全年累計監(jiān)測并通報聯網信息系統(tǒng)數據庫存在安全漏洞、遭受入侵控制，以及個人信息遭盜取和非法售賣等重要數據安全事件

3000

余起，涉及電子商務、互聯網企業(yè)、醫(yī)療衛(wèi)生、校外培-6-訓等眾多行業(yè)機構。分析發(fā)現，使用MySQL、SQLServer、Redis、PostgreSQL等主流數據庫的信息系統(tǒng)遭攻擊較為頻繁。其中，數據庫密碼爆破攻擊事件最為普遍，占比高達

48%，數據庫遭刪庫、拖庫、植入惡意代碼、植入后門等事件時有發(fā)生，數據庫存在漏洞等風險情況較為突出。近年來，微信小程序（以下簡稱“小程序”）發(fā)展迅速，但也暴露出較為突出的安全隱患，特別是用戶個人信息泄露風險較為嚴峻。CNCERT從程序代碼安全、服務交互安全、本地數據安全、網絡傳輸安全、安全漏洞等五個維度，對國內50家銀行發(fā)布的小程序進行了安全性檢測，結果顯示，平均一個小程序存在8項安全風險，在程序源代碼暴露關鍵信息和輸入敏感信息時未采取防護措施的小程序數量占比超過90%；未提供個人信息收集協(xié)議的超過80%；個人信息在本地儲存和網絡傳輸過程中未進行加密處理的超過60%；少數小程序則存在較嚴重的越權風險。（四）漏洞信息共享與應急工作穩(wěn)步深化，但歷史重大漏洞利用風險仍然較大，網絡安全產品自身漏洞問題引起關注。1.漏洞信息共享與應急工作穩(wěn)步推進。國家信息安全漏洞共享平臺（以下簡稱“CNVD”）全年新增收錄通用軟硬件漏洞數量創(chuàng)歷史新高，達

20,704

個，同比增長

27.9%，近五年來新增收錄漏洞數量呈顯著增長態(tài)勢，年均增長率為

17.6%。全年開展重大突發(fā)漏洞事件應急響應工作

36-7-次，涉及辦公自動化系統(tǒng)（OA）、內容管理系統(tǒng)（CMS）、防火墻系統(tǒng)等；開展了對約

3.1

萬起漏洞事件的驗證和處臵工作；及時向社會公開發(fā)布影響范圍廣、需終端用戶盡快修復的重大安全漏洞公告

26

份，有效化解重大安全漏洞可能引發(fā)的安全風險。2.歷史重大漏洞利用風險依然較為嚴重，漏洞修復工作尤為重要和緊迫。經抽樣監(jiān)測發(fā)現，利用安全漏洞針對境內主機進行掃描探測、代碼執(zhí)行等的遠程攻擊行為日均超過

2176.4

萬次。根據攻擊來源IP地址進行統(tǒng)計，攻擊主要來自境外，占比超過

75%。攻擊者所利用的漏洞類型主要覆蓋網站側、主機側、移動終端側，其中攻擊網站所利用的典型漏洞為ApacheStruts2

遠程代碼執(zhí)行、Weblogic反序列化等漏洞；攻擊主機所利用的典型漏洞為“永恒之藍”、OpenSSL“心臟滴血”等漏洞；攻擊移動終端所利用的典型漏洞為Webview遠程代碼執(zhí)行等漏洞。上述典型漏洞均為歷史上曾造成嚴重威脅的重大漏洞，雖然已曝光較長時間，但目前仍然受到攻擊者重點關注，安全隱患依然嚴重，針對此類漏洞的修復工作尤為重要和緊迫。3.網絡安全產品自身漏洞風險上升。CNVD收錄的通用型漏洞中，網絡安全產品類漏洞數量達424

