網(wǎng)絡安全任重道遠

趙明

《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》（以下簡稱“十三五”規(guī)劃）明確提出實施網(wǎng)絡強國戰(zhàn)略，要求加快建設數(shù)字中國，推動信息技術(shù)與經(jīng)濟社會發(fā)展深度融合，加快推動信息經(jīng)濟發(fā)展壯大。2016年，作為“十三五”規(guī)劃開局之年，網(wǎng)絡經(jīng)濟空間大幅拓展趨勢明顯，推動信息技術(shù)服務向更為智能、與傳統(tǒng)領域全面融合的階段發(fā)展。然而，信息技術(shù)創(chuàng)新發(fā)展伴隨的安全威脅與傳統(tǒng)安全問題相互交織，使得網(wǎng)絡空間安全問題日益復雜隱蔽，面臨的網(wǎng)絡安全風險不斷加大，各種網(wǎng)絡攻擊事件層出不窮。2016年，我國互聯(lián)網(wǎng)網(wǎng)絡安全狀況總體平穩(wěn)，未出現(xiàn)影響互聯(lián)網(wǎng)正常運行的重大網(wǎng)絡安全事件，但移動互聯(lián)網(wǎng)惡意程序數(shù)量持續(xù)高速上漲且具有明顯趨利性；來自境外的針對我國境內(nèi)的網(wǎng)站攻擊事件頻繁發(fā)生；聯(lián)網(wǎng)智能設備被惡意控制，并被用于發(fā)起大流量分布式拒絕服務攻擊的現(xiàn)象更加嚴重；網(wǎng)站數(shù)據(jù)和個人信息泄露帶來的危害不斷擴大；欺詐勒索軟件在互聯(lián)網(wǎng)上肆虐；具有國家背景的黑客組織發(fā)動的高級持續(xù)性威脅（APT）攻擊事件直接威脅了國家安全和穩(wěn)定。

近日，國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心（簡稱“國家互聯(lián)網(wǎng)應急中心”，英文簡稱CNCERT）發(fā)布《2016年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》，在對我國互聯(lián)網(wǎng)宏觀安全態(tài)勢監(jiān)測的基礎上，結(jié)合網(wǎng)絡安全預警通報、應急處置工作實踐成果，著重分析和總結(jié)了2016年我國互聯(lián)網(wǎng)網(wǎng)絡安全狀況，并預測2017年網(wǎng)絡安全熱點問題。

2016年我國互聯(lián)網(wǎng)安全分析

CNCERT持續(xù)對我國網(wǎng)絡安全宏觀狀況開展抽樣監(jiān)測。2016年，移動互聯(lián)網(wǎng)惡意程序捕獲數(shù)量、網(wǎng)站后門攻擊數(shù)量，以及安全漏洞收錄數(shù)量較2015年有所上升，而木馬和僵尸網(wǎng)絡感染數(shù)量、拒絕服務攻擊事件數(shù)量、網(wǎng)頁仿冒和網(wǎng)頁篡改頁面數(shù)量等均有所下降。

據(jù)抽樣監(jiān)測，2016年約9.7萬個木馬和僵尸網(wǎng)絡控制服務器控制了我國境內(nèi)1699萬余臺主機，控制服務器數(shù)量較2015年下降8.0%，境內(nèi)感染主機數(shù)量較2015年下降了14.1%。其中，來自境外的約4.8萬個控制服務器控制了我國境內(nèi)1499萬余臺主機，來自美國的控制服務器數(shù)量居首位。

在監(jiān)測發(fā)現(xiàn)的因感染惡意程序而形成的僵尸網(wǎng)絡中，規(guī)模在100臺主機以上的僵尸網(wǎng)絡數(shù)量為4896個，其中規(guī)模在10萬臺以上的僵尸網(wǎng)絡數(shù)量為52個。從我國境內(nèi)感染木馬和僵尸網(wǎng)絡主機按地區(qū)分布數(shù)量分析來看，排名前三位的分別是廣東省（占我國境內(nèi)感染數(shù)量的13.4%）、江蘇省（占9.2%）和山東?。ㄕ?.3%）。為有效控制木馬和僵尸網(wǎng)絡感染主機引發(fā)的危害，2016年，在工業(yè)和信息化部指導下，根據(jù)《木馬和僵尸網(wǎng)絡監(jiān)測與處置機制》，CNCERT組織基礎電信企業(yè)、域名服務機構(gòu)等成功關(guān)閉1011個控制規(guī)模較大的僵尸網(wǎng)絡。

