第7章 2008年中國(guó)網(wǎng)絡(luò)與信息安全發(fā)展情況

7.1 2008年網(wǎng)絡(luò)安全狀況分析

2008年我國(guó)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體運(yùn)行狀況良好，互聯(lián)網(wǎng)繼續(xù)保持健康發(fā)展態(tài)勢(shì)。隨著互聯(lián)網(wǎng)應(yīng)用的廣泛普及，所承載業(yè)務(wù)和信息的多樣化，互聯(lián)網(wǎng)在國(guó)家政治、經(jīng)濟(jì)、文化領(lǐng)域以及社會(huì)生活各個(gè)方面發(fā)揮著愈加重要的作用，已經(jīng)成為國(guó)家、社會(huì)、民眾交互的重要平臺(tái)。與此同時(shí)，互聯(lián)網(wǎng)面臨的安全威脅也隨著互聯(lián)網(wǎng)及互聯(lián)網(wǎng)應(yīng)用的發(fā)展而不斷演化，呈現(xiàn)日益復(fù)雜的局面，網(wǎng)絡(luò)與信息安全已成為互聯(lián)網(wǎng)不可避免的問(wèn)題。

從CNCERT接收和自主監(jiān)測(cè)的網(wǎng)絡(luò)安全事件情況看，2005—2008年事件總數(shù)呈逐年上升趨勢(shì)。垃圾郵件、網(wǎng)絡(luò)仿冒、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)惡意代碼等事件是網(wǎng)絡(luò)信息系統(tǒng)及互聯(lián)網(wǎng)用戶面臨的最常見(jiàn)的網(wǎng)絡(luò)安全事件，而由此造成的后果和影響也較為嚴(yán)重，如遭遇網(wǎng)絡(luò)欺騙或訛詐、感染惡意代碼和泄露重要信息等。2008年垃圾郵件事件、病毒蠕蟲(chóng)及木馬事件、拒絕服務(wù)攻擊事件尤為突出，與2007年相比，均呈現(xiàn)較大幅度增長(zhǎng)。網(wǎng)絡(luò)仿冒（釣魚(yú)）事件、網(wǎng)頁(yè)篡改事件和網(wǎng)頁(yè)惡意代碼事件等仍舊是CNCERT事件處置的重點(diǎn)，特別是涉及政府機(jī)構(gòu)和重要信息系統(tǒng)部門的網(wǎng)頁(yè)篡改事件和涉及國(guó)內(nèi)外商業(yè)機(jī)構(gòu)（如金融機(jī)構(gòu)、電子商務(wù)）的網(wǎng)絡(luò)仿冒事件。

網(wǎng)絡(luò)信息系統(tǒng)安全漏洞的頻發(fā)是引發(fā)重大網(wǎng)絡(luò)安全事件，造成大范圍影響的主要誘因，是影響網(wǎng)絡(luò)安全的重要因素。2008年，影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施、操作系統(tǒng)、應(yīng)用軟件的漏洞層出不窮，其中不乏一些極具破壞力的高危漏洞。7月公布的DNS可允許欺騙漏洞是互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施—域名解析服務(wù)系統(tǒng)近年來(lái)罕見(jiàn)的“0 day”漏洞，該漏洞極易引發(fā)域名劫持等網(wǎng)絡(luò)安全事件，并且針對(duì)該漏洞出現(xiàn)的Exploit攻擊程序在互聯(lián)網(wǎng)上快速出現(xiàn)并流行，使得安全形勢(shì)進(jìn)一步惡化。12月公布的微軟IE 7.0漏洞（MS08-078），則讓廣大用戶成為黑客極易攻擊得手的目標(biāo)，在公布漏洞數(shù)日內(nèi)有數(shù)以百萬(wàn)計(jì)的用戶受影響。

與信息系統(tǒng)安全漏洞一樣，惡意代碼的傳播和蔓延也是衡量網(wǎng)絡(luò)安全狀況的重要因素。據(jù)CNCERT自主監(jiān)測(cè)結(jié)果，2006—2008年，惡意代碼捕獲次數(shù)和惡意代碼新樣本捕獲次數(shù)呈不斷上升趨勢(shì)。惡意代碼成為黑客推進(jìn)攻擊活動(dòng)的主要武器彈藥，并可通過(guò)垃圾郵件、網(wǎng)頁(yè)掛馬、聊天工具和系統(tǒng)漏洞等多種方式傳播擴(kuò)散。惡意代碼已經(jīng)不僅僅是黑客手中的玩具，圍繞惡意代碼尤其是網(wǎng)絡(luò)病毒的生產(chǎn)、銷售、傳播等環(huán)節(jié)，目前已經(jīng)形成規(guī)模龐大、收益巨大的黑色地下產(chǎn)業(yè)鏈。相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，2008年我國(guó)網(wǎng)絡(luò)安全服務(wù)市場(chǎng)規(guī)模已經(jīng)超過(guò)80億元人民幣，這也從側(cè)面凸顯出各部門為對(duì)抗黑色地下產(chǎn)業(yè)不得不付出的巨大投入，但從實(shí)際效果看，由于缺乏必要的聯(lián)合一致行動(dòng)，防護(hù)方仍然處在被動(dòng)和不利的地位。

一次成功的網(wǎng)絡(luò)攻擊，往往意味著一大批新的互聯(lián)網(wǎng)資源被黑客所控制。這當(dāng)中，木馬和僵尸網(wǎng)絡(luò)是黑客控制網(wǎng)絡(luò)資源較常用的技術(shù)手段，也是供其發(fā)動(dòng)下一次網(wǎng)絡(luò)攻擊（如拒絕服務(wù)攻擊）的有效途徑。2008年，木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)和管控是CNCERT的工作重點(diǎn)，在奧運(yùn)會(huì)前木馬和僵尸網(wǎng)絡(luò)數(shù)量劇增的情況下，CNCERT在工業(yè)和信息化部的領(lǐng)導(dǎo)下協(xié)調(diào)運(yùn)營(yíng)商和域名管理機(jī)構(gòu)開(kāi)展了木馬和僵尸網(wǎng)絡(luò)專項(xiàng)打擊活動(dòng)。從全年月度監(jiān)測(cè)結(jié)果看，我國(guó)木馬和僵尸網(wǎng)絡(luò)的增長(zhǎng)勢(shì)頭在下半年得到了有效的遏制，境內(nèi)控制端和被控端數(shù)目在6月份和7月份后有較大幅度下降，有力地保障了奧運(yùn)期間互聯(lián)網(wǎng)安全穩(wěn)定地運(yùn)行。同時(shí)，2008年木馬和僵尸網(wǎng)絡(luò)控制端和被控端的月度趨勢(shì)也基本上反映了我國(guó)2008年網(wǎng)絡(luò)安全總體形勢(shì)的變化情況：下半年網(wǎng)絡(luò)安全形勢(shì)有所緩和。