個，同比增長

110.9%，網絡安全產品自身存在的安全漏洞需獲得更多關注。終端安全響應系統(tǒng)（EDR）、堡壘機、防火墻、-8-入侵防御系統(tǒng)、威脅發(fā)現系統(tǒng)等網絡安全防護產品多次被披露存在安全漏洞，由于網絡安全防護產品在網絡安全防護體系中發(fā)揮著重要作用，且這些產品在國內使用范圍較廣，相關漏洞一旦被不法分子利用，可能構成嚴重的網絡安全威脅。（五）惡意程序治理成效明顯，但勒索病毒技術手段不斷升級，惡意程序傳播與治理對抗性加劇。1.計算機惡意程序感染數量持續(xù)減少，移動互聯網惡意程序治理成效顯現。我國持續(xù)開展計算機惡意程序常態(tài)化打擊工作，2020

年成功關閉

386

個控制規(guī)模較大的僵尸網絡，近五年來我國感染計算機惡意程序的主機數量持續(xù)下降，并保持在較低感染水平，年均減少率為

25.1%。為從源頭上治理移動互聯網惡意程序，有效切斷傳播源，CNCERT重點協(xié)調國內已備案的App傳播渠道開展惡意App下架工作，2014

年到

2020

年期間下架數量分別為

3.9萬個、1.7

萬個、8,910

個、8,364

個

、3,578

個

、3,057

個

、2,333個，惡意App下架數量持續(xù)保持逐年下降趨勢。2.勒索病毒的勒索方式和技術手段不斷升級。勒索病毒持續(xù)活躍，全年捕獲勒索病毒軟件78.1萬余個，較2019年同比增長6.8%。近年來，勒索病毒逐漸從“廣撒網”轉向定向攻擊，表現出更強的針對性，攻擊目標主要是大型高價值機構。同時，勒索病毒的技術手段不斷升級，利用漏洞入侵過程以及隨后的內網橫向移動過程的自動化、集成化、模塊化、組織化-9-特點愈發(fā)明顯，攻擊技術呈現快速升級趨勢。勒索方式也持續(xù)升級，勒索團伙將被加密文件竊取回傳，在網站或暗網數據泄露站點上公布部分或全部文件，以威脅受害者繳納贖金，例如我國某互聯網公司就曾遭受來自勒索團伙Maze實施的此類攻擊。3.采用P2P傳播方式的聯網智能設備惡意程序異?；钴S。P2P傳播方式是惡意程序的傳統(tǒng)傳播手段之一，具有傳播速度快、感染規(guī)模大、追溯源頭難的特點，Mozi、Pinkbot等聯網智能設備惡意程序家族在利用該傳播方式后活動異?；钴S。據抽樣監(jiān)測發(fā)現，我國境內以P2P傳播方式控制的聯網智能設備數量非常龐大，達2299.7萬個。全年聯網智能設備僵尸網絡控制規(guī)模增大，部分大型僵尸網絡通過P2P傳播與集中控制相結合的方式對受控端進行控制。為凈化網絡安全環(huán)境，CNCERT組織對集中式控制端進行打擊，但若未清理惡意程序，受感染設備之間仍可繼續(xù)通過P2P通信保持聯系，并感染其他設備。隨著更多物聯網設備不斷投入使用，采用P2P傳播的惡意程序可能對網絡空間產生更大威脅。4.仿冒App綜合運用定向投遞、多次跳轉、泛域名解析等多種手段規(guī)避檢測。隨著惡意App治理工作持續(xù)推進，正規(guī)平臺上惡意App數量逐年呈下降趨勢，仿冒App已難以通過正規(guī)平臺上架和傳播，轉而采用一些新的傳播方式。一些不法分子制作仿冒App并通過分發(fā)平臺生成二維碼或下載鏈接，采取“定向投遞”等方式，通過短-10-信、社交工具等向目標人群發(fā)送二維碼或下載鏈接，誘騙受害人下載安裝。同時，還綜合運用下載鏈接多次跳轉、域名隨機變化、泛域名解析等多種技術手段，規(guī)避檢測，當某個仿冒App下載鏈接被處臵后，立即生成新的傳播鏈接，以達到規(guī)避檢測的目的，增加了治理難度。（六）網頁仿冒治理工作力度持續(xù)加大，但因社會熱點容易被黑產利用開展網頁仿冒詐騙，以社會熱點為標題的仿冒頁面驟增。1.通過加強行業(yè)合作持續(xù)開展網頁仿冒治理工作。為有效防范網頁仿冒引發(fā)的危害，CNCERT圍繞針對金融、電信等行業(yè)的仿冒頁面進行重點處臵，全年共協(xié)調國內外域名注冊機構關閉仿冒頁面