2016年，CNCERT通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量205萬余個，較2015年增長39.0%，近7年來持續(xù)保持高速增長趨勢。按其惡意行為進行分類，前三位分別是流氓行為類、惡意扣費類和資費消耗類，占比分別為61.1%、18.2%和13.6%。CNCERT發(fā)現(xiàn)移動互聯(lián)網(wǎng)惡意程序下載鏈接近67萬條，較2015年增長近1.2倍，涉及的傳播源域名22萬余個、IP地址3萬余個，惡意程序傳播次數(shù)達1.24億次。

2016年，CNCERT重點對通過短信傳播，且具有竊取用戶短信和通信錄等惡意行為的“相冊”類安卓惡意程序和具有惡意扣費、惡意傳播屬性的色情軟件進行監(jiān)測，并開展協(xié)調(diào)處置工作。全年共發(fā)現(xiàn)此類惡意程序47316個，累計感染用戶超過101萬人，用于傳播惡意程序的域名6045個，用于接收用戶短信和通訊錄的惡意郵箱賬戶7645個，用于接收用戶短信的惡意手機號6616個，泄露用戶短信和通訊錄的郵件222萬封，嚴重危害用戶個人信息安全和財產(chǎn)安全。在工業(yè)和信息化部指導下，根據(jù)《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》，CNCERT組織郵箱服務商、域名注冊商等積極開展協(xié)調(diào)處置工作，對發(fā)現(xiàn)的惡意郵箱賬號、惡意域名等進行關(guān)停處置。

目前，移動互聯(lián)網(wǎng)App傳播途徑多樣，包括應用商店、網(wǎng)盤、云盤和廣告宣傳等平臺，且大量的未備案網(wǎng)站也在提供App下載服務。在工業(yè)和信息化部指導下，經(jīng)過連續(xù)4年的治理，要求國內(nèi)的應用商店、網(wǎng)盤、云盤和廣告宣傳等平臺積極落實安全責任，不斷完善安全檢測、安全審核、社會監(jiān)督舉報、惡意App下架等制度，積極參與處置響應與反饋，嚴格控制惡意App傳播途徑。2016年，CNCERT累計向141家已備案的應用商店、網(wǎng)盤、云盤的廣告宣傳等網(wǎng)站運營者通報惡意App事件8910起，較2015年減少了47.8%，表明在移動互聯(lián)網(wǎng)惡意程序持續(xù)快速增長的情況下，惡意App在正規(guī)網(wǎng)站上傳播的途徑得到有效控制，但通過非正規(guī)應用商店途徑傳播惡意App的數(shù)量還在繼續(xù)增長。

2016年，CNCERT牽頭組織通信行業(yè)和安全行業(yè)單位，宣布成立了中國互聯(lián)網(wǎng)網(wǎng)絡安全威脅治理聯(lián)盟，并著力開展分布式拒絕服務攻擊（以下簡稱“DDoS攻擊”）防范打擊工作。經(jīng)過協(xié)同治理，有效緩解了DDoS攻擊的危害，2016年CNCERT監(jiān)測到1Gbps以上DDoS攻擊事件日均452起，比2015年下降60%。但同時發(fā)現(xiàn)，2016年大流量攻擊事件數(shù)量全年持續(xù)增加，10Gbps以上攻擊事件數(shù)量第四季度日均攻擊次數(shù)較第一季度增長1.1倍，全年日均達133次，占日均攻擊事件的29.4%。另外100Gbps以上攻擊事件數(shù)量日均達到6起以上，并監(jiān)測發(fā)現(xiàn)某云平臺多次遭受500Gbps以上的攻擊。從攻擊目的來看，67%涉及互聯(lián)網(wǎng)地下黑色產(chǎn)業(yè)鏈；從攻擊方式來看，反射攻擊依舊占據(jù)主流；從攻擊源IP地址對應設備來看，除了傳統(tǒng)的PC“肉雞”和IDC服務器外，智能設備也逐漸被利用為DDoS攻擊工具。