除防范黑客控制系統(tǒng)和主機(jī)資源外，網(wǎng)絡(luò)信息系統(tǒng)特別是網(wǎng)站系統(tǒng)的安全防范是保障互聯(lián)網(wǎng)安全運(yùn)行的重要方面。網(wǎng)頁(yè)惡意代碼（俗稱網(wǎng)頁(yè)掛馬）可以作為惡意代碼傳播的主要途徑之一；網(wǎng)頁(yè)篡改則事關(guān)網(wǎng)絡(luò)信息安全的前沿陣地，這兩類事件均可作為網(wǎng)絡(luò)安全狀況的風(fēng)向標(biāo)。2008年，我國(guó)境內(nèi)網(wǎng)頁(yè)惡意代碼事件和網(wǎng)頁(yè)篡改事件數(shù)量維持2007年的水平，但與2005年、2006年相比仍舊處于較高水平。政府部門網(wǎng)站系統(tǒng)安全形勢(shì)仍然不容樂(lè)觀，被篡改政府網(wǎng)站占整個(gè)大陸地區(qū)被篡改網(wǎng)站的比例遠(yuǎn)遠(yuǎn)大于政府網(wǎng)站（.GOV.CN）占.CN網(wǎng)站總數(shù)的比例，各級(jí)政府部門在信息化服務(wù)意識(shí)和安全管理意識(shí)上仍較薄弱。

總體來(lái)看，2008年我國(guó)互聯(lián)網(wǎng)運(yùn)行態(tài)勢(shì)平穩(wěn)，但2009年面臨的網(wǎng)絡(luò)安全形勢(shì)仍舊比較嚴(yán)峻，網(wǎng)絡(luò)安全威脅不會(huì)因?yàn)楸O(jiān)測(cè)、防范和管控力度的加大而勢(shì)微，網(wǎng)絡(luò)安全事件將隨著互聯(lián)網(wǎng)及互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展更加頻繁、復(fù)雜，需要以更加謹(jǐn)慎的態(tài)度，采取更為有力的措施來(lái)應(yīng)對(duì)新的網(wǎng)絡(luò)安全威脅。

7.2 網(wǎng)絡(luò)安全事件接收與處理情況

為了能夠了解和掌握當(dāng)前互聯(lián)網(wǎng)的安全運(yùn)行狀態(tài)，CNCERT采用了多種方式來(lái)接收公眾的網(wǎng)絡(luò)安全事件報(bào)告，如熱線電話、傳真、電子郵件和網(wǎng)站等。對(duì)于其中影響互聯(lián)網(wǎng)運(yùn)行安全，涉及政府與重要信息系統(tǒng)部門的網(wǎng)絡(luò)安全事件，CNCERT協(xié)調(diào)各省分中心進(jìn)行及時(shí)、有效處理。網(wǎng)絡(luò)安全事件的接收與處理數(shù)量在一定程度上反映了我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的當(dāng)前狀況，同時(shí)也體現(xiàn)出我國(guó)及時(shí)發(fā)現(xiàn)和應(yīng)急處理安全事件的能力。

7.2.1 事件接收情況

2008年CNCERT接收5167件非掃描類網(wǎng)絡(luò)安全事件報(bào)告，其中國(guó)外報(bào)告事件為4740件。每月接收非掃描類事件具體數(shù)量如圖7.1所示，1月，4月，5月和6月均超過(guò)了500件。從事件接收情況看，2008年下半年網(wǎng)絡(luò)安全事件發(fā)生情況較上半年有所趨緩。

所報(bào)告的網(wǎng)絡(luò)安全事件主要有：垃圾郵件、網(wǎng)絡(luò)仿冒和網(wǎng)頁(yè)惡意代碼事件等。根據(jù)報(bào)告的事件類型統(tǒng)計(jì)，如圖7.2所示，垃圾郵件事件數(shù)量最多，共1849件，占所有接收事件的35.74%，與2007年相比增幅達(dá)54.5%；網(wǎng)頁(yè)惡意代碼事件1256件，占24.28%，與去年相比增幅為9.1%；網(wǎng)絡(luò)仿冒事件的數(shù)量達(dá)1227件，占23.72%，與去年同比下降9.3%；病毒、蠕蟲(chóng)或木馬事件達(dá)417件，占8.06%，與去年相比增長(zhǎng)20.6%；漏洞事件為335件，占6.48%，與去年基本持平；拒絕服務(wù)攻擊事件為61件，占到1.18%，比去年增長(zhǎng)超過(guò)2倍。總體來(lái)看，2008年所接收的網(wǎng)絡(luò)安全事件數(shù)量超過(guò)去年，而垃圾郵件事件、病毒蠕蟲(chóng)或木馬事件、拒絕服務(wù)攻擊事件尤為突出，呈現(xiàn)較大幅度增長(zhǎng)。

網(wǎng)頁(yè)惡意代碼（網(wǎng)頁(yè)掛馬）、垃圾郵件和網(wǎng)絡(luò)仿冒同時(shí)也是近幾年來(lái)發(fā)生最為頻繁的網(wǎng)絡(luò)安全事件，并且2007年和2008年基本保持上升趨勢(shì)，如圖7.3所示。

7.2.2 事件處理情況

2008年CNCERT共成功處理各類網(wǎng)絡(luò)安全事件1173件，事件類型主要有網(wǎng)絡(luò)仿冒、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)惡意代碼、拒絕服務(wù)攻擊等，各類事件處理數(shù)量，如圖7.4所示。

在CNCERT處理的安全事件中，惡意代碼網(wǎng)站（網(wǎng)頁(yè)掛馬）事件最多，掛馬網(wǎng)站通常是惡意代碼傳播的源頭，所以CNCERT將其列為打擊的重點(diǎn)；其次，涉及國(guó)內(nèi)政府機(jī)構(gòu)和重要信息系統(tǒng)部門的網(wǎng)頁(yè)篡改類事件，以及涉及金融企業(yè)、重要商業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)仿冒類事件數(shù)量也比較多，如圖7.5所示。

