本文轉自雷鋒網，如需轉載請至雷鋒網官網申請授權。

最近，中美關系可以說是水深火熱。

從全面封禁華為到封禁海外版抖音，美方都以網絡安全為由對中國企業進行了全面壓制。

有意思的是，最近雷鋒網在一份報告中發現，2019 年中國遭受到的境外攻擊中近半數都是來自于美國。

那么，具體是哪些境外攻擊類型呢？或許這份報告能給你答案。

近日，國家互聯網應急中心（CNCERT）發布了《 2019 年中國互聯網網絡安全報告》（以下簡稱《報告》）。

《報告》顯示 2019 年我國共捕獲計算機惡意程序樣本數量超過 6200 萬個，日均傳播次數達 824 萬余次，涉及計算機惡意程序家族 66 萬余個。

按照傳播來源統計，位于境外的主要來自美國、俄羅斯和加拿大等國家和地區。其中，美國占 53.5%，位于總量的半數以上。俄羅斯和加拿大分別為 2.9% 和 2.6%。

按照目標 IP 地址統計，我國境內受計算機惡意程序攻擊的 IP 地址約 6762 萬個，約占我國 IP 地址總數的 18.3%，主要集中在山東省、江蘇省、浙江省等地區，分別占 8.8%、8.4%、8.1%。

值得注意的是，2019 年，我國境內感染計算機惡意程序的主機數量為 581.88 萬臺，同比下降 11.3%。位于境外的約 5.6 萬個計算機惡意程序控制服務器控制了我國境內約 552 萬臺主機，就控制服務器所屬國家和地區來看，位于美國、日本和中國香港地區的控制服務器數量分列前 3 位。

如果您想獲得本報告的全文 pdf，請在雷鋒網微信公眾號回復關鍵詞“ 818 報告”提取。

文檔來源：國家互聯網安全中心

一、2019 年網絡安全狀況綜述

2019 年，在我國相關部門持續開展的網絡安全威脅治理下， 分布式拒絕服務攻擊（以下簡稱 DDoS 攻擊）、高級持續性威脅攻擊（以下簡稱 APT 攻擊）、漏洞威脅、數據安全隱患、移動互聯網惡意程序、網絡黑灰色產業鏈（以下簡稱黑灰產）、工業控制系統安全威脅總體下降，但呈現出許多新的特點，帶來新的風險與挑戰。

（一）黨政機關、關鍵信息基礎設施等重要單位防護能力顯著增強，但 DDoS 攻擊呈現高發頻發態勢，攻擊組織性和目的性更加凸顯

1、可被利用實施 DDoS 攻擊的我國境內攻擊資源穩定性持續降低，數量逐年遞減，攻擊資源遷往境外，處置難度提高

與 2018 年相比， 我國境內控制端、反射服務器等資源按月變化速度加快、消亡率明顯上升、新增率降低、可被利用的資源活躍時間和數量明顯減少——每月可被利用的我國境內活躍控制端 IP 地址數量同比減少 15.0%、活躍反射服務器同比減少 34.0%。在治理行動的持續高壓下，DDoS 攻擊資源大量向境外遷移，DDoS 攻擊的控制端數量和來自境外的反射攻擊流量的占比均超過 90.0%。攻擊我國目標的大規模 DDoS 攻擊事件中，來自境外的流量占比超過 50.0%。

2、針對黨政機關、關鍵信息基礎設施等重要單位發動攻擊的組織性、目的性更加明顯，同時重要單位的防護能力也顯著加強

2019 年，我國黨政機關、關鍵信息基礎設施運營單位的信息系統頻繁遭受 DDoS 攻擊，大部分單位通過部署防護設備或購買云防護服務等措施加強自身防護能力。CNCERT/CC 跟蹤發現的某黑客組織 2019 年對我國 300 余個政府網站發起了 1000 余次 DDoS 攻擊，在初期其攻擊可導致 80.0% 以上的攻擊目標網站正常服務受到不同程度影響，但后期其攻擊已無法對攻擊目標網站帶來實質傷害，說明被攻擊單位的防護能力已得到大幅提升。