2016年，國家信息安全漏洞共享平臺（CNVD）共收錄通用軟硬件漏洞10822個，較2015年增長33.9%。其中，高危漏洞收錄數(shù)量高達4146個（占38.3%），較2015年增長29.8%；“零日”漏洞32203個，較2015年增長82.5%。漏洞主要涵蓋谷歌、甲骨文、Adobe、微軟、IBM、蘋果、思科、Wordpress、Linux、Mozilla、華為等廠商產(chǎn)品，其中涉及Google產(chǎn)品（含操作系統(tǒng)、手機設備以及應用軟件等）的漏洞最多，達到819個，占全部收錄漏洞的7.6%；按影響對象類型分類，應用程序漏洞占59.97%，Web應用漏洞占16.8%，操作系統(tǒng)漏洞占13.2%，網(wǎng)絡設備漏洞（如路由器、交換機等）占6.47%，數(shù)據(jù)庫漏洞占1.97%，安全產(chǎn)品漏洞（如防火墻、入侵檢測系統(tǒng)等）占1.59%。2016年，CNVD3 CNVD收錄時還未公布補丁。

加強原創(chuàng)通用軟硬件漏洞的收錄工作，成為全年漏洞收錄數(shù)量的一個新增長點，全年接收白帽子、國內(nèi)漏洞報告平臺、安全廠商等報送相關(guān)漏洞1926個，占全年收錄總數(shù)的17.8%。

CNVD對現(xiàn)有漏洞進行了進一步整理，建立了基于重點關(guān)注方向的子漏洞庫，目前已建立移動互聯(lián)網(wǎng)、電信行業(yè)、電子政務和工業(yè)控制系統(tǒng)4類子漏洞庫。2016年這4類子漏洞庫分別收錄漏洞985個（占9.1%）、640個（占總收錄比例5.9%）、344個（占3.1%）和172個（占1.5%）。

CNVD針對重點關(guān)注方向子漏洞庫的安全漏洞影響情況進行巡查，全年通報涉及政府機構(gòu)、重要信息系統(tǒng)部門，以及行業(yè)安全漏洞事件24246起，較2015年上升3.1%。

2016年，CNCERT監(jiān)測發(fā)現(xiàn)約17.8萬個針對我國境內(nèi)網(wǎng)站的仿冒頁面，頁面數(shù)較2015年下降3.6%。約2萬個IP地址承載了上述仿冒頁面。為有效防止網(wǎng)頁仿冒引起的網(wǎng)民經(jīng)濟損失，CNCERT重點針對金融行業(yè)、電信行業(yè)網(wǎng)上營業(yè)廳的仿冒頁面進行重點處置，全年共協(xié)調(diào)處置仿冒頁面52836個。從處置的頁面類型來看，積分兌換和用戶登錄仿冒頁面數(shù)量最多，分別占處置總數(shù)的32%。從承載仿冒頁面IP地址歸屬情況來看，絕大多數(shù)IP地址位于境外。針對跨境仿冒頁面的處置，CNCERT繼續(xù)與國際網(wǎng)絡安全組織加強合作，全年協(xié)調(diào)境外安全組織處置跨境網(wǎng)頁仿冒事件14515起。

2016年，CNCERT監(jiān)測發(fā)現(xiàn)約4萬個IP地址對我國境內(nèi)8.2萬余個網(wǎng)站植入后門，網(wǎng)站數(shù)量較2015年增長9.3%。境外有約3.3萬個（占全部IP地址總數(shù)的84.9%）IP地址通過向網(wǎng)站植入后門對境內(nèi)約6.8萬個網(wǎng)站進行遠程控制。其中，來自美國的IP地址最多，占比14.0%。

2016年，CNCERT監(jiān)測發(fā)現(xiàn)，我國境內(nèi)約1.7萬個網(wǎng)站被篡改，較2015年減少31.7%，其中被篡改政府網(wǎng)站有467個，較2015年減少47.9%。從網(wǎng)頁篡改的方式來看，被植入暗鏈的網(wǎng)站占全部被篡改網(wǎng)站的比例高達86%，是我國境內(nèi)網(wǎng)站被篡改的主要方式。從境內(nèi)網(wǎng)頁被篡改類型分布來看，以.com為后綴的商業(yè)網(wǎng)站被篡改網(wǎng)站數(shù)量最多，占總數(shù)的72.3%，其次是以.net為后綴的網(wǎng)絡服務公司網(wǎng)站和以.gov為后綴的政府網(wǎng)站，分別占總數(shù)的7.3%和2.8%。

