【连载】2016年中国网络空间安全年报（二）

2016年中国网络空间安全年报

日前，由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数据的视角，围绕“数据决策治理、数据带动思考、数据推动创新”的理念，跨地域、跨系统、跨行业地“数读”中国网络空间安全现状和趋势，为广大读者提供更加量化和全面的网络空间安全立体图景，希望给各级主管部门、各级领导单位网络安全治理参考和启发，为推动我国网络强国建设提供决策支持。

在1月23日-2月5日期间，我们将通过连载的方式对《2016年中国网络空间安全年报》进行全面报道，欢迎大家关注和阅读！

第一章 2016年全国网络空间安全态势

2016年的网络空间安全态势是个非常恢弘的话题，涉及到网络空间中的海量组成元素，本章节重点着眼于应用服务、工控设备、数据泄露等影响较严重、安全问题高发的领域，对这些领域存在的安全风险、遭受的攻击行为、出现的新型病毒等进行深入的数据分析与思考。其中我国重点行业的在线应用存在着大量漏洞，并在2016年依旧出现了多起黑客入侵事件，其中暗链成为最典型的盈利性安全事件；互联网中的各类攻击行为不断，从攻击源与攻击方式来看，境外攻击趋多，应用层的重要攻击方式中以利用SQL注入、通用型漏洞居多；工控基础设施随着物联网的发展成为了网络空间中重要的一环，但是随之而来的安全影响远超一般服务器入侵事件，中国成为了国际上存在工控安全隐患较多的国家之一；APT攻击出现了对我国金融、政府、教育等重要行业的典型攻击行为，勒索病毒的传播成为了新的全球安全问题焦点并有其相应的特点与规律；2016年出现了大量的数据泄露事件，造成严重的社会负面影响，需采取有效的数据防泄密手段。

1. 互联网应用系统安全现状

2016年，风暴中心累计对全国重点行业（政务、教育、金融、医疗）的405,965个重要网站及信息系统做全面的监测与分析，本章节将从基础信息普查角度分析当前重要站点使用的操作系统、WEB服务器类型，并分析软件版本过低，或开放高危端口等不安全操作；从漏洞维度研究互联网重要站点的典型漏洞类型及占比，从安全事件看当前互联网站点被成功攻击案例；除此之外，本章节选取2016年典型的0day漏洞做简单分析，并抽取三个典型问题：基础备案信息、钓鱼站点、僵尸站点等进行分析，分析当前站点管理方面存在的安全隐患。

注：本章节所有提及的区域分布均为行政区域归属划分，不包含港澳台区域。

1.1. 全国重要行业网站基础情况分析

本节将对全国重点行业站点，主要分析政务、教育、金融、医疗等重点行业的在线应用系统的基础情况如地域分布、服务质量、站点指纹情况。

1.1.1. 东南沿海地区站点数量居多

根据风暴中心对全国405,965个重要站点进行监测，并结合区域文化、经济等因素分析，发现经济文化较为发达区域，如江苏、浙江、山东、广东等区域，其站点数量相对较多。

图 1‑1 纵观2016重要站点分布（累计）

改革开放以来，我国经济发展呈现出明显的区域特征，东部沿海地区的经济增长大幅超越中西部地区，整体经济发展趋势看好。同时，随着互联网飞速发展，教育、医疗等行业不断融合网络对外开展业务，其站点数量随着需求大幅增长。

根据风暴中心监测的数据来看，政务站点多分布于江苏、浙江、山东、湖南、广东等区域，这些省份的站点数量均超过2万个以上，总体来看，全国政务站点总数已达到33万个左右。其中，各省份的省会站点数量相对于同省其它区域较多，如江苏南京、广东广州、山东济南等辖区，这与省会城市是本省的政治经济核心相关，也与当前各地提倡集中化建设政务云、政务中心机房的趋势一致。

根据风暴中心统计，全国的教育站点有61,843个，主要集中在江苏、北京、广东、山东、上海等区域，这五个省份的教育站点总数占全国教育站点总数的38.90%。

1.1.2. 大量站点曾出现服务异常

风暴中心对全国范围内重要站点的服务质量进行不间断监测，对各类服务质量状态进行统计，如下图表所示：

图 1‑2 曾出现网站服务质量异常情况的站点

由上图可见，目前我国存在57.17%的站点存在间歇性服务质量低下的情况，如请求无响应、页面找不到与服务端异常等，其中请求无响应的站点有182,043个，占比44.84%，页面找不到（4XX）的站点有46,306个，占比11.41%，以及0.92%的服务器端异常（5XX）站点。

同时，对不可访问的站点进行深入分析，可发现站点多为二级域名，出现此类问题的原因多是由于二级域名由于业务重要程度不高，疏于维护管理，线路差、服务器不稳定以及站点长期无人管理等因素引起的。欣喜的是在2016年，部分地方政府已经开始采取行动，如四川省人民政府办公厅发文要求县级政府部门不新建网站，已建成无维护能力的明年要关闭，以此来扭转部分单位站点建而不管或管不到位的现状。