3、DDoS 攻擊依然呈現高發頻發態勢，仍有大量物聯網設備被入侵控制后用于發動 DDoS 攻擊

我國發生攻擊流量峰值超過 10Gbit/s 的大流量攻擊事件日均約 220 起，同比增加 40.0% 。由于我國加大對 Mirai、Gafgyt 等物聯網僵尸網絡控制端的治理力度，2019 年物聯網僵尸網絡控制端消亡速度加快、活躍時間普遍較短，難以形成較大的控制規模，Mirai、Gafgyt 等惡意程序控制端 IP 地址日均活躍數量呈現下降態勢， 單個 IP 地址活躍時間在 3 天以下的占比超過 60.0%，因此，物聯網設備參與 DDoS 攻擊活躍度在 2019 年后期也呈下降走勢。盡管如此，在監測發現的僵尸網絡控制端中，物聯網僵尸網絡控制端數量占比仍超過 54.0%，其參與發起的 DDoS 攻擊的次數占比也超過 50.0%。未來將有更多的物聯網設備接入網絡，如果其安全性不能提高，必然會給網絡安全的防御和治理帶來更多困難。

（二）APT 攻擊監測與應急處置力度加大，釣魚郵件防范意識繼續提升，但 APT 攻擊逐步向各重要行業領域滲透，在重大活動和敏感時期更加猖獗

1、投遞高誘惑性釣魚郵件是大部分 APT 組織常用技術手段，我國重要行業部門對釣魚郵件防范意識不斷提高

2019 年，CNCERT/CC 監測到重要黨政機關部門遭受釣魚郵件攻擊數量達 56 萬多次，月均 4.6 萬余次，其中攜帶漏洞利用惡意代碼的 Office 文檔成為主要載荷，主要利用的漏洞包括 CVE-2017-8570 和 CVE-2017-11882 等。

2、攻擊領域逐漸由黨政機關、科研院所向各重要行業領域滲透 

2019 年，我國持續遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等 30 余個 APT 組織的網絡竊密攻擊，國家網絡空間安全受到嚴重威脅。境外 APT 組織不僅攻擊我國黨政機關、國防軍工和科研院所，還進一步向軍民融合、“一帶一路”、基礎行業、物聯網和供應鏈等領域擴展延伸，電信、 外交、能源、商務、金融、軍工、海洋等領域成為境外 APT 組織重點攻擊對象。

3、APT 攻擊在我國重大活動和敏感時期更為猖獗頻繁 

境外 APT 組織習慣使用當下熱點時事或與攻擊目標工作相關的內容作為郵件主題，特別是瞄準我國重要攻擊目標，持續反復進行滲透和橫向擴展攻擊，并在我國重大活動和敏感時期異常活躍。

（三）重大安全漏洞應對能力不斷強化，但事件型漏洞和高危零日漏洞數量上升，信息系統面臨的漏洞威脅形勢更加嚴峻

1、我國漏洞信息共享與通報處置工作持續加強

2019 年，國家信息安全漏洞共享平臺（CNVD）聯合國內產品廠商、網絡安全企業、科研機構、個人白帽子等相關力量，共同完成對約 3.2 萬起漏洞事件的驗證、通報和處置工作，同比上漲 56.0%。

2、漏洞數量和影響范圍仍然大幅增加

一是披露的通用軟硬件漏洞數量持續增長，且影響面大、范圍廣。2019 年， CNVD 新收錄通用軟硬件漏洞數量創下歷史新高，達 16,193 個，同比增長 14.0%。