2016年我國互聯(lián)網(wǎng)網(wǎng)絡安全狀況

近年來，隨著我國網(wǎng)絡安全法律法規(guī)、管理制度的不斷完善，我國在網(wǎng)絡安全技術(shù)實力、人才隊伍、國際合作等方面取得了明顯的成效。2016年，我國互聯(lián)網(wǎng)網(wǎng)絡安全狀況總體平穩(wěn)，網(wǎng)絡安全產(chǎn)業(yè)快速發(fā)展，網(wǎng)絡安全防護能力得到提升，網(wǎng)絡安全國際合作進一步加強。但隨著網(wǎng)絡空間戰(zhàn)略地位的日益提升，世界主要國家紛紛建立網(wǎng)絡空間攻擊能力，國家級網(wǎng)絡沖突日益增多，我國網(wǎng)絡空間面臨的安全挑戰(zhàn)日益復雜。

域名系統(tǒng)安全狀況良好，防攻擊能力明顯上升。2016年，我國域名服務系統(tǒng)安全狀況良好，無重大安全事件發(fā)生。據(jù)抽樣監(jiān)測，2016年針對我國域名系統(tǒng)的流量規(guī)模達1Gpbs以上的DDoS攻擊事件日均約32起，均未對我國域名解析服務造成影響，在基礎電信企業(yè)側(cè)也未發(fā)生嚴重影響解析成功率的攻擊事件，主要與域名系統(tǒng)普遍加強安全防護措施，抗DDoS攻擊能力顯著提升相關(guān)。

2016年6月，發(fā)生針對全球根域名服務器及其鏡像的大規(guī)模DDoS攻擊，大部分根域名服務器受到不同程度的影響，位于我國的域名根鏡像服務器也在同時段遭受大規(guī)模網(wǎng)絡流量攻擊。因應急處置及時，且根區(qū)頂級域緩存過期時間往往超過1天，此次攻擊未對我國域名系統(tǒng)網(wǎng)絡安全造成影響。

針對工業(yè)控制系統(tǒng)的網(wǎng)絡安全攻擊日益增多，多起重要工控系統(tǒng)安全事件應引起重視。 2016年，全球發(fā)生的多起工控領域重大事件值得我國警醒。3月，美國紐約鮑曼水壩的一個小型防洪控制系統(tǒng)遭攻擊；8月，卡巴斯基安全實驗室揭露了針對工控行業(yè)的“食尸鬼”網(wǎng)絡攻擊活動，該攻擊主要對中東和其他國家的工業(yè)企業(yè)發(fā)起定向網(wǎng)絡入侵；12月，烏克蘭電網(wǎng)再一次經(jīng)歷了供電故障，據(jù)分析本次故障緣起惡意程序“黑暗勢力”的變種。

我國工控系統(tǒng)規(guī)模巨大，安全漏洞、惡意探測等均給我國工控系統(tǒng)帶來一定安全隱患。截至2016年年底，CNVD共收錄工控漏洞1036條，其中2016年收錄了173個，較2015年增長了38.4%。工控系統(tǒng)主要存在緩沖區(qū)溢出、缺乏訪問控制機制、弱口令、目錄遍歷等漏洞風險。通過對網(wǎng)絡流量分析發(fā)現(xiàn)，2016年度CNCERT累計監(jiān)測到聯(lián)網(wǎng)工控設備指紋探測事件88萬余次，并發(fā)現(xiàn)來自境外60個國家的1610個IP地址對我國聯(lián)網(wǎng)工控設備進行了指紋探測。

高級持續(xù)性威脅常態(tài)化，我國面臨的攻擊威脅尤為嚴重。 截至2016年底，國內(nèi)企業(yè)發(fā)布高級持續(xù)性威脅（APT）研究報告，共提及43個APT組織，其中針對我國境內(nèi)目標發(fā)動攻擊的APT組織有36個。從攻擊實現(xiàn)方式來看，更多APT攻擊采用工程化實現(xiàn)，即依托商業(yè)攻擊平臺和互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈數(shù)據(jù)等成熟資源實現(xiàn) APT攻擊。這類攻擊不僅降低了發(fā)起APT攻擊的技術(shù)和資源門檻，而且加大了受害方溯源分析的難度。

