2.1　嚴峻復雜的網絡安全形勢

互聯網深刻改變著人們的生產與生活，極大地促進了經濟社會繁榮進步，但也要清醒地看到，我們面臨的網絡安全形勢也日趨嚴峻。網絡犯罪層出不窮、重大網絡安全事件頻發(fā)、網絡攻擊愈演愈烈、數據權屬模糊不清、個人信息頻繁泄露、網絡詐騙等黑色產業(yè)屢禁不止，網絡安全變得越來越錯綜復雜，網絡空間安全已經成為國家安全的重要組成部分。世界經濟論壇《2018年全球風險報告》顯示網絡攻擊進入全球風險前五名，成為2018年全球第三大風險因素。近年來，網絡攻擊的數量和規(guī)模都呈現快速上漲的趨勢。

2.1.1　全球網絡安全形勢

回顧過去十年全球的網絡安全事件，根據中央網信辦《國家網絡安全事件應急預案》的定義將其分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件、其他七類。下面重點回顧前四類的典型事件。

1. 有害程序事件

有害程序事件（MI）是指蓄意制造、傳播有害程序，或者是因受到有害程序的影響而導致的信息安全事件。有害程序是指插入信息系統中的一段程序，有害程序危害系統中的數據、應用程序或操作系統的保密性、完整性或可用性，以及信息系統的正常運行。

比較有代表性的有害程序事件如下。

2011年的“震網”事件：一種由美國和以色列聯合研發(fā)的計算機蠕蟲病毒，目的在于破壞伊朗的核武器計劃。該蠕蟲病毒專門用于銷毀伊朗在其核燃料濃縮過程中使用的SCADA設備。此次攻擊從單一的數據竊取到實際的物理設施破壞，成功摧毀了伊朗多地的SCADA系統，這標志著網絡安全進入了網絡戰(zhàn)的新階段。

烏克蘭電網入侵事件：2015年12月，黑客對烏克蘭電網的網絡攻擊造成了烏克蘭西部大規(guī)模停電，這是有史以來首次成功利用網絡操控電網的案例。在此次攻擊中，黑客使用了一種名為Black Energy的惡意軟件，并且在第二年（2016年12月）又進行了類似的攻擊。甚至在第二次攻擊中使用了一種更復雜的惡意軟件，稱為Industroyer，使烏克蘭首都五分之一的居民停電。烏克蘭的這兩起事件是影響普通大眾的首例，使人們了解到網絡攻擊可能對一個國家的關鍵基礎設施構成危險。

2. 網絡攻擊事件

網絡攻擊事件（NAI）是指通過網絡或其他技術手段，利用信息系統的配置缺陷、協議缺陷、程序缺陷或使用暴力方式對信息系統實施攻擊，并造成信息系統異常或對信息系統當前運行造成潛在危害的信息安全事件。

2012年Shamoon攻擊沙特阿美網絡具有一定代表性，Shamoon是一種惡意軟件，可以認為是兩年前“震網”病毒的產物。攻擊者在掌握了破壞性惡意軟件的第一手資料后，創(chuàng)建了自己的“網絡武器”并于2012年首次部署。該惡意軟件主要用于清除數據，Shamoon摧毀了沙特阿拉伯國家石油公司的35 000多個工作站，使該公司癱瘓了數周之久。隨后幾年發(fā)現了該惡意軟件的變體，主要被部署在石油和天然氣等能源行業(yè)公司中。

3. 信息破壞事件

信息破壞事件（IDI）是指通過網絡或其他技術手段，造成信息系統中的信息被篡改、假冒、泄露、竊取等而導致的信息安全事件。

比較有代表性的安全事件如下。

2011年索尼PlayStation黑客和大規(guī)模斷網事件：2011年春季，索尼宣布黑客竊取了7 700萬PlayStation網絡用戶的詳細信息，其中包括個人身份信息和財務詳細信息。技術部門為了修復安全漏洞，暫時停止了23天的PlayStation服務。該公司由于網絡中斷而虧損。但安全事件接踵而來，一些用戶開始注意到信用卡欺詐之后，提起了集體訴訟。然后，該公司為用戶提供大量免費的PlayStation 3游戲重新吸引客戶，這也造成了進一步的損失。此次安全事件表明，如果沒有適當的安全投資，嚴重依賴科技系統的商業(yè)機構，面臨安全事件時可能造成的風險是巨大的。此外，行業(yè)中出現一種趨勢，即公司開始新增服務條款，迫使用戶在安全事件后放棄其提起訴訟的權利。許多其他公司也添加了類似的條款。