位于我國境內的 RDP（IP地址）規模就高達 193.0 萬余個，其中大約有 34.9 萬個受此漏洞影響。此外，移動互聯網行業安全漏洞數量持續增長，2019 年，CNVD 共收錄移動互聯網行業漏洞 1,324 個，較 2018 年同期 1,165 個增加了 13.6%，智能終端藍牙通信協議、智能終端操作系統、App 客戶端應用程序、物聯 網設備等均被曝光存在安全漏洞。

二是2019年我國事件型漏洞數量大幅上升。CNVD 接收的事件型漏洞數量約 14.1 萬條，首次突破 10 萬條，較 2018 年同比大幅增長 227%。

三是高危零日漏洞占比增大。近 5 年來，零日漏洞（指 CNVD 收錄該漏洞時還未公布補丁）收錄數量持續走高，年均增長率達 47.5%。2019 年收錄的零日漏洞數量繼續增長，占總收錄漏洞數量的 35.2%，同比增長 6.0%。

（四）數據風險監測與預警防護能力提升，但數據安全防護意識依然薄弱，大規模數據泄露事件頻發

1、數據安全保護力度繼續加強

2019 年，CNCERT/CC 加強監測發現、協調處置，全年累計發現我國重要數據泄露風險與事件 3,000 余起，支撐中央網 信辦重點對其中 400 余起存儲有重要數據或大量公民個人信息數據的事件進行了應急處置。MongoDB、ElasticSearch、SQL Server、MySQL、Redis 等主流數據庫的 弱口令漏洞、未授權訪問漏洞導致數據泄露，成為2019年數據泄露風險與事件的突出特點。

2、App 違法違規收集使用個人信息治理持續推進

截至 2019 年 12 月底，共受理網民有效舉報信息 1.2 萬余條，核驗問題 App 2,300 余款；組織四部門推薦的 14 家專家技術評估機構對 1,000 余款常用重點 App 進行了深度評估，發現大量強制授權、過度索權、超范圍收集個人信息問題，對于問題嚴重且不及時整改的依法予以公開曝光或下架處理。

3、涉及公民個人信息的數據庫數據安全事件頻發

2019 年針對數據庫的密碼暴力破解攻擊次數日均超過百億次，數據泄露、非法售賣等事件層出不窮，數據安全與個人隱私面臨嚴重挑戰。科技公司、電商平臺等信息技術服務行業，銀行、保險等金融行業以及醫療衛生、交通運輸、教育求職等重要行業涉及公民個人信息的數據庫數據安全事件頻發。

此外，部分不法分子已將數據非法交易轉移至暗網，暗網已成為數據非法交易的重要渠道，涉及銀行、證券、網貸等金融行業數據非法售賣事件最多占比達 34.3%，黨政機關、教育、各主流電商平臺等行業數據被非法售賣的事件也時有發生。

（五）惡意程序增量首次下降，但“灰色”應用程序大量出現，針對重要行業安全威脅更加明顯

1、移動互聯網惡意程序增量首次出現下降，高危惡意程序的生存空間正在壓縮， 下架惡意程序數量連續 6 年下降

2019 年，新增移動互聯網惡意程序 279 萬余個，同比減少1.4%。根據 14 年來的監測統計，移動互聯網惡意程序新增數量在經歷快速增長期、爆發式增長期后， 現已進入緩速增長期，并在 2019 年新增數量首次出現下降趨勢。

2019 年出現的移動互聯網惡意程序主要集中在 Android 平臺，根據《移動互聯網惡意程序描述格式》（YD/T 2439-2012）行業標準對惡意程序的行為屬性進行統計，具有流氓行為類、資費消耗類等低危惡意行為的 App 數量占 69.3%，具有遠程控制類、惡意扣費類等高危惡意行為的 App 數量占10.6%。

2019 年共處理協調 152 個應用商店、86 個廣告平臺、63 個個人網 站、19 個云平臺共 320 個傳播渠道，下架 App 總計 3,057 個，相較 2014 年到 2018 年期間下架數量 3.9 萬余個、1.7 萬余個、0.9 萬余個、0.8 萬余個、3,578 個，連續 6 年呈逐年下降趨勢。