2016年，多起針對我國重要信息系統(tǒng)實施的APT攻擊事件被曝光，包括 “白象行動5”“蔓靈花攻擊行動”等，主要以我國教育、能源、軍事和科研領域為主要攻擊目標。2016年8月，黑客組織 “影子經(jīng)紀人（Shadow Brokers）”公布了方程式組織6經(jīng)常使用的工具包，包含各種防火墻的漏洞利用代碼、黑客工具和腳本，涉及Juniper、飛塔、思科、天融信、華為等廠商產(chǎn)品。

CNCERT對公布的11個產(chǎn)品漏洞（有4個疑似為0day漏洞）進行普查分析，發(fā)現(xiàn)全球有約12萬個IP地址承載了相關(guān)產(chǎn)品的網(wǎng)絡設備，其中我國境內(nèi)IP地址有約3.3萬個，占全部IP地址的27.8%，對我國網(wǎng)絡空間安全造成嚴重的潛在威脅。2016年11月，黑客組織“影子經(jīng)紀人”又公布一組曾受美國國家安全局網(wǎng)絡攻擊與控制的IP地址和域名數(shù)據(jù)，中國是被攻擊最多的國家，涉及我國至少9所高校，以及12家能源、航空、電信等重要信息系統(tǒng)部門和2個政府部門信息中心。

大量聯(lián)網(wǎng)智能設備遭惡意程序攻擊形成僵尸網(wǎng)絡，被用于發(fā)起大流量DDoS攻擊。 近年來，隨著智能可穿戴式設備、智能家居、智能路由器等終端設備和網(wǎng)絡設備的迅速發(fā)展和普及應用，針對物聯(lián)網(wǎng)智能設備的網(wǎng)絡攻擊事件比例呈上升趨勢，攻擊者利用物聯(lián)網(wǎng)智能設備漏洞可獲取設備控制權(quán)限，或用于用戶信息數(shù)據(jù)竊取、網(wǎng)絡流量劫持等其他黑客地下產(chǎn)業(yè)交易，或用于被控制形成大規(guī)模僵尸網(wǎng)絡。CNCERT對車聯(lián)網(wǎng)系統(tǒng)安全性進行在線監(jiān)測分析，發(fā)現(xiàn)部分車聯(lián)網(wǎng)信息服務商和相關(guān)產(chǎn)品存在安全漏洞，可導致車輛、位置和車主信息泄露和車輛被遠程控制等安全風險。2016年底，因美國東海岸大規(guī)模斷網(wǎng)事件和德國電信大量用戶訪問網(wǎng)絡異常事件，Mirai惡意程序受到廣泛關(guān)注。Mirai是一款典型的利用物聯(lián)網(wǎng)智能設備漏洞進行入侵滲透以實現(xiàn)對設備控制的惡意代碼，被控設備數(shù)量積累到一定程度將形成一個龐大的“僵尸網(wǎng)絡”，稱為“Mirai僵尸網(wǎng)絡”。又因物聯(lián)網(wǎng)智能設備普遍是24小時在線，感染惡意程序后也不易被用戶察覺，形成了“穩(wěn)定”的攻擊源。CNCERT對Mirai僵尸網(wǎng)絡進行抽樣監(jiān)測顯示，截至2016年年底，共發(fā)現(xiàn)2526臺控制服務器控制了125.4萬余臺物聯(lián)網(wǎng)智能設備，對互聯(lián)網(wǎng)的穩(wěn)定運行形成了嚴重的潛在安全威脅。此外，CNCERT還對Gafgyt僵尸網(wǎng)絡進行抽樣檢測分析，在2016年第四季度，共發(fā)現(xiàn)817臺控制服務器控制了42.5萬臺物聯(lián)網(wǎng)智能設備，累計發(fā)起超過1.8萬次的DDoS攻擊，其中峰值流量在5Gpbs以上的攻擊次數(shù)高達72次。