CNCERT在中國(guó)大陸各省、自治區(qū)、直轄市設(shè)立了分中心，協(xié)助CNCERT國(guó)家中心處理各類網(wǎng)絡(luò)安全事件。2008年各省分中心共參與事件處理527件，各省處理事件數(shù)量和比例如圖7.6和圖7.7所示，其中遼寧、新疆、北京、寧夏和海南處理事件數(shù)量居前5位。

7.2.3 事件處理部分案例介紹

1.“機(jī)器狗”病毒事件

2008年3月10日，CNCERT捕獲到一些惡意代碼樣本，經(jīng)研判，這些樣本某些特征與“機(jī)器狗”病毒特征相符。該病毒可以給用戶的計(jì)算機(jī)下載大量的木馬、病毒、惡意軟件和插件等。一旦中招，用戶的計(jì)算機(jī)隨時(shí)可能感染任何木馬病毒，這些木馬病毒會(huì)瘋狂地盜用用戶的隱私資料（如賬號(hào)密碼、私密文件等），也會(huì)破壞操作系統(tǒng)，使用戶的機(jī)器無(wú)法正常運(yùn)行。該病毒還可以通過(guò)內(nèi)部網(wǎng)絡(luò)傳播、下載U盤病毒和ARP攻擊病毒，引發(fā)整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)全部自動(dòng)重啟。

通過(guò)對(duì)感染該病毒樣本的主機(jī)IP進(jìn)行排查，發(fā)現(xiàn)此病毒觸發(fā)的IP在國(guó)內(nèi)分布呈局部化和分散化的特點(diǎn)，國(guó)內(nèi)感染主機(jī)分布于廣東、河南、廣西、黑龍江和海南等省份。感染病毒的IP基本上同屬于一個(gè)C類網(wǎng)段，連接地址都是非常近似的，并有不斷擴(kuò)張的趨勢(shì)。

CNCERT及時(shí)啟動(dòng)事件處理流程，將感染“機(jī)器狗”病毒的IP地址段下發(fā)到各分中心，協(xié)調(diào)各分中心對(duì)感染惡意代碼的計(jì)算機(jī)進(jìn)行排查，并進(jìn)行逆向分析，得到木馬控制端用戶及主機(jī)的詳細(xì)信息。通過(guò)對(duì)上述主機(jī)的定位與分析，CNCERT協(xié)調(diào)天津、重慶、江蘇、海南和吉林各分中心及當(dāng)?shù)剡\(yùn)營(yíng)商及時(shí)進(jìn)行調(diào)查取證，掌握了相關(guān)證據(jù)后對(duì)涉及傳播惡意代碼的主機(jī)及域名進(jìn)行了處理，并及時(shí)通知感染此病毒的互聯(lián)網(wǎng)用戶對(duì)主機(jī)進(jìn)行殺毒、加固等清理工作。截止2008年4月1日，通過(guò)監(jiān)測(cè)對(duì)比發(fā)現(xiàn)，病毒感染的勢(shì)態(tài)已經(jīng)得到有效遏制。

2.利用Flash漏洞的掛馬事件

2008年5月27日，網(wǎng)絡(luò)中出現(xiàn)了利用Flash漏洞的掛馬事件。該事件所利用漏洞存在于舊版本的Flash Player（9.0.115及以前的版本）中，如果用戶的IE瀏覽器安裝的是舊版本Flash Player插件，那么在播放一些惡意的Flash動(dòng)畫(huà)文件時(shí)，就會(huì)自動(dòng)下載可執(zhí)行的惡意文件，隨后會(huì)主動(dòng)連接互聯(lián)網(wǎng)絡(luò)中指定的服務(wù)器，下載其他病毒和木馬等惡意程序。CNCERT一方面協(xié)調(diào)域名注冊(cè)商對(duì)該事件涉及的部分惡意站點(diǎn)的域名進(jìn)行了暫停域名解析服務(wù)的處理，另一方面協(xié)調(diào)有關(guān)分中心對(duì)該事件涉及的部分惡意站點(diǎn)的主機(jī)進(jìn)行清除惡意代碼的處理。

3.針對(duì)國(guó)內(nèi)某銀行的拒絕服務(wù)攻擊事件

2008年6月10日，CNCERT接到國(guó)內(nèi)某銀行投訴，稱其服務(wù)器遭到DDoS攻擊。根據(jù)銀行提供的系統(tǒng)日志信息，CNCERT進(jìn)行了攻擊行為分析，從中提取出攻擊次數(shù)較多、排名靠前的數(shù)個(gè)活躍的攻擊IP，協(xié)調(diào)分中心進(jìn)行定位處理，并要求相關(guān)用戶加強(qiáng)安全檢查，杜絕被利用發(fā)起網(wǎng)絡(luò)攻擊。6月11日，銀行負(fù)責(zé)人反饋攻擊活動(dòng)已明顯減弱，主要攻擊IP已從系統(tǒng)日志中消失。

4.對(duì)國(guó)內(nèi)某大型保險(xiǎn)公司的網(wǎng)絡(luò)仿冒事件

9月11日，CNCERT接到國(guó)內(nèi)某大型保險(xiǎn)公司關(guān)于網(wǎng)絡(luò)仿冒事件的投訴。投訴稱，有不法分子在盜版教材中附加該公司的假冒保險(xiǎn)卡，并開(kāi)設(shè)虛假保險(xiǎn)注冊(cè)平臺(tái)，誤導(dǎo)讀者在虛假網(wǎng)站上注冊(cè)盜版保險(xiǎn)卡。該網(wǎng)站還假冒該公司的標(biāo)識(shí)，損害了該保險(xiǎn)公司的合法利益，嚴(yán)重?cái)_亂了正常的金融秩序，不僅給該公司造成了數(shù)百萬(wàn)元的直接經(jīng)濟(jì)損失，還誤導(dǎo)了廣大讀者，造成讀者發(fā)生保險(xiǎn)事故后無(wú)法獲得保險(xiǎn)賠償，社會(huì)影響惡劣。同時(shí)，該網(wǎng)站還存在侵犯北京奧組委知識(shí)產(chǎn)權(quán)的行為。