2、以移動互聯網仿冒 App 為代表的“灰色”應用程序大量出現，主要針對金融、 交通、等重要行業的用戶

（六）黑產資源得到有效清理，但惡意注冊、網絡賭博、勒索病毒、挖礦病毒等依然活躍，高強度技術對抗更加激烈

1、網絡黑產打擊取得階段性成果

每月活躍“黑卡”總數從約 500 萬個逐步下降到約 200 萬 個，降幅超過 60.0%。2019 年年底，用于瀏覽器主頁劫持的惡意程序月新增數量由 65 款降至 16 款，降幅超過 75%；被植入賭博暗鏈的網站數量從1 萬余個大幅下降到不超過 1,000 個。公安機關在“凈網 2019”行動中，關掉各類黑產公司 210 余家，搗毀、關停買賣手機短信驗證碼或幫助網絡賬號惡意注冊的網絡接碼平臺 40 余個，抓獲犯罪嫌疑人 1.4萬余名。

2、網絡黑產活動專業化、自動化程度不斷提升，技術對抗越發激烈

2019 年監測到各類網絡黑產攻擊日均 70 萬余次，電商網站、視頻直播、棋牌游戲等行業成為網絡黑產的主要攻擊對象，攻防博弈持續演進。

3、勒索病毒、挖礦木馬在黑產刺激下持續活躍

2019 年，CNCERT/CC 捕獲勒索病毒 73.1 萬余個，較 2018 年增長超過 4 倍，勒索病毒活躍程度持續居高不下。分析發現， 勒索病毒攻擊活動越發具有目標性，且以文件服務器、數據庫等存有重要數據的服 務器為首要目標，通常利用弱口令、高危漏洞、釣魚郵件等作為攻擊入侵的主要途徑或方式。

（七）工業控制系統網絡安全在國家層面頂層設計進一步完善 , 但工業控 制系統產品安全問題依然突出，新技術應用帶來新安全隱患更加嚴峻

1、國家層面工業控制系統網絡安全頂層設計不斷完善 , 國家級工業控制系統網絡 安全監測和態勢感知能力不斷提升。

2、工業控制系統產品漏洞數量居高不下。

3、互聯網側暴露面持續擴大，新技術的應用給工業控制系統帶來了新的安全隱患。

二、網絡安全監測數據分析

（一）惡意程序

1、計算機惡意程序捕獲情況

2019 年，全年捕獲計算機惡意程序樣本數量超過 6,200 萬個，日均傳播次數達 824 萬余次，涉及計算機惡意程序家族 66 萬余個。按照傳播來源統計，位于境外的主要來自美國、俄羅斯和加拿大等國家和地區。

按照目標 IP 地址統計，我國境內受計算機惡意程序攻擊的 IP 地址約 6,762 萬個，約占我國 IP 地址總數的 18.3%，主要集中在山東省、江蘇省、浙江省、廣東省等地區。

2、計算機惡意程序用戶感染情況

2019 年，我國境內感染計算機惡意程序的主機數量為 581.88 萬臺，同比下降 11.3%。

位于境外的約 5.6 萬個計算機惡意程序控制服務器控制了我國境內約 552 萬臺主機，就控制服務器所屬國家和地區來看，位于美國、日本和 中國香港地區的控制服務器數量分列前 3 位。

就所控制我國境內主機數量來看，位于美國、荷蘭和法國的控制服務器控制規模分列前 3 位。

此外，根據 CNCERT/CC 抽樣監測數據，針對 IPv6 網絡的攻擊情 況也開始出現，2019 年境外約 3,000個 IPv6 地址的計算機惡意程序控制服務器控制了我國境內約 4.0 萬臺 IPv6 地址主機。