2017年Equifax數據泄露事件：2017年黑客從Equifax公司的系統中竊取了超過1.455億美國人、英國人和加拿大人的個人詳細信息。盡管進行了事后調查，并且知道是因為公司未能修復服務器嚴重漏洞引起的，但仍然不可知的是入侵的幕后黑手及其動機。

4. 信息內容安全事件

信息內容安全事件（ICSI）是指利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件。

下面回顧一個堪稱里程碑的信息內容安全事件。

2013年斯諾登事件：斯諾登事件可能是十年來最重要的網絡安全事件。斯諾登是美國國家安全局（NSA）的外包雇員，他對媒體公開了美國及“五眼聯盟”在“9·11事件”后建立的全球監(jiān)視網絡。斯諾登事件使俄羅斯等國家紛紛成立自己的監(jiān)視部門，并加強了外國情報收集工作，從而導致整個網絡間諜活動的增加。該事件加速了許多國家確認互聯網空間主權的進程，進一步加強了對網絡空間的監(jiān)控和審查。

2.1.2　中國的網絡安全形勢

在全球化及中國“互聯網+”的商業(yè)模式推動下，數字化轉型滲透到各行各業(yè)，伴隨而來的網絡安全風險逐年增加，根據國家互聯網應急中心（CNCERT）2019年8月發(fā)布的《2018年我國互聯網網絡安全態(tài)勢綜述》描述：由于網絡安全相關法律體系和管理機制的健全和完善、公共互聯網網絡安全監(jiān)測和治理工作的加強、互聯網發(fā)展安全基礎的進一步穩(wěn)固，尤其加強包括黨政機關和重要行業(yè)的網絡安全應急響應能力，2018年我國基礎網絡總體運行穩(wěn)定。但是針對關鍵信息基礎設施的攻擊，以及云平臺等暴露的安全風險較為突出，APT攻擊、數據泄露、分布式拒絕服務攻擊等問題也較為嚴重。

1. 有害程序事件

勒索軟件：2018年，勒索軟件攻擊事件頻發(fā)、變種數量不斷攀升，給個人用戶和企業(yè)用戶帶來嚴重損失。2018年，CNCERT捕獲勒索軟件近14萬個，全年總體呈現增長趨勢，特別在下半年，伴隨“勒索軟件即服務”產業(yè)的興起，活躍勒索軟件數量呈現快速增長勢頭，且更新頻率和威脅廣度都大幅度增加。例如，勒索軟件GandCrab全年出現了約19個版本，一直快速更新迭代。勒索軟件傳播手段多樣，利用影響范圍廣的漏洞進行快速傳播是當前主要方式之一。例如，勒索軟件Lucky通過綜合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等進行快速攻擊傳播。2018年，重要行業(yè)關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標，其中政府、醫(yī)療、教育、研究機構、制造業(yè)等是受到勒索軟件攻擊較嚴重的。

2. 網絡攻擊事件

APT攻擊：2018年，全球專業(yè)網絡安全機構發(fā)布了各類高級威脅研究報告478份，同比增長了約3.6倍，其中，我國12個研究機構發(fā)布報告80份。這些報告涉及已被確認的APT攻擊組織，包括APT28、Lazarus、Group 123、海蓮花、MuddyWater等53個。攻擊目標主要分布在中東、亞太、美洲和歐洲地區(qū)，總體呈現地緣政治緊密相關的特性，受攻擊的領域主要包括軍隊國防、政府、金融、外交和能源等。值得注意的是，醫(yī)療、傳媒、電信等領域也正面臨越來越多的APT攻擊風險。攻擊者主要采用魚叉郵件攻擊、水坑攻擊、網絡流量劫持或中間人攻擊等方法進行攻擊，并頻繁利用公開或開源的攻擊框架和工具、多種技術以實現攻擊，或者規(guī)避與歷史攻擊手法的重合。