接到投訴后，CNCERT第一時(shí)間對(duì)事件進(jìn)行了核實(shí)，查明該事件系利用www.****.net.cn域名仿冒www.****.com.cn域名，具有極大隱蔽性，而且網(wǎng)站服務(wù)器位于國(guó)外，存在故意利用.cn域名進(jìn)行網(wǎng)絡(luò)欺詐的企圖。鑒于上述情況，為維護(hù)我國(guó)正常的金融秩序，CNCERT通過(guò)已建立的惡意域名處理機(jī)制協(xié)調(diào)相關(guān)域名注冊(cè)商對(duì)該域名采取了暫停解析的措施，有效遏制了網(wǎng)絡(luò)仿冒行為。

7.3 信息系統(tǒng)安全漏洞公告及處理情況

2008年，CNCERT共整理發(fā)布與我國(guó)用戶密切相關(guān)的漏洞公告101個(gè)，其中向政府和公眾發(fā)布的關(guān)鍵漏洞預(yù)警4個(gè)，處理的與漏洞相關(guān)的重點(diǎn)事件有：

1.DNS可允許欺騙漏洞

7月份，互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施—DNS系統(tǒng)爆出可允許欺騙漏洞，該漏洞極易引發(fā)域名劫持等網(wǎng)絡(luò)安全事件；并且，互聯(lián)網(wǎng)上迅速出現(xiàn)和傳播針對(duì)該漏洞的Exploit攻擊程序，造成“0day”攻擊態(tài)勢(shì)，也對(duì)奧運(yùn)期間我國(guó)互聯(lián)網(wǎng)的安全可靠運(yùn)行構(gòu)成嚴(yán)重威脅。

針對(duì)上述情況，CNCERT在7、8月份先后通過(guò)網(wǎng)站、電子郵件、傳真和公文等多種方式向基礎(chǔ)互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）和社會(huì)公眾發(fā)出多次漏洞通報(bào)和緊急公告，提醒各方面重視該漏洞，做好防范措施；同時(shí)，CNCERT積極組織對(duì)漏洞成因、攻擊代碼原理、技術(shù)應(yīng)對(duì)方案的研究工作。奧運(yùn)會(huì)開(kāi)幕前，CNCERT召開(kāi)了漏洞專題研討會(huì)，與來(lái)自基礎(chǔ)互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)和中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的技術(shù)專家一道，對(duì)漏洞進(jìn)行了深入研究，并提出升級(jí)軟件，構(gòu)建DNS池，調(diào)整DNS緩存策略等多種技術(shù)應(yīng)對(duì)策略，協(xié)助相關(guān)單位做好奧運(yùn)網(wǎng)絡(luò)安全保障工作。

2.IE7.0 XML“0day”漏洞

2008年12月10日，CNCERT接到報(bào)告：微軟的IE7.0瀏覽器中存在嚴(yán)重的安全漏洞，當(dāng)處理帶有攻擊代碼的XML文件時(shí)會(huì)出現(xiàn)異常錯(cuò)誤，并執(zhí)行攻擊者編寫(xiě)的任意代碼。攻擊者可針對(duì)該漏洞編寫(xiě)特定的XML文件，通過(guò)網(wǎng)頁(yè)、聊天工具和電子郵件等媒介引誘IE7用戶訪問(wèn)從而實(shí)施攻擊。受攻擊用戶將可能被植入木馬或其他惡意程序，導(dǎo)致系統(tǒng)被黑客控制，信息被竊取。需要特別注意的是，微軟2008年12月9日及以前發(fā)布的安全補(bǔ)丁尚不能修補(bǔ)該漏洞。互聯(lián)網(wǎng)出現(xiàn)了針對(duì)該漏洞的“0day”攻擊，黑客針對(duì)該漏洞編制木馬攻擊程序，通過(guò)網(wǎng)頁(yè)掛馬方式發(fā)起攻擊。

CNCERT立即采取研判和處置措施，先后于12月10日，11日，18日發(fā)布安全公告提醒中國(guó)互聯(lián)網(wǎng)用戶加強(qiáng)防范和升級(jí)補(bǔ)丁，并根據(jù)相關(guān)工作機(jī)制向政府主管部門、互聯(lián)網(wǎng)運(yùn)營(yíng)商、重要信息系統(tǒng)部門等共計(jì)40余個(gè)部門發(fā)出預(yù)警通報(bào)；同時(shí)，監(jiān)測(cè)發(fā)現(xiàn)并處置了大量利用該漏洞實(shí)施惡意代碼攻擊的鏈接（URL），減少了黑客利用該漏洞攻擊我國(guó)互聯(lián)網(wǎng)用戶的安全隱患。截止到12月18日，CNCERT共發(fā)現(xiàn)或收到涉案惡意域名161個(gè)，核實(shí)124個(gè)；協(xié)調(diào)互聯(lián)網(wǎng)域名注冊(cè)和管理機(jī)構(gòu)及互聯(lián)網(wǎng)運(yùn)營(yíng)商共處置位于我國(guó)境內(nèi)的惡意域名86個(gè)，IP主機(jī)33個(gè)；此外通過(guò)監(jiān)測(cè)發(fā)現(xiàn)自事發(fā)以來(lái)，我國(guó)共有上千萬(wàn)臺(tái)計(jì)算機(jī)訪問(wèn)過(guò)帶有惡意程序的鏈接，被植入木馬和僵尸網(wǎng)絡(luò)程序等惡意代碼的可能性較大。

7.4 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)分析

分析互聯(lián)網(wǎng)流量中的業(yè)務(wù)種類及其所占流量比例變化，一方面能夠?yàn)榛ヂ?lián)網(wǎng)的科學(xué)運(yùn)營(yíng)管理提供參考，另一方面也有利于把握主流的互聯(lián)網(wǎng)業(yè)務(wù)并關(guān)注其安全問(wèn)題。