1.7

萬余個；對于其他仿冒頁面，通過中國互聯網網絡安全威脅治理聯盟（CCTGA）聯合國內

10

家瀏覽器廠商通過協(xié)同防御試點方式，在用戶訪問釣魚網站時進行提示攔截，全年提示攔截次數達

3.9

億次。2.仿冒ETC頁面井噴式增長。2019

年以來，電子不停車收費系統(tǒng)（ETC）在全國大力推廣

，ETC頁面直接涉及個人銀行卡信息。不法分子通過仿冒ETC相關頁面，騙取個人銀行卡信息。2020

年

5

月以來，以“ETC在線認證”為標題的仿冒頁面數量呈井噴式增長，并在

8

月達到峰值

5.6萬余條，占針對我國境內網站仿冒頁面總量的

91%。此類仿冒頁面承載IP地址多位于境外，不法分子通過“ETC信-11-息認證”“ETC在線辦理認證”“ETC在線認證中心”等不同頁面內容誘騙用戶提交姓名、銀行賬號、身份證號、手機號、密碼等個人隱私信息，致使大量用戶遭受經濟損失。3.針對網上行政審批的仿冒頁面數量大幅上漲。受新冠肺炎疫情影響，大量行政審批轉向線上。2020

年底，出現大量以“統(tǒng)一企業(yè)執(zhí)照信息管理系統(tǒng)”為標題的仿冒頁面，僅

11

月至

12

月即監(jiān)測發(fā)現此類仿冒頁面

5.3

萬余條。不法分子通過該類頁面誘騙用戶在仿冒頁面上提交真實姓名、銀行卡號、卡內余額、身份證號、銀行預留手機號等信息。此外，監(jiān)測還發(fā)現大量以“核酸檢測”“新冠疫苗預約”等為標題的仿冒頁面，其目的在于非法獲取用戶姓名、住址、身份證號、手機號等個人隱私信息。（七）工業(yè)領域網絡安全工作不斷強化，但工業(yè)控制系統(tǒng)互聯網側安全風險仍較為嚴峻。1.監(jiān)管要求、行業(yè)扶持和產業(yè)帶動成為網絡安全在工業(yè)領域不斷落地和深化的三大動力。隨著等保

2.0

標準正式實施，公安部制定出臺《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施保護制度的指導意見》，建立并實施關鍵信息基礎設施安全保護制度。為滿足監(jiān)管要求和行業(yè)網絡安全保障需求，國家相關主管部門加大對重點行業(yè)網絡安全政策和資金扶持力度，工控安全行業(yè)蓬勃發(fā)展。為行業(yè)量身定做的、具有實際效果的安全解決方案得到更多認-12-可，如電網等較早開展工控安全的行業(yè)，已逐步從合規(guī)性需求向效果性需求轉變。除外圍安全監(jiān)測與防護，核心軟硬件的本體安全和供應鏈安全日益得到重視。2.工業(yè)控制系統(tǒng)互聯網側安全風險仍較為嚴峻。監(jiān)測發(fā)現，我國境內直接暴露在互聯網上的工控設備和系統(tǒng)存在高危漏洞隱患占比仍然較高。在對能源、軌道交通等關鍵信息基礎設施在線安全巡檢中發(fā)現，20%的生產管理系統(tǒng)存在高危安全漏洞。與此同時，工業(yè)控制系統(tǒng)已成為黑客攻擊利用的重要對象，境外黑客組織對我國工控視頻監(jiān)控設備進行了針對性攻擊。2