網(wǎng)站數(shù)據(jù)和個人信息泄露屢見不鮮，“衍生災害”嚴重。 由于互聯(lián)網(wǎng)傳統(tǒng)邊界的消失，各種數(shù)據(jù)遍布終端、網(wǎng)絡、手機和云上，加上互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的利益驅(qū)動，數(shù)據(jù)泄露威脅日益加劇。2016年，國內(nèi)外網(wǎng)站數(shù)據(jù)和個人信息泄露事件頻發(fā)，對政治、經(jīng)濟、社會的影響逐步加深，甚至個人生命安全也受到侵犯。在國外，美國大選候選人希拉里的郵件泄露，直接影響到美國大選的進程；雅虎兩次賬戶信息泄露涉及約15億的個人賬戶，致使美國電信運營商威瑞森48億美元收購雅虎計劃擱置甚至可能取消。 據(jù)國家互聯(lián)網(wǎng)應急中心調(diào)查發(fā)現(xiàn)，我國免疫規(guī)劃系統(tǒng)網(wǎng)絡被惡意入侵，20萬兒童信息被竊取并在網(wǎng)上公開售賣；信息泄露導致精準詐騙案件頻發(fā)，高考考生信息泄露間接奪去即將步入大學的女學生徐玉玉的生命；2016年公安機關(guān)共偵破侵犯個人信息案件1800余起，查獲各類公民個人信息300億余條。此外，據(jù)新聞媒體報道，俄羅斯、墨西哥、土耳其、菲律賓、敘利亞、肯尼亞等多個國家政府的網(wǎng)站數(shù)據(jù)發(fā)生了泄露。

移動互聯(lián)網(wǎng)惡意程序趨利性更加明確，移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟。2016年，CNCERT通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量205萬余個，較2015年增長39.0%，近6年來持續(xù)保持高速增長趨勢。通過惡意程序行為分析發(fā)現(xiàn)，以誘騙欺詐、惡意扣費、鎖屏勒索等攫取經(jīng)濟利益為目的的應用程序驟增，占惡意程序總數(shù)的59.6%，較2015年增長了近3倍。從惡意程序傳播途徑發(fā)現(xiàn)，誘騙欺詐行為的惡意程序主要通過短信、廣告和網(wǎng)盤等特定傳播渠道進行傳播，感染用戶數(shù)達到2493萬人，造成重大經(jīng)濟損失。從惡意程序的攻擊模式發(fā)現(xiàn)，通過短信方式傳播竊取短信驗證碼的惡意程序數(shù)量占比較大，全年獲得相關(guān)樣本10845個，表現(xiàn)出制作簡單、攻擊模式固定、暴利等特點，移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟。

敲詐勒索軟件肆虐，嚴重威脅本地數(shù)據(jù)和智能設備安全。CNCERT監(jiān)測發(fā)現(xiàn)，2016年在傳統(tǒng)PC端，捕獲敲詐勒索類惡意程序樣本約1.9萬個，數(shù)量創(chuàng)近年來新高。對敲詐勒索軟件攻擊對象分析發(fā)現(xiàn)，勒索軟件已逐漸由針對個人終端設備延伸至企業(yè)用戶，特別是針對高價值目標的勒索情況嚴重。針對企業(yè)用戶方面，勒索軟件利用安全漏洞發(fā)起攻擊，對企業(yè)數(shù)據(jù)庫進行加密勒索。2016年底開源MongoDB數(shù)據(jù)庫遭一輪勒索軟件攻擊，大量的用戶受到影響。針對個人終端設備方面，敲詐勒索軟件惡意行為在傳統(tǒng)PC端和移動端表現(xiàn)出明顯的不同特點：在傳統(tǒng)PC端，主要通過“加密數(shù)據(jù)”進行勒索，即對用戶電腦中的文件加密，脅迫用戶購買解密密鑰；在移動端，主要通過“加密設備”進行勒索，即遠程鎖住用戶移動設備，使用戶無法正常使用設備，并以此脅迫用戶支付解鎖費用。但從敲詐勒索軟件傳播方式來看，傳統(tǒng)PC端和移動端表現(xiàn)出共性，主要是通過郵件、仿冒正常應用、QQ群、網(wǎng)盤、貼吧、受害者等傳播。

2017年值得關(guān)注的熱點

根據(jù)對2016年我國互聯(lián)網(wǎng)網(wǎng)絡安全形勢特點的分析，CNCERT預測2017年值得關(guān)注的熱點方向主要如下：

第一，網(wǎng)絡空間依法治理脈絡更為清晰。《網(wǎng)絡安全法》將于2017年6月1日起施行。該法有7章79條，對網(wǎng)絡空間主權(quán)、網(wǎng)絡產(chǎn)品和服務提供者的安全義務、網(wǎng)絡運營者的安全義務、個人信息保護規(guī)則、關(guān)鍵信息基礎設施安全保護制度和重要數(shù)據(jù)跨境傳輸規(guī)則等進行了明確規(guī)定。預計2017年各部門將更加重視《網(wǎng)絡安全法》的宣傳和解讀工作，編制出臺相關(guān)配套政策法規(guī)，落實各項配套措施，網(wǎng)絡空間依法治理脈絡將更為清晰。