據(jù)CNCERT在2008年對(duì)互聯(lián)網(wǎng)業(yè)務(wù)流量的抽樣統(tǒng)計(jì)，在TCP協(xié)議中，占用帶寬最多的網(wǎng)絡(luò)應(yīng)用有4類：Web瀏覽、P2P下載、電子郵件和即時(shí)聊天工具。電子郵件協(xié)議使用TCP 25號(hào)端口，除正常使用外，利用垃圾郵件傳播病毒、蠕蟲(chóng)、木馬等惡意代碼軟件也占用較大的流量。P2P軟件（例如eMule、clubox、BitCommet、迅雷等）已成為目前最流行的下載工具，受到大量用戶的青睞，占用大量網(wǎng)絡(luò)帶寬；同時(shí)，通過(guò)P2P工具軟件傳播捆綁病毒、木馬的文件，也已經(jīng)成為值得注意的一個(gè)動(dòng)向，P2P類型僵尸網(wǎng)絡(luò)也在逐步發(fā)展成僵尸網(wǎng)絡(luò)控制的重要方式。因此，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)不僅需要重視P2P軟件占用帶寬的問(wèn)題，該類軟件帶來(lái)的安全問(wèn)題也成為今后要注意的問(wèn)題。另外，利用即時(shí)聊天工具（如Windows信使服務(wù)MSN和QQ軟件）也可以散播帶毒文件，也可以用于網(wǎng)絡(luò)釣魚(yú)和網(wǎng)絡(luò)詐騙，從而導(dǎo)致重要信息的失泄密問(wèn)題。

TCP協(xié)議流量端口前10位如圖7.8和表7.1所示。

當(dāng)前，UDP協(xié)議中最占用帶寬的是各類P2P軟件下載端口，P2P下載軟件如迅雷、eMule和BT等占用較多帶寬，使用UDP協(xié)議的DNS服務(wù)也占有較大流量，占0.74%。除了DNS系統(tǒng)本身經(jīng)常遭受DDoS和域名劫持攻擊外，黑客也經(jīng)常利用動(dòng)態(tài)域名服務(wù)來(lái)頻繁更換僵尸網(wǎng)絡(luò)和木馬控制點(diǎn)，躲避追蹤和處置，今后，各DNS運(yùn)行機(jī)構(gòu)還需要進(jìn)一步加強(qiáng)對(duì)DNS系統(tǒng)的防護(hù)和對(duì)解析服務(wù)的監(jiān)測(cè)。網(wǎng)絡(luò)游戲在互聯(lián)網(wǎng)用戶尤其是中年和青少年中較受歡迎，總流量占0.63%，隨著游戲產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)游戲賬號(hào)、虛擬貨幣、虛擬裝備成為黑客制造和傳播網(wǎng)絡(luò)病毒進(jìn)行竊取的重要目標(biāo)，目前逐漸形成以此類虛擬財(cái)富為目標(biāo)的較為龐大的黑色地下產(chǎn)業(yè)鏈，該產(chǎn)業(yè)鏈具備生產(chǎn)、銷售、代理、傳播等完整環(huán)節(jié)。

UDP協(xié)議流量端口前10位如圖7.9和表7.2所示。

7.5 木馬與僵尸網(wǎng)絡(luò)監(jiān)測(cè)分析

木馬和僵尸網(wǎng)絡(luò)兩者都是非常有效的遠(yuǎn)程監(jiān)聽(tīng)和控制手段，尤其是在失竊密方面對(duì)國(guó)家安全造成了嚴(yán)重危害，因此CNCERT對(duì)此兩類事件進(jìn)行了重點(diǎn)監(jiān)測(cè)。

7.5.1 木馬數(shù)據(jù)分析

木馬特指計(jì)算機(jī)后門程序，它通常包含控制端和被控制端兩部分。被控制端植入受害者計(jì)算機(jī)，而黑客利用控制端進(jìn)入受害者的計(jì)算機(jī)，控制其計(jì)算機(jī)資源，盜取其個(gè)人信息和各種重要數(shù)據(jù)資料。2008年，CNCERT抽樣監(jiān)測(cè)境內(nèi)外控制者利用木馬控制端對(duì)主機(jī)進(jìn)行控制的事件中，木馬控制端IP地址總數(shù)為713974個(gè)，被控制端IP地址總數(shù)為4146 091個(gè)。木馬控制端總數(shù)較2007年增長(zhǎng)了64.7%，被控端總數(shù)增長(zhǎng)了44.8%。

從圖7.10上圖中可以看到，2008年位于境外的木馬控制服務(wù)器增長(zhǎng)幅度較大，漲幅為148%，境內(nèi)木馬控制服務(wù)器漲幅為36%。如圖7.10所示，與2007年相比，2008年境外被控主機(jī)數(shù)同樣呈現(xiàn)大幅增長(zhǎng)，漲幅為91.8%，而境內(nèi)被控主機(jī)數(shù)則下降了43.2%，其重要原因是CNCERT在奧運(yùn)前后開(kāi)展的專項(xiàng)打擊取得了效果。

圖7.11和圖7.12所示為境內(nèi)外木馬被控端和中國(guó)大陸地區(qū)木馬被控端的月度統(tǒng)計(jì)，可以看到，雖然2008年下半年境內(nèi)外木馬被控端數(shù)目總體比上半年多，但境內(nèi)木馬被控端在6月和7月激增的勢(shì)頭得到了較為明顯地抑制，下半年境內(nèi)木馬被控端數(shù)目甚至低于上半年。

1.中國(guó)大陸地區(qū)被木馬控制的計(jì)算機(jī)分布統(tǒng)計(jì)

2008年，CNCERT對(duì)常見(jiàn)的木馬程序活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，發(fā)現(xiàn)我國(guó)大陸地區(qū)565605個(gè)IP地址的主機(jī)被植入木馬，比去年下降了43.2%。我國(guó)大陸地區(qū)木馬活動(dòng)分布情況如圖7.13所示，木馬被控制端最多的地區(qū)分別為廣東省（10%）、河北省（9%）、北京市（9%）、山東省（8%）和江蘇省（7%）。

2.中國(guó)大陸地區(qū)外木馬控制端分布統(tǒng)計(jì)

CNCERT同時(shí)發(fā)現(xiàn)大陸地區(qū)外275588個(gè)主機(jī)地址參與控制我國(guó)大陸被植入木馬的計(jì)算機(jī)。控制端IP按國(guó)家和地區(qū)分布如圖7.14所示，其中位于中國(guó)臺(tái)灣（52%）、歐盟（16%）、美國(guó)（7%）、中國(guó)香港（6%）和韓國(guó)（2%）的木馬控制端數(shù)量居前五位。