DDoS攻擊：DDoS攻擊的手段不斷更新，強度不斷加大，近年來逐步形成了“DDoS即服務”的互聯網黑色產業(yè)服務，普遍用于行業(yè)惡意競爭、敲詐勒索等網絡犯罪。2019年，DDOS領域攻防呈現以下特征。一是呈現資源按月變化速度加快、消亡率明顯上升、新增率降低、可被利用的資源活躍時間和數量明顯減少——每月可被利用的境內活躍控制端IP地址數量同比減少15.0%、活躍反射服務器同比減少34.0%。此外，CNCERT持續(xù)跟蹤DDoS攻擊團伙情況，并配合公安部門治理取得了明顯的效果。在治理行動的持續(xù)高壓下，DDoS攻擊資源大量向境外遷移，在攻擊我國目標的大規(guī)模DDoS事件中，來自境外的流量占比超過50.0%。二是針對黨政機關、關鍵信息基礎設施等重要單位發(fā)動攻擊的組織性、目的性更加明顯，同時重要單位的防護能力也顯著加強。CNCERT跟蹤發(fā)現的某黑客組織2019年對我國300余家政府網站發(fā)起了1 000余次DDoS攻擊，在初期其攻擊可導致80.0%以上的攻擊目標網站正常服務受到不同程度影響，但后期其攻擊已無法對攻擊目標網站帶來實質傷害，說明被攻擊單位的防護能力已得到大幅提升。三是DDoS攻擊依然呈現高發(fā)、頻發(fā)之勢，仍有大量物聯網設備被入侵控制后用于發(fā)動DDoS攻擊。我國發(fā)生攻擊流量峰值超過10Gbps的大流量攻擊事件日均約220起，同比增加40.0%；雖然在總體勢頭上有所遏制，但物聯網僵尸網絡控制端數量占比仍超過54.0%，其參與發(fā)起的DDoS攻擊的次數占比也超過50.0%。這也告示業(yè)界，如果未來有更多的物聯網設備接入網絡，而安全性不能提高，那么必然會給網絡安全防御和治理帶來更多困難。

針對云和工業(yè)自動化平臺的攻擊：云平臺成為網絡攻擊的重災區(qū)。根據CNCERT監(jiān)測數據，雖然國內主流云平臺使用的IP地址數量僅占我國境內全部IP地址數量的7.7%，但云平臺已成為網絡攻擊的重災區(qū)，在各類型網絡安全事件數量中，云平臺上的DDoS攻擊次數、被植入后門的網站數量、被篡改網站數量均占比超過50%。同時，國內主流云平臺上承載的惡意程序種類數量占境內互聯網惡意程序種類數量的53.7%。木馬和僵尸網絡惡意程序控制端IP地址數量占境內全部惡意程序控制端IP地址數量的59%，表明攻擊者經常利用云平臺發(fā)起網絡攻擊。分析原因：云平臺成為網絡攻擊的重要目標是因為大量系統部署到云上，涉及國計民生、企業(yè)運營的數據和用戶個人信息成為攻擊者攫取經濟利益的目標。從云平臺上發(fā)出的攻擊增多是因為云服務使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性，且云網絡流量的復雜性有利于攻擊者隱藏真實身份，攻擊者更多利用云平臺設備作為跳板機或控制端發(fā)起網絡攻擊。此外，云平臺用戶對其部署在云平臺上系統的網絡安全防護重視不足，導致其系統可能面臨更大的網絡安全風險。

2018年，針對特定工業(yè)系統的攻擊越來越多，并多與傳統攻擊手段結合，同時呈現定向性特點。2018年中期，惡意軟件GreyEnergy被捕獲，主要針對運行數據采集與監(jiān)視控制系統（SCADA）軟件和服務的工業(yè)控制系統工作站。該惡意軟件具有模塊化架構，功能可進一步擴展，可進行后門訪問、竊取文件、抓取屏幕截圖、記錄敲擊鍵和竊取憑據等操作。2018年，CNCERT抽樣監(jiān)測發(fā)現，我國境內聯網工業(yè)設備、系統、平臺等遭受惡意嗅探、網絡攻擊的次數顯著提高。

3. 信息破壞事件攻擊

虛假和仿冒移動應用增多：隨著互聯網與經濟、生活的深度捆綁交織，通過互聯網對網民實施遠程非接觸式詐騙的手段不斷翻新，先后出現了“網絡投資”“網絡交友”“網購返利”等新型網絡詐騙手段。隨著我國移動互聯網技術的快速發(fā)展和應用普及，2019年，CNCERT監(jiān)測發(fā)現各類黑產平臺超過500個，提供手機號資源的接碼平臺、提供IP地址的秒撥平臺、提供支付功能的第四方支付平臺和跑分平臺、專門進行賬號售賣的發(fā)卡平臺、專門用于賭博網站推廣的廣告聯盟等各類專業(yè)黑產平臺不斷產生。專業(yè)化的黑產活動為網絡詐騙等網絡犯罪活動提供了幫助和支持，加速了網絡犯罪的蔓延趨勢。2019年監(jiān)測到各類網絡黑產攻擊日均70萬次，電商網站、視頻直播、棋牌游戲等行業(yè)成為黑產攻擊的重災區(qū)。

4. 個人數據安全問題

近年來，個人數據安全問題受到前所未有的關注。據國家互聯網應急中心研究數據顯示，2018年我國發(fā)生了多起數據泄露事件，包括十幾億條快遞公司的用戶信息泄露、2.4億條某連鎖酒店入住信息泄露、900萬條某網站用戶數據信息泄露、某求職網站用戶個人求職簡歷泄露等。這些泄露數據包含了大量的個人隱私信息，給我國網民人身安全、財產安全帶來了隱患。