2020年上半年网络安全态势情况综述

　　一、上半年网络安全态势

    　　与2019 年下半年相比，安全形势依旧严峻，2020 年上半年公共互联网网络安全威胁数量总体呈大幅度上升趋势，但整体安全态势平稳，未发生重大区域性、行业性网络安全突发事件。

    　　（一）DDoS 攻击强度、类型、重点目标基本不变。共监测到针对基础通信网络的DDoS 攻击45 万余次，与去年相比无明显变化。攻击类型主要为TCP SYN Flood 和UDPFlood，未发现新类型。攻击规模主要以10Gbps 以下的攻击为主，占比约70%。攻击源方面，攻击流量中境外流量占比约50%。攻击对象方面，浙江、江苏、福建、北京、山东等ICP 资源比较集中的省网依然是主要攻击目标。

    　　（二）安全威胁处置数量大幅增长，处置率显著提高。

    　　2020 年上半年，工业和信息化部网络安全威胁信息共享平台（以下简称平台）共完成约7.6 万个各类威胁处置。一是完成约1.2 万个安全隐患的处置工作，相比2019 年下半年上涨约5 倍，北京市、广东省、上海市和江苏省等地处置完成量约占安全隐患处置总量的53.76%。二是完成恶意程序传播威胁处置约4 万个，相比2019 年下半年增长13 倍，广东省、北京市、江苏省为处置数量排名前三的省份，在仿冒APP 治理工作中，累计处置腾讯应用宝、百度手机助手等应用商店仿冒APP 类事件72 件。三是协调处置网页篡改问题近5 千个、网站仿冒35 个，相比2019 年下半年增长40.11%，北京市、广东省、河南省为处置数量排名前三的省份。四是处置僵尸网络类事件近7 千起，相比2019 年下半年增长36 倍，来自河南省、广东省、浙江省、辽宁省、北京市的IP 占重复发起攻击IP 的33.49%，广东省、江苏省、浙江省、北京市和山东省处置43.16%的僵尸网络事件。

    　　（三）多个境外APT 组织利用“新型肺炎”话题为诱饵对我国境内目标和机构实施攻击活动。监测发现APT 组织蔓灵花、摩诃草、海莲花、透明部落等攻击活动活跃，其中，海莲花是对我境内攻击最频繁的APT 组织， 利用以COVID-19 为主题的钓鱼邮件，对我目标进行入侵。从攻击手法看，从钓鱼邮件攻击向利用0day 或Nday 漏洞实施攻击转变。

    　　（四）医疗行业高危漏洞数量与Web 攻击事件占比最高，攻击危害不容忽视。从漏洞类型和分布区域看，高危漏洞占比高达72%，上海、江苏等规模较大省市漏洞数量相对较多。从事件类型与后果看，Web 攻击事件占比高达96.44%，而僵木蠕攻击危害同样严重，可造成系统不可用、数据丢失等严重后果。多家医疗机构网站遭受漏洞利用等攻击，其中暴力破解达到单日80 万次高峰。例如，某市中心医院数据上报系统存在未授权访问漏洞，攻击者可获取医护人员敏感信息。

    　　（五）人工智能数据流通存在泄露和滥用风险。目前，多数人工智能初创企业普遍使用开源框架进行应用开发并存在较大依赖性。由于缺乏严格的安全认证，将面临不可预期的系统漏洞、数据泄露和供应链断供等安全风险。例如，2020 年上半年，中国信息通信研究院对我国14 款APP 进行传输安全、权限控制等安全项检测，发现5 款APP 存在数据泄露风险。

    　　（六）5G 智慧城市加速发展同时仍需防范可用性破坏、数据泄露等风险。5G 与城市现代化的深度融合与迭代演进，推动5G 智慧城市建设提速发展。5G 新技术新架构加大了网络安全边界泛化的程度，导致线上线下安全问题复杂交织、智能基础设施安全防御难度增大。具体而言，5G 智慧城市网络架构主要包括应用层、数据平台层、网络层、边缘层、终端层等架构层面，可能面临服务中断、数据滥用与隐私信息泄露等风险。

    　　（七）部分远程办公软件存在安全漏洞，我国成为重要攻击目标。随着远程办公方式兴起，一定程度上增加了暴露面，2020 年上半年出现多起围绕VPN 漏洞的APT 攻击活动。

    　　4 月，APT 组织DarkHotel 利用VPN 零日漏洞入侵多家我国政府单位及驻外机构，两百余台VPN 服务器被入侵。此外，DarkHotel 和Wellmess 组织利用VPN 漏洞进行攻击，前者主要针对我基层单位，后者主要针对我多家科研机构。

    　　（八）远程桌面协议访问点仍是最常见的勒索病毒攻击媒介，攻击目标正向关键基础设施渗透。与恶意程序关联的勒索病毒中，占比排名前三的依次是phobos、GlobeImposter和Crysis，安全性较差的远程桌面协议访问点仍是最常用攻击媒介。同时，攻击目标正逐渐渗透至能源、制造等行业。

    　　例如，2020 年4 月，葡萄牙能源公司EDP 遭到勒索攻击，赎金1 千余万美元。

    　　（九）僵木蠕攻击中以僵尸网络为主，针对大中型政企机构的攻击事件中挖矿木马占比较多。上半年僵木蠕事件共2.8 亿起，其中，僵尸网络事件1.9 亿条，木马事件8 千余万条，蠕虫事件77 万条。北京受到僵尸网络的侵害最为严重，江苏受到木马侵害最为严重，陕西省受到蠕虫侵害最为严重。

    　　此外，在上半年大中型政企机构遭受恶意程序攻击事件中，挖矿木马占比仅次于勒索病毒。

    　　（十）诱骗欺诈和流氓行为成为移动恶意程序最主要攻击手段。上半年移动恶意程序事件近1.3 亿条。其中，诱骗欺诈事件1.1 亿条，流氓行为事件近两千万条，隐私窃取事件三百余万条，远程控制事件一百余万条，资费消耗事件23万条，恶意扣费事件16 万条，系统破坏类事件6 万条，恶意传播事件2 万条，诱骗欺诈事件和流氓行为事件数量远超其他六类事件数量总和。