第二，利用物聯(lián)網(wǎng)智能設備的網(wǎng)絡攻擊事件將繼續(xù)增多。2016年CNVD收錄物聯(lián)網(wǎng)智能設備漏洞1117個，主要涉及網(wǎng)絡攝像頭、智能路由器、智能家電、智能網(wǎng)關(guān)等設備。漏洞類型主要為權(quán)限繞過、信息泄露、命令執(zhí)行等，其中弱口令（或內(nèi)置默認口令）漏洞極易被利用，實際影響十分廣泛，成為惡意代碼攻擊利用的重要風險點。隨著無人機、自動駕駛汽車、智能家電的普及和智慧城市的發(fā)展，聯(lián)網(wǎng)智能設備的漏洞披露數(shù)量將大幅增加，針對或利用物聯(lián)網(wǎng)智能設備的網(wǎng)絡攻擊將更為頻繁。

第三，互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)融合引發(fā)的安全威脅更為復雜。隨著我國“互聯(lián)網(wǎng)+”“中國制造2025”行動計劃的深入推進，我國幾乎所有的傳統(tǒng)行業(yè)、傳統(tǒng)應用與服務都在被互聯(lián)網(wǎng)改變，給各個行業(yè)帶來了創(chuàng)新和發(fā)展機會。在融合創(chuàng)新發(fā)展的過程中，傳統(tǒng)產(chǎn)業(yè)封閉的模式逐漸轉(zhuǎn)變?yōu)殚_放模式，也將以往互聯(lián)網(wǎng)上虛擬的網(wǎng)絡安全事件轉(zhuǎn)變?yōu)楝F(xiàn)實世界安全威脅?；ヂ?lián)網(wǎng)金融、工業(yè)互聯(lián)網(wǎng)等融合的新興行業(yè)快速發(fā)展，但引發(fā)的新的網(wǎng)絡安全威脅也不容忽略，互聯(lián)網(wǎng)金融整合了信息流和資金流，信息流的風險很可能引發(fā)資金流損失；工業(yè)控制系統(tǒng)更為智能化、網(wǎng)絡化，開放互聯(lián)帶來的惡意嗅探行為增多，被惡意攻擊的風險不斷加大。傳統(tǒng)互聯(lián)網(wǎng)安全與現(xiàn)實世界安全問題相交織引發(fā)的安全威脅更為復雜，產(chǎn)生的后果也更為嚴重。

第四，個人信息和重要數(shù)據(jù)保護將更受重視。近年來，互聯(lián)網(wǎng)技術(shù)的發(fā)展極大地方便和豐富了我們的生活和工作，網(wǎng)上購物、網(wǎng)上求職、社交平臺、政府服務等平臺上充斥著大量的個人詳細隱私信息。自2011年以來我國關(guān)于嚴重個人信息泄露的事件不絕于耳，特別是近年來的網(wǎng)絡詐騙案件中，受害人的詳細信息都被詐騙分子所掌握，給社會安定帶來嚴重危害。2013年 “斯諾登事件”及后續(xù)相繼爆出的美國政府大范圍監(jiān)聽項目，刺激著各國加強重要數(shù)據(jù)的保護措施，嚴格規(guī)范互聯(lián)網(wǎng)數(shù)據(jù)的收集、使用、存儲等。我國在《網(wǎng)絡安全法》中對個人信息保護規(guī)則、重要數(shù)據(jù)跨境傳輸進行了明確規(guī)定，預計關(guān)于個人信息和重要數(shù)據(jù)信息保護的詳細規(guī)范性文件將制定出臺，切實落實保護措施。