2019 年我國境內木馬或僵尸程序受控主機 IP 地址數量占比按地域統計，占比排名前 3 位的為廣東省、江蘇省和浙江省。

在感染計算機惡意程序而形成的 僵尸網絡中，規模在 100 臺主機以上的僵尸網絡數量達 5,612個，規模在 10 萬臺主機以上 的僵尸網絡數量達 39 個。

3、移動互聯網惡意程序捕獲情況

2019 年，CNCERT/CC 通過自主捕獲和廠商交換新增獲得移動互聯網惡意程序樣本 279 萬余個，同比減少 1.4%，近 5 年來增速持續保持放緩，并首次出現增量下降。

通過對移動互聯網惡意程序的惡意行為屬性統計發現， 排名前 3 位的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為 36.1%、 33.2% 和 11.6%。

4、聯網智能設備惡意程序捕獲情況

2019 年，CNCERT/CC 捕獲聯網智能設備惡意程序樣本約 324.1 萬個，其中大部分屬于 Mirai 家族和 Gafgyt 家族（占比 86.1%）。服務端傳播源 IP 地址約2.78 萬個，其中絕大部分傳播源 IP 地址位于境外（占比 79.9%），我國境內疑似受感染智能設備 IP 地址數量約 203.8 萬個（同比上升31.8%），主要位于浙江省、江蘇省、山東省、 遼寧省、河南省等地，被控聯網智能設備日均向 1,528 個目標發起 DDoS攻擊。

（二）安全漏洞

2019 年，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數量創下歷史新高，收錄安全漏洞數量同比增長了 14.0%，共計 16,193 個，2013 年以來每年平均增長率為 12.7%。其中，高危漏洞收錄數量為4,877個（占30.1%），同比減少 0.4%，但零日漏洞收錄數量持續走高，2019 年收錄的安全漏洞中，零日漏洞收錄數量占比 35.2%，達 5,706 個，同比增長 6.0% 。

按影響對象類型分類統計，占比前 3 位的為應用程序漏洞（56.2 %）、Web 應用漏洞（23.3%） 和操作系統漏洞（10.3%）。

2019 年，CNVD 繼續推進移動互聯網、電信行業、工業控制系統和電子政務 4 類子漏洞庫的建設工作，分別新增收錄安全漏洞數量 1,214 個（占全年收錄數量的 7.5%）、638 個（占 3.9%）、443 個（占2.7%）和131個（占0.8%），其中移動互聯網子漏洞庫收錄數量較 2018 年增長了 4.2%。CNVD 全年通報涉及政府機構、重要信息系統等關鍵信息基礎設施安全漏洞事件約 2.9 萬起，同比大幅增長 42.1%。

（三）DDOS 攻擊

1、來自境外的 DDos 攻擊情況

2019 年，CNCERT/CC 持續監測分析來自境外的 DDoS 攻擊流量發現，境外 DDoS 攻擊流量超過 10Gbit/s 的大流量攻擊事件日均 120 余起。境外 DDoS 攻擊的主要攻擊方式是 UDP Flood、TCP SYN Flood、Memcached Amplification、 NTP Amplification和DNS Amplification，這 5 種 DDoS 攻擊占比達到 89%。98% 的境外 DDoS 攻擊 的攻擊時長小于 30 分鐘，攻擊目標主要位于浙江省、廣東省、江蘇省、山 東省、北京市等經濟較為發達的地區。

（四）網站安全

1、網頁仿冒

2019 年，監測發現約 8.5 萬個針對我國境內網站的仿冒頁面，頁面數量較 2018 年增長了 59.7%。從承載仿冒頁面的 IP 地址歸屬情況來看，絕大多數位于境外，主要分布在中國香港地區和美國。