3.中國(guó)大陸地區(qū)木馬數(shù)據(jù)按運(yùn)營(yíng)商分布統(tǒng)計(jì)

圖7.15所示為2008年境內(nèi)木馬控制服務(wù)器和木馬被控端在各運(yùn)營(yíng)商中的分布。其中，電信網(wǎng)內(nèi)木馬控制服務(wù)器占63.6%，聯(lián)通占36.13%，由于移動(dòng)互聯(lián)網(wǎng)接入較少，僅占0.26%。電信網(wǎng)內(nèi)木馬被控端占53.93%，聯(lián)通占45.74%，移動(dòng)僅占0.33%。在CNCERT監(jiān)測(cè)到的木馬控制端中，有相當(dāng)一部分IP屬于動(dòng)態(tài)IP地址或是虛擬主機(jī)地址，據(jù)此可以判斷，終端用戶（如撥號(hào)上網(wǎng)用戶）或虛擬主機(jī)托管用戶由于安全防護(hù)措施較弱，易成為黑客攻擊的目標(biāo)；當(dāng)黑客攻擊成功取得控制權(quán)后，其可成為黑客發(fā)動(dòng)新的攻擊行為的跳板。

7.5.2 僵尸網(wǎng)絡(luò)數(shù)據(jù)分析

CNCERT每天密切關(guān)注著新出現(xiàn)的僵尸網(wǎng)絡(luò)并跟蹤過(guò)去出現(xiàn)的大規(guī)模僵尸網(wǎng)絡(luò)，2008年抽樣監(jiān)測(cè)，境內(nèi)外僵尸網(wǎng)絡(luò)控制端總數(shù)為7035個(gè)，被控制端IP地址總數(shù)為3634 266個(gè)。僵尸網(wǎng)絡(luò)數(shù)據(jù)較2007年有較大幅度下降，其中控制端下降幅度為58.8%，被控端下降幅度為41.7%。

由圖7.16可看出，境內(nèi)僵尸網(wǎng)絡(luò)的控制端和被控端下降比較明顯。其中，境內(nèi)僵尸網(wǎng)絡(luò)控制端不到2007年的1/3，而被控端的數(shù)目也僅為2007年的1/3。這一情況變化與木馬數(shù)據(jù)有相同之處。由圖7.17可以看出，2008年境內(nèi)外被僵尸網(wǎng)絡(luò)控制的主機(jī)月度變化情況也與木馬數(shù)據(jù)相同，這充分說(shuō)明，2008年對(duì)木馬和僵尸網(wǎng)絡(luò)采取的專項(xiàng)打擊取得了顯著效果。不過(guò)值得注意的是，僵尸網(wǎng)絡(luò)被控端數(shù)目在2008年9月和10月經(jīng)歷了一個(gè)低谷后，在11月和12月有所反彈，這也說(shuō)明相關(guān)的打擊治理行動(dòng)有必要常態(tài)化。

1.中國(guó)大陸地區(qū)被僵尸網(wǎng)絡(luò)控制的計(jì)算機(jī)分布統(tǒng)計(jì)

2008年，CNCERT對(duì)境內(nèi)僵尸網(wǎng)絡(luò)活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，發(fā)現(xiàn)我國(guó)大陸地區(qū)1237 043個(gè)IP地址的主機(jī)感染僵尸網(wǎng)絡(luò)，比去年下降了65.9%。我國(guó)大陸地區(qū)被僵尸網(wǎng)絡(luò)控制的主機(jī)IP分布情況如圖7.18所示，僵尸網(wǎng)絡(luò)被控制端最多的地區(qū)分別為廣東省（31%）、北京市（10%）、上海市（7%）、浙江省（7%）和福建省（5%）。

2.中國(guó)大陸地區(qū)外僵尸網(wǎng)絡(luò)控制服務(wù)器分布統(tǒng)計(jì)

2008年，CNCERT共發(fā)現(xiàn)5210個(gè)境外控制服務(wù)器對(duì)我國(guó)大陸地區(qū)的主機(jī)進(jìn)行控制，比去年下降了49.9%。按國(guó)家和地區(qū)的分布如圖7.19所示，分布前五位分別是：美國(guó)占31%、匈牙利占10%、韓國(guó)占5%、法國(guó)占4%以及德國(guó)占4%。

3.中國(guó)大陸地區(qū)僵尸網(wǎng)絡(luò)數(shù)據(jù)按運(yùn)營(yíng)商分布統(tǒng)計(jì)

圖7.20所示為2008年境內(nèi)僵尸網(wǎng)絡(luò)控制服務(wù)器和僵尸網(wǎng)絡(luò)被控制端在各運(yùn)營(yíng)商中的分布。其中，電信網(wǎng)內(nèi)僵尸網(wǎng)絡(luò)控制服務(wù)器占境內(nèi)控制服務(wù)器總數(shù)的73%，聯(lián)通占24%，由于移動(dòng)互聯(lián)網(wǎng)接入較少，僅占3%。電信網(wǎng)內(nèi)僵尸網(wǎng)絡(luò)被控端占56%，聯(lián)通占43%，移動(dòng)占1%。僵尸網(wǎng)絡(luò)數(shù)據(jù)運(yùn)營(yíng)商分布比例與木馬數(shù)據(jù)情況相似。

4.僵尸網(wǎng)絡(luò)控制服務(wù)器使用端口與規(guī)模分布

僵尸網(wǎng)絡(luò)控制端口是指感染僵尸程序的計(jì)算機(jī)所連接的控制服務(wù)器的端口。2008年，CNCERT的Matrix蜜網(wǎng)系統(tǒng)發(fā)現(xiàn)并跟蹤的僵尸網(wǎng)絡(luò)中，基于IRC協(xié)議的僵尸網(wǎng)絡(luò)所用控制端口的分布情況如圖7.21所示。其中，端口6667，8080和1863等是僵尸網(wǎng)絡(luò)最常用的控制端口，除6667為常用IRC-Botnet端口外，8080和1863均為日常服務(wù)端口。