月，針對存在某特定漏洞工控設備的惡意代碼攻擊持續(xù)半個月之久，攻擊次數達

6,700

萬次，攻擊對象包含數十萬個IP地址。為有效降低工業(yè)控制系統(tǒng)互聯網側的安全風險，各相關行業(yè)需加大資金投入力度，提升工控設備漏洞安全監(jiān)測能力，加強處臵力度，從而及時消除互聯網側安全風險暴露點。三、2021

年網絡安全關注方向預測（一）與社會熱點相關聯的APT攻擊活動仍將持續(xù)。2020

年，全球范圍內多個APT組織都發(fā)起以新冠疫情主題為誘餌的APT攻擊。攻擊者通過“魚叉”釣魚郵件等方式對分布在全球的攻擊目標實施竊密和控制。2021

年，在新冠肺炎疫情持續(xù)擴散、各國規(guī)?；_展疫苗采購和接種工作的背景下，這類攻擊方式仍將流行，以竊取新冠肺炎疫苗相關信息為目標的APT攻擊活動將持續(xù)，政府機構、關鍵信息基礎設施運營者、-13-疫苗生產廠商、衛(wèi)生組織、醫(yī)療機構等將成為重點攻擊目標。（二）App違法違規(guī)收集使用個人信息情況將進一步改善。在移動互聯網時代，個人信息已成為高價值的數據資源，加強App個人信息保護勢在必行。近年來，國家互聯網信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)管總局四部門啟動了App違法違規(guī)收集使用個人信息治理工作，對用戶規(guī)模大、問題突出的App采取公開曝光、約談、下架等處罰措施，App違法違規(guī)收集使用個人信息問題有所改善。然而，我國App數量龐大，更新頻繁，且新應用層出不窮，仍存在App過度超范圍收集個人信息、個人信息濫用等情況，公民合法權益受到侵犯。2021年，隨著《個人信息保護法》的即將出臺，以及國家監(jiān)管部門監(jiān)督和治理力度不斷加大，相關運營企業(yè)將更加重視個人信息保護工作，規(guī)范收集使用個人信息行為。（三）網絡產品和服務的供應鏈安全問題面臨挑戰(zhàn)。近年來，因停止提供基礎產品組件或服務，或遭受網絡攻擊等方式而發(fā)生的網絡產品和服務供應鏈安全問題時有發(fā)生。任何產品和服務的供應鏈只要在某個環(huán)節(jié)出現問題，都可能影響整個供應鏈的安全運行，破壞性巨大。面對愈加嚴峻的供應鏈安全形勢，預計各行業(yè)領域政策標準將陸續(xù)出臺，區(qū)塊鏈等新技術也將為保障供應鏈安全提供可能的解決方案。（四）加強關鍵信息基礎設施安全保護成為社會共識。2020年

4月

13日，國家互聯網信息辦公室等

12個部門聯-14-合發(fā)布《網絡安全審查辦法》，明確關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照辦法進行網絡安全審查。近年來，針對關鍵信息基礎設施的信息竊取、攻擊破壞等惡意活動持續(xù)增加，相關安全問題也受到社會關注。例如，新冠肺炎疫情發(fā)生以來，涉及醫(yī)療衛(wèi)生的關鍵信息基礎設施成為攻擊者的重點攻擊對象。預計

2021年，關鍵信息基礎設施安全保護的頂層設計、體系建設等將持續(xù)完善。（五）遠程協(xié)作安全風險問題或將更受重視。2020年，全球出現多起涉及遠程會議軟件、VPN設備等的網絡安全事件，遠程協(xié)作中的網絡安全問題得到高度重視，2020年