2、網站后門

2019 年，CNCERT/CC 監測到我國境內外約 4.5 萬個 IP 地址對我國境內約 8.5 萬個網站植入后門，我國境內被植入后門的網站數量較 2018 年增長超過 2.59 倍。其中，約有 4 萬個境外 IP 地址（占全部 IP 地址總數的 90.9%）對我國境內約 8 萬個網站植入后門，位于美國的 IP 地址最多，占境外 IP 地址總數的 33.5%，其次是位于英國和中國香港地區的 IP 地址。

3、網頁篡改

2019 年，我國境內遭篡改的網站有約 18.6 萬個，其中被篡改的政府網站有 515 個。從網頁遭篡改的方式來看，被植入暗鏈的網站占全部被篡改網站的比例大幅下降，占比較小；從域名類型來看，2019 年我國境內被篡改的網站中，代表商業機構的網站（.com）最多，占 75.2%，其次是網絡組織類（.net）網站、非營利組織類 （.org）網站，分別占 4.7% 和 1.2%。

（五）云平臺安全

云平臺作為控制端發起 DDoS 攻擊的次數占我國境內控制端發起 DDoS 攻擊次數的 86.0%，作為木馬和僵尸網絡惡意程序控制的被控端 IP 地址數量占我國境內全部被控端 IP 地址數量的 89.3%， 承載的惡意程序種類數量占我國境內互聯網上承載的惡意程序種類數量的 81.0%。

（六）工業控制系統安全

1、工業控制系統互聯網側暴露情況

2019 年，暴露在互聯網上的工業設備 7,325 臺，相比 2018 年增加 21.7%。

涉及 39 家國內外知名廠商的可編程邏輯控制器、智能樓宇類設備、 數據采集監控服務器等 50 種設備類型，且存在高危漏洞隱患的設備占比約 35%。 醫療健康、電力、石油天然氣、煤炭、城市軌道交通等重點行業暴露的聯網監控管 理系統 2,249 套，相比 2018 年增加了 21.9%，其中醫療健康行業 709 套、電力 653 套、石油天然氣 584 套、煤炭 203 套、城市軌道交通 100 套，涉及的類型包括企業 生產管理、企業經營管理、行業云平臺、政府監督等。

2、工業控制系統互聯網側威脅監測情況

2019 年，我國大型工業互聯網云平臺持續遭受來自境外的網絡攻擊，平均攻擊次數達 90 次/日，較 2018 年提升了 43%。涉及 Web 應用 攻擊、命令注入攻擊、漏洞利用攻擊等，工業云平臺承載著大量接入設備、業務系統，以及企業、個人信息和重要數據，使其成為網絡攻擊的重點目標。

2019 年 CNCERT/CC 通過互聯網監測和定位發現，關鍵信息基礎設施行業有 1,773 臺打印機連接在互聯網上，其中工業領 域相關的打印機有 78 臺，涉及石油、電力、煤炭、制造等行業。

三、2020 網絡安全關注方向預測及政策建議

（一）方向預測

預計 2020 年，我國更多網絡安全政策法規與治理措施將陸續出臺實施，網絡安全治理力度將進一步加大，但網絡空間也將面臨一些新問題與新挑戰。2020 年值得關注的網絡安全方向如下：

1、規模性、破壞性急劇上升成為有組織網絡攻擊新特點；

2、體系化協同防護將成關鍵信息基礎設施網絡安全保障新趨勢；

3、政策法規與執法監管多管齊下為數據安全和個人信息保護提供新指引；

4、精準網絡勒索集中轉向中小型企事業單位成為網絡黑產新動向；

5、遠程協同熱度突增引發新興業態網絡安全風險新思考；

6、5G 等新技術新應用大量涌現或面臨網絡安全新挑戰。

（二）對策建議

1、強化關鍵信息基礎設施保護；

2、提升數據安全管理和個人信息保護力度；

3、加快網絡安全核心技術創新突破；

4、壯大網絡安全技術產業規模和網絡安全人才隊伍；

5、擴大國內外網絡安全合作。

綜上，網絡安全監察雖稍有成效，但任重道遠。