2008年監(jiān)測(cè)到的僵尸網(wǎng)絡(luò)按規(guī)模分布如圖7.22所示，1000以內(nèi)規(guī)模的約占總數(shù)的97.7%，僵尸網(wǎng)絡(luò)的規(guī)模總體上繼續(xù)保持小型化、局部化的趨勢(shì)，利用僵尸網(wǎng)絡(luò)從事黑客活動(dòng)的行為也日趨便利。CNCERT監(jiān)測(cè)到的大型僵尸網(wǎng)絡(luò)同樣具有攻擊活躍的特點(diǎn)，且危害性更大。2008年CNCERT共發(fā)現(xiàn)各種僵尸網(wǎng)絡(luò)被用來(lái)發(fā)動(dòng)拒絕服務(wù)攻擊3395次，發(fā)送垃圾郵件106次，實(shí)施信息竊取操作373次。

7.6 被篡改網(wǎng)站監(jiān)測(cè)分析

自2003年CNCERT便開(kāi)始監(jiān)測(cè)我國(guó)大陸網(wǎng)站被篡改情況。通過(guò)自主監(jiān)測(cè)等各種手段，每日對(duì)中國(guó)大陸地區(qū)網(wǎng)站被篡改情況進(jìn)行跟蹤監(jiān)測(cè)，在發(fā)現(xiàn)被篡改網(wǎng)站后及時(shí)通知網(wǎng)站所在省份的分中心協(xié)助解決，爭(zhēng)取被篡改網(wǎng)站快速恢復(fù)。

圖7.23所示為2003—2008年中國(guó)大陸地區(qū)網(wǎng)頁(yè)被篡改數(shù)目的年度統(tǒng)計(jì)，總體上呈快速增長(zhǎng)趨勢(shì)。

世界各國(guó)2008年被篡改網(wǎng)站數(shù)量排名如圖7.24所示，美國(guó)仍舊高居榜首，中國(guó)排名第二。

7.6.1 我國(guó)網(wǎng)站被篡改情況

2008年，中國(guó)大陸被篡改網(wǎng)站的數(shù)量比2007年下降了12%，總體上維持了2007年的高位水平。CNCERT監(jiān)測(cè)到的中國(guó)大陸被篡改網(wǎng)站總數(shù)達(dá)到53917個(gè)，每月情況如圖7.25所示。其中，3月，5月，6月和7月為高發(fā)時(shí)段，超過(guò)5500個(gè)。

圖7.26所示為大陸地區(qū)、中國(guó)香港和中國(guó)臺(tái)灣地區(qū)被篡改網(wǎng)站數(shù)據(jù)年度統(tǒng)計(jì)，中國(guó)香港地區(qū)被篡改網(wǎng)站數(shù)量為927個(gè)，中國(guó)臺(tái)灣為744個(gè)。

7.6.2 我國(guó)大陸地區(qū)政府網(wǎng)站被篡改情況

2008年，中國(guó)大陸政府網(wǎng)站被篡改數(shù)量，與2007年的3407個(gè)相比基本持平，各月累計(jì)達(dá)3595個(gè)，各月數(shù)量和所占比例如圖7.27所示。經(jīng)統(tǒng)計(jì)，每月被篡改的gov.cn域名網(wǎng)站占整個(gè)大陸地區(qū)被篡改網(wǎng)站的6.67%，而gov.cn域名網(wǎng)站僅占.cn域名的1.1%，因此政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)。圖7.28所示為2005—2008年.gov.cn域名網(wǎng)站被篡改數(shù)量在中國(guó)大陸被篡改網(wǎng)站總數(shù)中所占比例。

政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)，某些政府網(wǎng)站被篡改后長(zhǎng)期無(wú)人過(guò)問(wèn)，還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù)，但并沒(méi)有根除安全隱患，從而遭到多次篡改。CNCERT監(jiān)測(cè)發(fā)現(xiàn)，某省國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)網(wǎng)站遭黑客篡改在長(zhǎng)達(dá)一個(gè)月時(shí)間內(nèi)未恢復(fù)，政府網(wǎng)站作為行政事務(wù)公開(kāi)和政務(wù)信息發(fā)布平臺(tái)，其安全防護(hù)意識(shí)仍舊比較淡薄。

7.6.3 黑客篡改我國(guó)網(wǎng)站活動(dòng)情況

由表7.3可以看出，國(guó)內(nèi)外黑客（組織）對(duì)我國(guó)大陸網(wǎng)站進(jìn)行攻擊的活動(dòng)比較猖獗，2008年排行前20名的黑客篡改網(wǎng)站數(shù)量大多數(shù)在400個(gè)以上。reDMin，sinaritx和roselare等國(guó)外黑客篡改數(shù)量超過(guò)2000個(gè)，鑒于黑客活動(dòng)既有持續(xù)性又有一定時(shí)間段的間歇性，可以認(rèn)為，我國(guó)大陸網(wǎng)站多數(shù)網(wǎng)站尚未能滿足基本安全的要求，以至于黑客可以在短時(shí)間內(nèi)攻擊成功。

由表7.3攻擊者所屬國(guó)家和地區(qū)可知，目前較為活躍的黑客主要來(lái)自于土耳其和伊朗等地，這些國(guó)家和地區(qū)普遍帶有宗教背景和民族色彩。

表7.4所示為單日?qǐng)?bào)告篡改我國(guó)大陸網(wǎng)站數(shù)量的黑客（組織）排行前20名，其中，reDMin于2008年3月1日?qǐng)?bào)告的數(shù)量高達(dá)1853個(gè)。這也是近年來(lái)較為罕見(jiàn)的單日篡改攻擊報(bào)告數(shù)目。

7.7 網(wǎng)絡(luò)仿冒事件情況分析

2008年，CNCERT共接到網(wǎng)絡(luò)仿冒事件報(bào)告1227件，成功處理了320件。被仿冒的網(wǎng)站大都是國(guó)外的著名金融交易機(jī)構(gòu)。表7.5列出了前5名的被仿冒網(wǎng)站，表7.6列出的是網(wǎng)絡(luò)仿冒事件報(bào)告來(lái)源的前5名。

7.8 國(guó)際交流與合作

1.APEC-TEL37次會(huì)議在東京召開(kāi)CNCERT主持反僵尸網(wǎng)絡(luò)研討會(huì)