3月全國信息安全標準化技術委員會出臺《網絡安全標準實踐指南-遠程辦公安全防護》。2021年，攻擊者或將針對遠程協(xié)作環(huán)境下的薄弱環(huán)節(jié)，重點針對使用的工具、協(xié)議以及所依賴的信息基礎設施開展攻擊，遠程協(xié)作安全風險問題將受到更多關注和重視，需要更體系化的安全解決方案。（六）全社會數字化轉型加快背景下將著力提升數據安全防護能力。隨著云計算、大數據、物聯網、工業(yè)互聯網、人工智能等新技術新應用的大規(guī)模發(fā)展，互聯網上承載的數據和信息越來越豐富，這些數據資源已經成為國家重要戰(zhàn)略資源和新生產要素，對經濟發(fā)展、國家治理、社會管理、人民生活都產生重大影響。隨著全社會數字化進程的加快，數據的價值將更為凸顯。-15-近年來針對數據的網絡攻擊以及數據濫用問題日趨嚴重，數據安全風險將更加突出。2021

年，隨著《數據安全法》的即將出臺，數據安全管理將會進一步加強，數據安全治理水平也將得到有效提升。-16-附件：2020年我國互聯網網絡安全監(jiān)測數據分析（一）惡意程序1.惡意程序捕獲情況全年捕獲惡意程序樣本數量超過

4,200萬個，日均傳播次數達

482萬余次，涉及惡意程序家族近

34.8萬個。按照傳播來源統(tǒng)計，境外來源主要是來自美國、印度等，具體分布如圖

1所示；境內來源主要來自河南省、廣東省和浙江省等。按照攻擊目標IP地址統(tǒng)計，我國境內受惡意程序攻擊的IP地址約5,541萬個，約占我國IP地址總數的

14.2%，這些受攻擊的IP地址主要集中在山東省、江蘇省、廣東省、浙江省等地區(qū)。2020年我國受惡意程序攻擊的IP地址分布情況如圖

2所示。圖

12020年惡意程序傳播源位于境外分布情況圖

22020年我國受惡意程序攻擊的IP地址分布情況-17-2.計算機惡意程序用戶感染情況全年，我國境內感染計算機惡意程序的主機數量約

534萬臺，同比下降

8.3%，如圖

3所示。位于境外的約

5.2萬個計算機惡意程序控制服務器控制了我國境內約

531萬臺主機。就控制服務器所屬地區(qū)來看，位于美國、中國香港和荷蘭的控制服務器數量分列前三位，分別是約

1.9萬個、2,854個和

2,083個，具體分布如圖

4所示；就所控制我國境內主機數量來看，位于美國、荷蘭和德國的控制服務器控制規(guī)模分列前三位，分別控制我國境內約

446萬

、215萬和

194萬臺主機，如圖

5所示。此外，根據CNCERT針對IPv6網絡攻擊的抽樣監(jiān)測數據顯示，2020年境外約

3,500個IPv6地址的計算機惡意程序控制服務器控制了我國境內約

3.3萬臺IPv6地址主機。圖

3境內感染計算機惡意程序主機數量統(tǒng)計-18-圖42020年控制我國境內主機的境外計算機惡意程序控制服務器數量分布圖

52020年控制我國境內主機數量TOP10的國家或地區(qū)從我國境內感染計算機惡意程序主機所屬地區(qū)看，感染主機主要分布在江蘇?。ㄕ嘉覈硟雀腥緮盗康?/p>

12.1%）、浙江?。ㄕ?/p>

11.5%）、廣東?。ㄕ?/p>

11.4%）等地區(qū)，如圖

6所示。在因感染計算機惡意程序而形成的僵尸網絡中，規(guī)模在

100臺主機以上的僵尸網絡數量達

8,423個，同比增長

50.1%，規(guī)模在

10萬臺以上的僵尸網絡數量達

39個，如圖

7所示。CNCERT協(xié)調相關機構成功關閉

386個控制規(guī)模較大的僵尸網絡，有效控制計算機惡意程序感染主機引發(fā)的危害。-19-圖

62020年我國境內感染計算機惡意程序主機數量按地區(qū)分布圖

72020年僵尸網絡的規(guī)模分布3.移動互聯網惡意程序全年通過自主捕獲和廠商交換新增獲得移動互聯網惡意程序數量約

303萬個，同比增長

8.5%，如圖

8所示。通過對惡意程序的惡意行為統(tǒng)計發(fā)現，排名前三的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為