第五，網(wǎng)絡安全威脅信息共享工作備受各方關(guān)注。及時全面獲取和分析網(wǎng)絡安全威脅，提前做好網(wǎng)絡安全預警和部署應急響應措施，充分體現(xiàn)了一個國家網(wǎng)絡安全綜合防御能力。通過網(wǎng)絡安全威脅信息共享，利用集體的知識和技術(shù)能力，是實現(xiàn)全面掌握網(wǎng)絡安全威脅情況的有效途徑。美國早在1998年的克林頓政府時期就簽署了總統(tǒng)令，鼓勵政府與企業(yè)開展網(wǎng)絡安全信息共享，到奧巴馬政府時期更是將網(wǎng)絡安全信息共享寫入了政府法案。近年來，我國高度重視網(wǎng)絡安全信息共享工作，在《網(wǎng)絡安全法》中明確提出了促進有關(guān)部門、關(guān)鍵信息基礎設施的運營者，以及有關(guān)研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享。但面對紛繁復雜的、多維度的數(shù)據(jù)源信息，高效地開展共享和深入分析，需建立一套基于大數(shù)據(jù)分析的網(wǎng)絡安全威脅信息共享標準。目前，我國很多機構(gòu)已經(jīng)在開展網(wǎng)絡安全威脅信息共享的探索與實踐，相關(guān)國家標準和行業(yè)標準已在制定中，CNCERT也建立了網(wǎng)絡安全威脅信息共享平臺，在通信行業(yè)和安全行業(yè)內(nèi)進行相關(guān)共享工作。

第六，有國家背景的網(wǎng)絡爭端受關(guān)注度將繼續(xù)升溫。目前，我國互聯(lián)網(wǎng)普及率已經(jīng)達到53.2%，民眾通過互聯(lián)網(wǎng)獲得的新聞資訊越來越快捷方便，民眾關(guān)注全球政治熱點的熱度也不斷高漲。隨著大量的國家不斷強化網(wǎng)絡空間軍事能力建設，有國家背景的網(wǎng)絡爭端事件將熱點不斷、危機頻出，全民討論的趨勢將持續(xù)升溫。

第七，基于人工智能的網(wǎng)絡安全技術(shù)研究全面鋪開。在第三屆世界互聯(lián)網(wǎng)大會“世界互聯(lián)網(wǎng)領先科技成果發(fā)布活動”現(xiàn)場，微軟、IBM、谷歌三大國際科技巨頭展示了基于機器學習的人工智能技術(shù)，為我們描繪了人工智能美好的未來。目前，網(wǎng)絡攻擊事件層出不窮、手段多樣、目的復雜，較為短缺的網(wǎng)絡安全人才難以應對變化過快的網(wǎng)絡安全形勢。而機器學習在數(shù)據(jù)分析領域表現(xiàn)出色，人工智能被認為在網(wǎng)絡安全方面將大有作為。有研究機構(gòu)統(tǒng)計發(fā)現(xiàn)，2016年“網(wǎng)絡安全”與“人工智能”兩詞共同出現(xiàn)在文章中的頻率快速上升，表明越來越多的討論將二者聯(lián)系在一起共同關(guān)注。以網(wǎng)絡安全相關(guān)的大數(shù)據(jù)為基礎，利用機器學習等人工智能技術(shù)，能夠在未知威脅發(fā)現(xiàn)、網(wǎng)絡行為分析、網(wǎng)絡安全預警等方面取得突破性進展。

2016年，我國不斷完善網(wǎng)絡安全保障措施，網(wǎng)絡安全防護水平進一步提升，有力保障了“G20杭州峰會”“第三屆世界互聯(lián)網(wǎng)大會”等多項重要活動的順利舉辦。近年來，我國在持續(xù)推進依法治理網(wǎng)絡空間安全進程和不斷完善網(wǎng)絡安全人才培養(yǎng)機制，新《國家安全法》《反恐怖主義法》《網(wǎng)絡安全法》和《國家網(wǎng)絡空間安全戰(zhàn)略》等多項網(wǎng)絡空間法律法規(guī)或戰(zhàn)略制定并發(fā)布，首批優(yōu)秀網(wǎng)絡安全領域杰出人才、優(yōu)秀人才和優(yōu)秀教師受到表彰。當前，我國已明確提出實施網(wǎng)絡強國戰(zhàn)略，但不管是來自互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的網(wǎng)絡安全威脅，還是來自國家之間的網(wǎng)絡安全對抗都表明，我國面臨的網(wǎng)絡空間安全問題越來越復雜、隱蔽。希望我們共同努力，不斷攀登網(wǎng)絡安全技術(shù)高峰，維護我國網(wǎng)絡空間安全，為我國第五大戰(zhàn)略空間筑起一道堅實的堡壘。