本報告以CNCERT監(jiān)測數(shù)據(jù)和通報成員單位報送數(shù)據(jù)作為主要依據(jù),對我國互聯(lián)網(wǎng)面臨的各類安全威脅進行總體態(tài)勢分析�����,并對重要預警信息和典型安全事件進行探討�。
2018年11月,互聯(lián)網(wǎng)網(wǎng)絡安全狀態(tài)整體評價為良���。主要數(shù)據(jù)如下:
*境內(nèi)感染網(wǎng)絡病毒的終端數(shù)為近84萬余個���;
*境內(nèi)被篡改網(wǎng)站數(shù)量為1,357個,其中被篡改政府網(wǎng)站數(shù)量為68個�����;境內(nèi)被植入后門的網(wǎng)站數(shù)量為2,513個����,其中政府網(wǎng)站有45個;針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為6,469個�����;
*國家信息安全漏洞共享平臺(CNVD)收集整理信息系統(tǒng)安全漏洞810個,其中�����,高危漏洞308個����,可被利用來實施遠程攻擊的漏洞有700個。
網(wǎng)絡病毒監(jiān)測數(shù)據(jù)分析
2018年11月�,境內(nèi)感染網(wǎng)絡病毒的終端數(shù)為84萬余個。其中����,境內(nèi)近60萬個IP地址對應的主機被木馬或僵尸程序控制,與上月的近41萬個相比增長46.3%�。
1、木馬僵尸網(wǎng)絡監(jiān)測數(shù)據(jù)分析
2018年11月����,境內(nèi)近60萬個IP地址對應的主機被木馬或僵尸程序控制,按地區(qū)分布感染數(shù)量排名前三位的分別是廣東省�����、河南省�����、浙江省���。
木馬或僵尸網(wǎng)絡控制服務器IP總數(shù)為28,653個����。其中���,境內(nèi)木馬或僵尸程序控制服務器IP有2,150個�����,按地區(qū)分布數(shù)量排名前三位的分別為廣東省��、北京市����、上海市�����。境外木馬或僵尸程序控制服務器IP有26,503個�,主要分布于美國�、日本����、德國。其中�,位于美國的控制服務器控制了境內(nèi)263,443個主機IP,控制境內(nèi)主機IP數(shù)量居首位����,其次是位于意大利和荷蘭的IP地址,分別控制了境內(nèi)222,567個和10,569個主機IP����。
2、移動互聯(lián)網(wǎng)惡意程序監(jiān)測數(shù)據(jù)分析
2018年11月���,CNCERT針對目前流行的信息竊取類����、惡意扣費類和敲詐勒索類典型移動惡意程序進行分析�����,發(fā)現(xiàn)信息竊取類惡意程序樣本987個,惡意扣費類惡意程序樣本1081個�,敲詐勒索類惡意程序樣本2208個���。
2018年11月�,CNCERT向應用商店��、個人網(wǎng)站�����、廣告平臺��、云平臺等傳播渠道通報下架移動互聯(lián)網(wǎng)惡意程序310個���。其中���,資費消耗類的惡意程序數(shù)量居首位(占54.5%),誘騙欺詐(占28.7%)����、流氓行為類(占6.8%)分列第二、三位�����。
3、網(wǎng)絡病毒捕獲和傳播情況
網(wǎng)絡病毒主要針對一些防護比較薄弱����,特別是訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進行傳播。當存在安全漏洞的用戶主機訪問了這些被黑客掛馬的網(wǎng)站后�,會經(jīng)過多級跳轉暗中連接黑客最終“放馬”的站點下載網(wǎng)絡病毒。
網(wǎng)絡病毒在傳播過程中�,往往需要利用黑客注冊的大量域名。2018年11月����,CNCERT監(jiān)測發(fā)現(xiàn)的放馬站點中,通過域名訪問的共涉及有17,266個域名���,通過IP直接訪問的共涉及有7,194個IP��。在17,266個放馬站點域名中����,于境內(nèi)域名申請數(shù)為7,488個(約占44.4%)��,于境外域名申請數(shù)為3,154個(約占18.3%)�。放馬站點域名所屬頂級域名排名前5位的具體情況如表所示。
2018年11月活躍惡意域名所屬頂級域名
| 排序 | 頂級域名(TLD) | 域名類別 | 惡意域名數(shù)量 |
| 1 | .com | 通用頂級域名(gTLD) | 7814 |
| 2 | .cn | 國家頂級域名(ccTLD) | 1954 |