48.4%、21.1%和

12.7%，如圖

9所示。CNCERT連續(xù)八年聯合應用商店、云平臺等服務平臺持續(xù)加強對移動互聯網惡意程序的發(fā)現和下架力度，2020年累計協(xié)調國內

569家提供移動應用程序下載服務的平臺下架2,333個移動互聯網惡意程序，有效控制了移動互聯網惡意程序傳播途徑，防范移動互聯網惡意程序危害。-20-圖

82011年至

2020年移動互聯網惡意程序捕獲數量走勢圖

92020年移動互聯網惡意程序數量按行為屬性統(tǒng)計4.聯網智能設備惡意程序全年捕獲聯網智能設備惡意程序樣本數量約

341萬個，同比上升

5.2%。其中，排名前兩位的惡意程序樣本家族及變種為Mirai、Gafgyt，占比分別為

77.5%和

13.9%，其他數量較多的家族還有Tsunami、Mozi、DarkNexus等。全年監(jiān)測發(fā)現聯網智能設備惡意程序傳播源IP地址約

51.99萬個，其中，境外傳播源IP地址主要分布在印度、俄羅斯、韓國、巴西、美國等國家或地區(qū)。根據抽樣監(jiān)測，發(fā)現境內聯網智能設備被控端

2929.73萬個，感染的惡意程序家族主要為Pinkbot、Tsunami、Gafgyt、-21-Mirai等，通過控制聯網智能設備發(fā)起的DDoS攻擊日均

3000余起。其中，以P2P傳播模式控制的感染端

2299.7

萬個，主要位于山東省、浙江省、河南省、江蘇省等地區(qū)。目前，采用P2P傳播方式的聯網智能設備惡意程序非常活躍，給聯網智能設備控制端集中打擊清理工作帶來新挑戰(zhàn)。通過對聯網智能設備被控所形成的僵尸網絡進行分析，發(fā)現累計控制規(guī)模大于

10

萬的僵尸網絡共

53

個，控制規(guī)模為

1

萬至

10

萬的僵尸網絡共

471個，控制規(guī)模較大的控制端主要分布在美國、荷蘭、俄羅斯、法國、德國等，控制規(guī)模較大的惡意程序家族包括Tsunami、Gafgyt、Moobot、Cayosin、Fbot、Mirai等。（二）安全漏洞國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數量共計

20,704

個，繼續(xù)呈上升趨勢，同比增長

27.9%，2016

年以來年均增長率為

17.6%。其中，高危漏洞數量為

7,420

個（占35.8%），同比增長

52.1%；“零日”漏洞數量為

8,902

個（占43.0%），同比增長

56.0%，如圖

10

所示。按影響對象分類統(tǒng)計，排名前三的是應用程序漏洞（占

47.9%）、Web應用漏洞（占29.5%）、操作系統(tǒng)漏洞（占

10.0%），如圖

11

所示。-22-圖

102016年至

2020年CNVD收錄安全漏洞數量對比圖

112020年CNVD收錄安全漏洞按影響對象分類統(tǒng)計CNVD繼續(xù)推進移動互聯網、電信行業(yè)、工業(yè)控制系統(tǒng)和電子政務四類子漏洞庫的建設工作，分別新增收錄安全漏洞數量

