2015年度中國互聯網站安全報告安全漏洞頻發 網絡攻擊行為加劇

文/本刊記者 Sophia

2015年度中國互聯網站安全報告安全漏洞頻發 網絡攻擊行為加劇

文/本刊記者 Sophia

杭州安恒信息技術有限公司風暴中心日前發

布《2015年中國互聯網站安全報告》，報告顯示：

2015年度，根據風暴中心大數據監測平臺對全國網站（不含港澳臺地區，下同）監測結果統計，全年累積在我國內地7650087個互聯網站點中檢出安全漏洞共計15291010個。

其中，發現存在高危漏洞的站點25071個，占檢測總數的0.327%。高危漏洞總計1174758個，占發現漏洞總數的7.68%。高危漏洞類型中，直接危害與波及范圍、影響最大的高危漏洞仍為SQL注入漏洞，共檢出198796個，占發現高危漏洞總數的16.92%。

2015年度全國各省網站漏洞總數排名前三分別為江蘇、廣東與浙江，其中廣東省高危漏洞數量占該省漏洞總數比例最高，為13.76%。各省發現最多的高危漏洞如下圖表所示：31個省、直轄市及自治區中，18個省級行政區受SQL注入漏洞影響最為嚴重，占高危漏洞總數的58.06%；其他影響較大的高危漏洞還包括FCKEditor漏洞、敏感路徑漏洞以及敏感信息泄露漏洞等。

各省影響首位的高危漏洞統計

行業網站安全狀況分析

政府網站安全狀況分析

2015年全年，風暴中心在對245，393個包含gov. cn域名的我國政務網站進行的監測中，共發現漏洞8，407，679個，平均每個政府網站漏洞數達34.26個。

在發現的全部漏洞中，危（緊）急漏洞573，275個，

占漏洞總數的6.82%；高危漏洞2，762，713個，占

漏洞總數的32.86%；中危漏洞4，031，048個，占漏洞總數的47.94%；低危漏洞1，040，643個，占漏洞總數的12.38%。

各級漏洞的數量與占比分布情況如圖所示。

政府網站全年各級漏洞分布情況

根據漏洞成因對這些漏洞進行分類，得到數量排名前十的漏洞，如下圖所示：

全年政府網站安全漏洞分類數量圖

圖中顯示，信息泄露型漏洞顯著高于其他漏洞，高達300余萬個，占全部漏洞總數的近40%比例；排名第二和第三的漏洞分別是指紋信息檢測和敏感關鍵詞，數量分別是76萬和66萬多個。前三類漏洞占了全部漏洞的比例高達56.5%。這充分說明政務網站安全運維水平低下所導致的網站系統、服務器、數據庫等不當配置，為入侵者的進一步定點精準入侵提供了充分的攻擊情報基礎。

同時，在監測到的危急漏洞中，跨站腳本漏洞數量最多，達101，454個，占比20%；SQL注入類型漏洞排名第二，達114，768個，占比17.7%；排名第三的漏洞是默認后臺登錄，共50，821個，占比8.7%。漏洞的TOP10如下表所示：

政府網站排名前十高危漏洞表

下圖顯示了漏洞數量的地域分布情況。

政府網站安全漏洞地域分布圖

通過上述分析，可以看出我國政府網站雖整體安全態勢尚可，但仍存在大量的安全漏洞，這主要是由于各政務網站的建設能力、運維能力與安全防護、管理能力參差不齊所造成的。

金融行業網站安全狀況分析

風暴中心對全國銀行、證券、保險等金融相關網站抽取4066個站點進行監測分析，發現34584個安全漏洞，其中發現高危漏洞的站點27個，占總數的0.66%，高危漏洞總計2829個，占發現漏洞總數的8.12%，金融行業網站安全態勢總體高于政務網站。

根據漏洞的成因對這些漏洞進行分類，得到數量排名前十的漏洞，如圖所示：

金融行業網站排名前十漏洞表

在監測到的高危漏洞中，占比最高的仍然是敏感信息泄露類漏洞、同時較高的還有SQL注入及XSS跨站漏洞，這反映出了國內金融行業網站在安全運維中仍存在不細致的情況，以及亟需提升的Web應用代碼安全質量與安全服務全程參與的系統開發過程需求。

教育行業網站安全狀況分析

2015年，安恒信息風暴中心在對25817個國內教育行業網站進行的監測中，共發現漏洞192684個，平均每個教育網站漏洞數達7.46個。在發現的全部漏洞中，高危漏洞22155個，占總漏洞的11.50%，中危漏洞89652個，占總漏洞的46.32%，低危漏洞59440個，占總漏洞的30.85%。

對教育行業網站影響最大的漏洞是默認管理頁面泄露及默認后臺登錄這一類漏洞，共發現接近十萬個。同時，SQL注入、跨站腳本、目錄遍歷也都是在教育行業網站中較經常發現的漏洞類型。高危漏洞的TOP10如下表所示：

教育行業網站排名前十高危漏洞表

相比其他行業而言，在教育行業網站中發現的漏洞究其產生原因，更多是由于網站疏于管理維護（如默認后臺登錄），或是技術力量薄弱而未能從代碼層對漏洞進行及時修復（如SQL注入）而產生。利用這些漏洞的過程技術含量不高，放任這些漏洞留在教育行業網站系統內部，無疑給這些網站的安全帶來了極大的威脅。