APEC-TEL37次會(huì)議于2008年3月23日至28日在日本東京召開(kāi)，CNCERT派出5人與國(guó)內(nèi)其他單位人員共12人參加了本次會(huì)議。CNCERT參會(huì)人員作為安全工作組代表出席了全會(huì)和SPSG工作組會(huì)議。會(huì)議期間，由CNCERT承辦的僵尸網(wǎng)絡(luò)應(yīng)對(duì)技術(shù)研討會(huì)在SPSG分會(huì)場(chǎng)成功召開(kāi)。會(huì)議議題圍繞“僵尸網(wǎng)絡(luò)技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)”、“反僵尸網(wǎng)絡(luò)的技術(shù)對(duì)策”、“反僵尸網(wǎng)絡(luò)的管理對(duì)策”以及“反僵尸網(wǎng)絡(luò)工作的最佳實(shí)踐”等展開(kāi)。

CNCERT于2007年3月在APEC-TEL35次會(huì)議上申請(qǐng)了“僵尸網(wǎng)絡(luò)的治理策略和技術(shù)手段指南”項(xiàng)目，在本次會(huì)議上，CNCERT對(duì)該項(xiàng)目的工作進(jìn)展情況進(jìn)行了匯報(bào)。僵尸網(wǎng)絡(luò)問(wèn)題引起了會(huì)議較為廣泛的關(guān)注，各方對(duì)項(xiàng)目最終的輸出成果寄予了較高的期待。同時(shí)，CNCERT呼吁APEC-TEL應(yīng)致力于鼓勵(lì)各經(jīng)濟(jì)體成員加強(qiáng)各自反僵尸網(wǎng)絡(luò)的能力建設(shè)，并推進(jìn)在全球范圍的廣泛協(xié)作。

2.CNCERT受邀參加2008年?yáng)|盟網(wǎng)絡(luò)安全應(yīng)急演練

隨著Web應(yīng)用的不斷發(fā)展，針對(duì)Web的攻擊越來(lái)越頻繁和復(fù)雜，對(duì)用戶造成的損失也越來(lái)越大，為了有效解決針對(duì)這一類網(wǎng)絡(luò)安全事件跨境攻擊的處置效率，東盟（ASEAN）于2008年7月30日舉行了第三次網(wǎng)絡(luò)安全應(yīng)急演練（ACID Ⅲ），主要目的是進(jìn)一步加強(qiáng)各應(yīng)急組織在Web攻擊事件方面的研究、處理、協(xié)調(diào)和配合。繼ACID Ⅱ之后，中國(guó)作為東盟的對(duì)話伙伴國(guó)再次受到邀請(qǐng)，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）代表中國(guó)參與了本次演練。參與本次演練的應(yīng)急組織共14個(gè)，分別來(lái)自11個(gè)國(guó)家和地區(qū)（中國(guó)、新加坡、文萊、馬來(lái)西亞、緬甸、泰國(guó)、越南、日本、韓國(guó)、印度和挪威）。

本次演練采用真實(shí)的Web攻擊方式，在不同國(guó)家和地區(qū)設(shè)立Web站點(diǎn)，各應(yīng)急組織根據(jù)本地區(qū)受到攻擊的情況，協(xié)調(diào)相關(guān)國(guó)家應(yīng)急組織進(jìn)行事件處理。演練期間，各應(yīng)急組織間及時(shí)共享安全信息，互相配合，共同阻斷惡意攻擊，在各應(yīng)急組織的共同努力下，演練達(dá)到了預(yù)期的目的。

本次演練是CNCERT參與的“第一次”采用真實(shí)攻擊方式的國(guó)際網(wǎng)絡(luò)安全應(yīng)急演練，增加了演練過(guò)程的不確定性，對(duì)驗(yàn)證攻擊、防御、應(yīng)急事件處理流程各環(huán)節(jié)都更加有效，達(dá)到了進(jìn)一步提高各應(yīng)急組織間網(wǎng)絡(luò)安全應(yīng)急事件協(xié)調(diào)，處理能力的目的。

3.亞太計(jì)算機(jī)應(yīng)急聯(lián)盟組織（APCERT）針對(duì)在線地下經(jīng)濟(jì)展開(kāi)年度區(qū)域演練

2008年12月4日，亞太計(jì)算機(jī)應(yīng)急聯(lián)盟組織（APCERT）成功完成了2008年度應(yīng)急演練。此次演習(xí)以一次假想的專業(yè)網(wǎng)絡(luò)犯罪集團(tuán)對(duì)亞太經(jīng)濟(jì)體的網(wǎng)絡(luò)攻擊來(lái)檢驗(yàn)APCERT成員組織在亞太區(qū)面對(duì)網(wǎng)絡(luò)威脅的應(yīng)急處理能力，旨在有效減少包括大規(guī)模攻擊和惡意程序傳播在內(nèi)的網(wǎng)絡(luò)攻擊造成的影響。從事買賣被盜數(shù)據(jù)、惡意在線服務(wù)的地下經(jīng)濟(jì)發(fā)動(dòng)這次假想的攻擊。地下經(jīng)濟(jì)不斷壯大，網(wǎng)絡(luò)犯罪組織日趨組織化，并呈跨國(guó)界分布，危害正常經(jīng)濟(jì)活動(dòng)和政治穩(wěn)定。

本次演練跨越5個(gè)時(shí)區(qū)，從格林尼治標(biāo)準(zhǔn)時(shí)間23點(diǎn)至8點(diǎn)，這對(duì)各參與成員在面對(duì)大規(guī)模網(wǎng)絡(luò)攻擊事件時(shí)在本地以及國(guó)際上的事件處置和應(yīng)對(duì)能力是個(gè)挑戰(zhàn)。亞太地區(qū)14個(gè)應(yīng)急組織參與了本次演練，共來(lái)自13個(gè)國(guó)家和地區(qū)（澳大利亞、文萊、中國(guó)大陸、中國(guó)香港、印度、日本、韓國(guó)、馬來(lái)西亞、新加坡、中國(guó)臺(tái)灣、泰國(guó)、斯里蘭卡、越南）。此次演練是為了準(zhǔn)備、測(cè)試、評(píng)估各參與成員及其之間的事件響應(yīng)與處理流程，演練方案由馬來(lái)西亞MyCERT和澳大利亞AusCERT聯(lián)合設(shè)計(jì)并實(shí)施。

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 云曉春、孫蔚敏、周勇林、王明華、袁春陽(yáng)、紀(jì)玉春、焦緒錄、徐娜、徐原、王營(yíng)康、劉伯超、李佳、何世平、鄭禮雄、溫森浩、張勝利、趙慧）