1,665個（占全年收錄數量的

8.0%）、1,039個（占

5.0%）、706個（

占

3.4%）和

209個（占

1.0%），如

圖

12所示。同

2019年相比，四類子漏洞庫收錄數量均有不同程度的增長，同比增長分別為

37.1%、62.9%、59.4%和

59.5%。-23-圖

122016年至

2020年CNVD子漏洞庫收錄情況對比（三）拒絕服務攻擊因為攻擊成本低、效果明顯，DDoS攻擊仍是目前互聯網用戶面臨的較常見、影響較嚴重的網絡安全威脅之一。為降低DDoS攻擊對我國基礎網絡和關鍵信息基礎設施的威脅，CNCERT持續(xù)加強對境內目標遭大流量攻擊情況的監(jiān)測跟蹤分析，針對所發(fā)現的被用于進行DDoS攻擊的網絡資源重點開展治理。1.境內目標遭大流量DDoS攻擊情況在監(jiān)測發(fā)現的境內目標遭峰值流量超過

1Gbps的大流量攻擊事件中，攻擊方式為TCPSYNFlood、UDPFlood、NTPAmplification、DNSAmplification和SSDPAmplification這五種攻擊的占比達到

91.6%；攻擊目標主要位于浙江省、山東省、江蘇省、廣東省、北京市、上海市、福建省等

7個地區(qū)的事件占比達到

81.8%；12月份是全年攻擊最高峰，攻擊異?；钴S。經對每起攻擊事件的攻擊時長分析，發(fā)現攻擊時長不超過

30分-24-鐘的攻擊占比高達

94.4%，表明當前攻擊者傾向于最優(yōu)化使用攻擊資源，利用大流量攻擊瞬時打癱攻擊目標，以對外提供更多服務并非法獲利。2.被用于進行DDoS攻擊的網絡資源活躍情況通過開展對境內目標遭大流量DDoS攻擊事件的持續(xù)分析溯源，發(fā)布《我國DDoS攻擊資源季度分析報告》，定期公布控制端、被控端、反射服務器、偽造流量來源路由器等被用于進行DDoS攻擊的網絡資源（以下簡稱“攻擊資源”）情況，進一步協(xié)調各單位處臵，境內可被利用的攻擊資源穩(wěn)定性降低，被利用的活躍境內攻擊資源數量控制在較低水平。與2019年相比，境內各類攻擊資源數量持續(xù)減少，境內活躍控制端數量同比減少

47.6%、受控端數量同比減少

39.9%、活躍反射服務器同比減少

20.4%、跨域偽造路由器同比減少

59.1%；而與此同時，境外各類攻擊資源數量不斷增加，境外活躍控制端數量同比增加

27.6%、受控端數量同比增加

37.0%、活躍反射服務器同比增加

0.3%，攻擊資源向境外遷移趨勢明顯。（四）網站安全1.網頁仿冒近年來，不法分子通過網頁仿冒詐騙獲利的方式層出不窮，其仿冒對象已不僅僅局限于銀行類、支付類網站網頁，利用社會熱點事件開展的網頁仿冒詐騙呈爆炸式增長。全年監(jiān)測發(fā)現約

20

萬個針對我國境內網站的仿冒頁面，同比增長約

1.4

倍。-25-其中，大部分為關于“ETC在線認證”網站、網上行政審批等利用社會熱點的仿冒頁面。為有效防范網頁仿冒引發(fā)的危害，CNCERT圍繞針對金融、電信等行業(yè)的仿冒頁面進行重點處臵，全年共協(xié)調關閉仿冒頁面

1.7

萬余個；對于其他仿冒頁面，通過中國互聯網網絡安全威脅治理聯盟（CCTGA）聯合國內

10家瀏覽器廠商通過協(xié)同防御試點方式，對用戶訪問釣魚網站進行提示攔截，全年提示攔截次數達

3.9

億次。2.網站后門監(jiān)測發(fā)現境內外約

2.6

萬個IP地址對我國境內約

5.3

萬個網站植入后門，我國境內被植入后門的網站數量同比下降37.3%。其中，境外IP地址約有

2.57

萬個（占全部IP地址總數的

97