2007年网络安全报告摘要-国家互联网应急中心

network

网络安全总体状况
2007年，我国公共互联网网络整体上运行基本正常，但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出，网络信息系统存在的安全漏洞和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长，分别超出去年总数的近1.4倍和2.6倍，监测发现我国大陆被篡改网站数量比去年增加了1.5倍。
2007年，在地下黑色产业链的推动下，网络犯罪行为趋利性表现更加明显，追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等，并结合社会工程学，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条，为各种网络犯罪行为带来了利益驱动，加之黑客攻击手法更具隐蔽性，使得对这些网络犯罪行为的取证、追查和打击都非常困难。
信息系统软件的安全漏洞仍然是互联网安全的关键问题，但层出不穷的应用软件安全漏洞的危害性已经与操作系统的安全漏洞平分秋色。我国普遍使用的微软操作系统的安全漏洞仍然是黑客攻击的首选目标，但近些年不断发展和广泛应用的各种应用程序（如IE浏览器、暴风影音多媒体播放器、VMware虚拟机和各种P2P下载软件）中存在的安全漏洞也被越来越多的披露出来，相关的漏洞机理、概念验证（POC）代码等可被利用来开发攻击程序的信息也很容易通过公开的搜索引擎收集，甚至网上已经公开出现售卖软件漏洞的现象。因此，安全漏洞问题变得越来越复杂和严重。
据CNCERT/CC监测发现，2007年我国大陆地区被植入木马的主机IP数量增长惊人，是去年的22倍，木马已成为互联网的最大危害。地下黑色产业链的成熟，为木马的大量生产和广泛传播提供了十分便利的条件，木马在互联网上的泛滥导致大量个人隐私信息和重要数据的失窃，给个人带来严重的名誉和经济损失；此外，木马还越来越多地被用来窃取国家秘密和工作秘密，给国家和企业带来无法估量的损失，我国大陆被植入木马计算机的控制源中，大多数位于我国台湾地区，这一现象已经引起有关部门的关注。
僵尸网络仍然是网络攻击的基本手段和资源平台。2007年CNCERT/CC抽样监测发现感染僵尸程序的境内外主机数达623万个，其中我国大陆有362万个IP地址的主机被植入僵尸程序，并有1万多个境外控制服务器对我国大陆地区的主机进行控制。僵尸网络主要被利用发起拒绝服务（DdoS）攻击、发送垃圾邮件、传播恶意代码，以及窃取受感染主机中的敏感信息，而由僵尸网络发出的大流量、分布式DDOS攻击是目前公认的世界难题，不仅严重影响互联网企业的运作，而且严重威胁着我国互联网基础设施的运行安全。
2007年我国的互联网域名注册和使用数量飞速增长，达到1,193万个，年增长率达到190.4%1，与此同时，域名已经成为黑客利用的主要工具。利用域名，攻击者可以灵活、隐蔽地实施大规模网页挂马、僵尸网络控制、网络仿冒等恶意活动。Fast-Flux等动态域名解析技术的出现，导致根据IP来对攻击行为的追查和阻断更加困难；2007年还出现了利用域名解析服务程序存在的安全漏洞，对公共域名解析服务器进行域名劫持的安全事件，在大量用户毫不知情的情况下将其引诱到钓鱼网站或含有恶意代码的网站，这类事件危害性非常大。所以，加强对域名的管理和域名解析系统的安全防护非常重要。
我国网站的安全问题十分严峻，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序，成为黑客的得力工具。利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等，黑客能够得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。网页挂马是黑客最喜欢的木马散播方式。随着Web2.0应用的推广，相关安全问题逐渐凸显，针对该类交互式网站的攻击事件在不断增多。
尽管网络安全问题令人们对互联网越来越担忧，但令人感受鼓舞的是，网络安全问题已经得到国家领导层和各相政府部门、行业机构的重视。在国务院的直接领导下，我国的国家网络安全应急体系建设取得进一步发展；信息产业部进一步完善了公共互联网应急预案，并加强了包括CNCERT/CC和各互联网运营商的工作体系的建设；各重要信息系统主管部门纷纷加强了网络安全管理力度和能力建设；CNCERT/CC、互联网协会等行业机构也积极组织业界开展了一系列专项研究和联合行动。总之，网络安全保障已经成为各相关部门的工作重点之一，我国互联网的安全态势将有所改变。

所报告的网络安全事件主要有网络仿冒、垃圾邮件和网页恶意代码事件等，根据报告的事件类型的统计情况如图 2所示。与2006年相比，主要类型的安全事件数量均近成倍增加，网络仿冒事件数量由563件增加至1326件，增长率近1.4倍；垃圾邮件事件数量由587件增加至1197件，增长率达1倍；网页恶意代码事件数量由320件增加至1151件，增长率近2. 6倍。

事件处理情况
2007年CNCERT/CC共成功处理各类网络安全事件1057件，事件类型主要有网络仿冒、网页恶意代码、网页篡改、拒绝服务攻击等，各类事件处理数量如图 3所示。在CNCERT/CC处理的安全事件中，涉及国外商业机构的网络仿冒类事件，以及国内政府机构和重要信息系统部门的网页篡改类事件的数量最多。

CNCERT/CC一般是通过CNCERT/CC国家中心（总部）协调其在大陆各省所设分中心来处理安全事件。2007年各省分中心参与事件处理数目如图 4所示，其中新疆、北京、上海、广东和辽宁处理事件数量居前5位。