| 3 | .net | 通用頂級域名(gTLD) | 587 |
| 4 | .org | 通用頂級域名(gTLD) | 255 |
| 5 | .tw | 通用頂級域名(gTLD) | 195 |
網(wǎng)站安全數(shù)據(jù)分析
1、境內(nèi)網(wǎng)站被篡改情況
2018年11月�,境內(nèi)被篡改網(wǎng)站的數(shù)量為1,357個,境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省�����、北京市����、浙江省��。按網(wǎng)站類型統(tǒng)計���,被篡改數(shù)量最多的是.COM域名類網(wǎng)站����,其多為商業(yè)類網(wǎng)站��;值得注意的是���,被篡改的.GOV域名類網(wǎng)站有68個�,占境內(nèi)被篡改網(wǎng)站的比例為5.0%�����。
2、境內(nèi)網(wǎng)站被植入后門情況
2018年11月�,境內(nèi)被植入后門的網(wǎng)站數(shù)量為2,513個,境內(nèi)被植入后門的網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省��、北京市��、河南省��。按網(wǎng)站類型統(tǒng)計��,被植入后門數(shù)量最多的是.COM域名類網(wǎng)站�����,其多為商業(yè)類網(wǎng)站�����;值得注意的是�,被植入后門的.GOV域名類網(wǎng)站有45個,占境內(nèi)被植入后門網(wǎng)站的比例為1.8%�����。
2018年11月,境外2910個IP地址通過植入后門對境內(nèi)1,579個網(wǎng)站實施遠程控制�。其中,境外IP地址主要位于美國��、俄羅斯和意大利等國家或地區(qū)�。從境外IP地址通過植入后門控制境內(nèi)網(wǎng)站數(shù)量來看,來自中國香港的IP地址共向境內(nèi)523個網(wǎng)站植入了后門程序�,入侵網(wǎng)站數(shù)量居首位;其次是來自美國和俄羅斯的IP地址����,分別向境內(nèi)245個和176個網(wǎng)站植入了后門程序��。
3����、境內(nèi)網(wǎng)站被仿冒情況
2018年11月,CNCERT共監(jiān)測到針對境內(nèi)網(wǎng)站的仿冒頁面有6,469個����,涉及域名1,771個,IP地址792個�����,在這792個IP中,99.0%位于境外����,主要位于美國和中國香港。
漏洞數(shù)據(jù)分析
2018年11月��,CNVD收集整理信息系統(tǒng)安全漏洞810個����。其中,高危漏洞308個����,可被利用來實施遠程攻擊的漏洞有700個。受影響的軟硬件系統(tǒng)廠商包括Adobe��、Cisco�����、Drupal�、Google、IBM�����、Linux、Microsoft�、Mozilla、WordPress等��。
根據(jù)漏洞影響對象的類型�,漏洞可分為操作系統(tǒng)漏洞、應用程序漏洞���、WEB應用漏洞�、數(shù)據(jù)庫漏洞���、網(wǎng)絡設備漏洞(如路由器���、交換機等)和安全產(chǎn)品漏洞(如防火墻�、入侵檢測系統(tǒng)等)。本月CNVD收集整理的漏洞中�,按漏洞類型分布排名前三位的分別是應用程序漏洞、操作系統(tǒng)漏洞��、WEB應用漏洞�����。
網(wǎng)絡安全事件接收與處理情況
1、事件接收情況
2018年11月�,CNCERT收到國內(nèi)外通過電子郵件、熱線電話����、網(wǎng)站提交、傳真等方式報告的網(wǎng)絡安全事件8,428件(合并了通過不同方式報告的同一網(wǎng)絡安全事件��,且不包括掃描和垃圾郵件類事件)�����,其中來自國外的事件報告有53件�。
在8,428件事件報告中,排名前三位的安全事件分別是網(wǎng)頁仿冒�、惡意程序、漏洞�。
2、事件處理情況
對國內(nèi)外通過電子郵件�����、熱線電話�、傳真等方式報告的網(wǎng)絡安全事件,以及自主監(jiān)測發(fā)現(xiàn)的網(wǎng)絡安全事件����,CNCERT每日根據(jù)事件的影響范圍和存活性�����、涉及用戶的性質等因素��,篩選重要事件進行協(xié)調(diào)處理��。
2018年11月�,CNCERT以及各省分中心共同協(xié)調(diào)處理了8,487安全事件�。其中網(wǎng)頁仿冒、漏洞類事件處理數(shù)量較多�����。