組織性攻擊行為分析

非法暗鏈組織攻擊行為分析

以2015年風暴中心云監測平臺中所監測到的網站暗鏈攻擊事件為數據來源，通過3萬多個被暗鏈感染的網站樣本進行分析，發現此類攻擊活動呈現明顯的組織化與針對性特征。

暗鏈互鏈示意圖

暗鏈攻擊事件模式具備進化性，由過去網站暗鏈以單向鏈接指向暗鏈源頭主機的形式，進化為遭植入暗鏈網站交叉互鏈、境內暗鏈索引主機交叉互鏈、暗鏈源頭主機交叉互鏈以及遭植入暗鏈網站、暗鏈索引主機、暗鏈源頭主機同時交叉互鏈的復合形式。

根據采樣結果分析，暗鏈索引站點與暗鏈源頭站點多位于海外主機，目前感染超過1000個站點以上的暗鏈索引站點大多數集中于北美地區；而由于被植入暗鏈的站點互鏈狀況愈發嚴重，被植入暗鏈站點充當暗鏈索引的流量也有所增加。

從攻擊行為模式來看，也呈現較為典型的組織化與自動化特征，攻擊目標的選擇與攻擊方法較為清晰：

總體來說，有組織攻擊行為受境內外網絡犯罪黑色產業利益鏈驅使，具有強烈的趨利性，導致攻擊行為堅決而不計成本，是我國互聯網站近年來占比最多的安全事件類型。

Anonymous（匿名者）組織攻擊行為分析

Anonymous，國內稱為匿名者，是以美國為中心，世界范圍內成立的一個松散的國際黑客組織。成員分成兩組：A組——（技術黑客）：即核心成員，由真正熟練黑客技術的成員組成，具有專業編程和網絡技術攻擊能力；B組——（外行）：這組由來自世界各地無數的志愿者組成，主要進行DDoS攻擊，或組織集中的大訪問量以阻塞網絡，技術含量較低。

該組織主要核心技術力量近年來主要攻擊對象為宗教極端組織與網絡恐怖主義站點，無暇也無力在全球范圍內同時組織多起針對網絡大國的大規模或高精度、高危害攻擊行動，而轉為默許全球各國或地區的網絡不法分子處于各種目的借用該組織分部名義進行攻擊行動聲明并組織、發動網絡攻擊行動，如2015年所發生較有代表性的#OPChina#與#OPHongkong#即為典型案例。

但值得注意的是，一旦“匿名者”組織核心圈由于某種原因決定并真正組織、號召并發起針對我國的網絡攻擊行為，需要防范與關注的重點并不應是分布式拒絕服務攻擊這類攻擊方式，攻擊對象也并非是全部的gov.cn域名，包含大量敏感甚至涉密信息的重要基礎設施、政務業務系統才是該組織精準打擊、造成巨大損失的對象。

第二屆世界互聯網大會網絡安保數據分析

安恒信息作為本次網絡安全保障工作最核心的技術支撐單位，安全保障工作采用了代碼檢測、安全測評、7*24監測、主動防御、大數據實時分析預警等全生命周期的安全保障方案為大會提供保障服務，切實響應領導單位的指示，實現了攻擊的全面防御，會議中重點保障的系統所有的攻擊行為均被我方部署云WAF、抗DDOS設備、硬件防火墻、WEB應用防火墻等全面攔截，所有攻擊未對大會系統造成影響，成功完成了本次大會的網絡安全保障工作。

會議期間監測到來自63個國家和地區多達14萬臺主機對我方重要系統發起嚴重攻擊為3千萬余次，相比第一屆世界互聯網大會監測的嚴重攻擊27萬余次超過了近100倍。

通過大數據分析發現本次主要的威脅來自于境外國家或組織，前5個主要發起攻擊的國家分別為：美國678余萬次、新加坡276余萬次、德國136余萬次、荷蘭112余萬次、法國94余萬次。其中還監測到來自法國的長達370余分鐘的持續化攻擊多達85萬余次。與第一屆世界互聯網大會相比較可以發現境外組織對我國的安全攻擊呈明顯上升勢頭，無論是攻擊數量、規模均遠大于去年，在攻擊的技術手法方面也更有針對性，在本次防御過程中甚至發現有一些國家采用最新爆發的0day漏洞對我方網站進行嘗試。

大會門戶網站群遭受境外攻擊分布

大會官方網站群遭受境內攻擊來源分布于我國境內大部分省份，其中前三位的省份分別為浙江、北京、上海。需要指出的是，來自于境內的攻擊流量較大比例是由網絡安全主管單位、技術支撐單位及安全保障人員發起的例行性安全檢測與安全掃描工作，由于發起安全檢測與掃描的機房、人員大多集中于以上省份。

在本次大會網絡安全保障值守過程中，監測與攔截了大批發起攻擊的攻擊源地址，經攻擊源反查分析，發現國內攻擊源主要可分為四個類型，分別為監管部門與安全廠商漏洞掃描設備、遭遠程控制的僵尸主機、遭入侵的網站服務器主機與來源不明的網絡爬蟲。

數據顯示，2015年我國成為遭受網絡攻擊最嚴重的國家之一，針對我國的網絡攻擊行為犯罪更加專業化、規模化、組織化，對政府、教育與金融類網站發起的攻擊數量總體保持穩中有升態勢，而安全事件的響應速度與修復率在國內網絡安全主管機關與網絡安全企業的共同努力下，充分利用先進的網絡安全態勢感知與威脅情

報分析技術，得到了長足的進步與提高。

安全