1.1.3. 站点指纹类型分布及安全隐患

基础信息采集可作为站点安全评估、安全威胁预警的基本信息储备，监管单位可通过IP分布、行业分布、whois信息、网站单位等信息掌握当前辖区资产的基础情况，尤其当重大安全事件/漏洞（如0day漏洞）到来之际，可根据辖区网站采用的相关指纹信息分布快速准确地进行定向预警。

• 操作系统类型分析

不同操作系统具备不同的安全体系、特征和特定漏洞，基于操作系统的0day漏洞爆发时，黑客会采用大范围的操作系统扫描技术，对特定操作系统类型的站点服务器进行自动化定向攻击。因此，了解网站服务器操作系统类型对互联网站点的安全防护和预警具有重要意义，下图为全国重要站点使用的操作系统类型分布情况：

图 1‑3 全国重要站点的网站服务器操作系统类型使用情况

如上图可知，我国重要行业站点的网站服务器操作系统占比最大的分别为Windows、CentOS操作系统，从整体上看以CentOS为代表的Linux操作系统家族已逐渐超过微软Windows系统，成为我国重点网站服务器操作系统主流，这与重要行业网站对安全性、稳定性与服务质量提高的要求有较为直接的联系。

• WEB服务器类型分析

2016年度，风暴中心对重点站点的基础架构信息进行不间断探测，统计WEB服务器使用类型分布情况如下图所示：

图 1‑4 全国重要站点Web服务器类型使用情况

从上图可看出，当前我国重要站点中最为广泛使用的web应用服务器为Apache、微软IIS、nginx等。2015年度曾经爆发IIS 7远程代码执行漏洞，严重影响了使用该版本的WEB服务器，从风暴中心后期跟踪检测数据来看依旧有大量该版本服务器运行，长期不更新升级的WEB服务器将会是影响站点安全的重要因素。

• 系统端口开放情况分析

根据风暴中心对我国重要站点进行抽样监测，发现常规的网站服务器对外提供开放了FTP、SSH等高危端口，严重危及服务器安全。

图 1‑5 全国重要站点端口开放数量TOP10

站点如开放多余的端口，尤其存在高危端口时，如22、3389等管理协议及其他数据库协议端口暴露在互联网中时，极易成为黑客攻击的目标，黑客可通过弱口令猜解、密码暴力破解、社会工程学破解等方式尝试获取服务器的登录凭据，继而远程登录系统，极大影响单位内部数据安全和通信安全。

同时，过多开放端口也容易被黑客入侵，下图为重点站点的端口开放情况：

图 1‑6 全国重要站点端口开放数量统计图

风暴中心于本年度对全国重要网站的基础信息大普查中累计发现大量的网站服务器开放了高危端口、非常规端口，其中含有14,736个站点开放了10个以上的端口，占全国重要站点的3.6%，4212个站点开放了98个以上的端口，占全国重要站点的1.04%。这类开放高危端口的网站服务器如果没有任何防护，十分容易被攻击利用，因此需要及时进行防护、整改。

1.2. 站点安全漏洞分析

站点安全漏洞是黑客攻击的主要焦点，本小节主要从安全漏洞维度分析站点安全状态。2016年度，风暴中心共发现405,965个全国重要站点的安全漏洞共发现漏洞361,472个。

在发现的全部漏洞中，高危漏洞41,686个，占漏洞总数的11.53%；中危漏洞21,651个，占漏洞总数的5.99%；低危漏洞298,135个，占漏洞总数的82.48%。

各级漏洞的数量与占比分布情况如图所示。

图 1‑7 全国重要站点各等级漏洞分布情况

根据漏洞成因对这些漏洞进行分类，得到数量排名前十的漏洞，如下：

图 1‑8 全国重要站点安全漏洞分类数量图

图中显示，敏感信息泄露型漏洞显著高于其他漏洞，高达20余万个，占全部漏洞总数的57.55%；排名第二和第三的漏洞分别是敏感关键字和敏感路径漏洞，数量分别是3万和2万多个。前三类漏洞占了全部漏洞的比例高达74.28%。

这充分说明全国重要站点安全运维水平低下所导致的网站系统、服务器、数据库等不当配置，为入侵者的进一步定点精准入侵提供了充分的攻击情报基础。

同时，在监测到的危急漏洞中，SQL注入漏洞数量最多，达8355个，占比24.00%；通用型跨站脚本(XSS)漏洞排名第二，达3622个，占比10.04%；

高危漏洞的排行如下表所示：

表 1-1 全国重要站点高危漏洞排行

通过上述分析，可以看出我国站点虽整体安全态势较为平稳，但仍存在大量的安全漏洞，这说明需要各相关单位做好网站安全维护工作。

未完待续