2.1　严峻复杂的网络安全形势

互联网深刻改变着人们的生产与生活，极大地促进了经济社会繁荣进步，但也要清醒地看到，我们面临的网络安全形势也日趋严峻。网络犯罪层出不穷、重大网络安全事件频发、网络攻击愈演愈烈、数据权属模糊不清、个人信息频繁泄露、网络诈骗等黑色产业屡禁不止，网络安全变得越来越错综复杂，网络空间安全已经成为国家安全的重要组成部分。世界经济论坛《2018年全球风险报告》显示网络攻击进入全球风险前五名，成为2018年全球第三大风险因素。近年来，网络攻击的数量和规模都呈现快速上涨的趋势。

2.1.1　全球网络安全形势

回顾过去十年全球的网络安全事件，根据中央网信办《国家网络安全事件应急预案》的定义将其分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他七类。下面重点回顾前四类的典型事件。

1. 有害程序事件

有害程序事件（MI）是指蓄意制造、传播有害程序，或者是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入信息系统中的一段程序，有害程序危害系统中的数据、应用程序或操作系统的保密性、完整性或可用性，以及信息系统的正常运行。

比较有代表性的有害程序事件如下。

2011年的“震网”事件：一种由美国和以色列联合研发的计算机蠕虫病毒，目的在于破坏伊朗的核武器计划。该蠕虫病毒专门用于销毁伊朗在其核燃料浓缩过程中使用的SCADA设备。此次攻击从单一的数据窃取到实际的物理设施破坏，成功摧毁了伊朗多地的SCADA系统，这标志着网络安全进入了网络战的新阶段。

乌克兰电网入侵事件：2015年12月，黑客对乌克兰电网的网络攻击造成了乌克兰西部大规模停电，这是有史以来首次成功利用网络操控电网的案例。在此次攻击中，黑客使用了一种名为Black Energy的恶意软件，并且在第二年（2016年12月）又进行了类似的攻击。甚至在第二次攻击中使用了一种更复杂的恶意软件，称为Industroyer，使乌克兰首都五分之一的居民停电。乌克兰的这两起事件是影响普通大众的首例，使人们了解到网络攻击可能对一个国家的关键基础设施构成危险。

2. 网络攻击事件

网络攻击事件（NAI）是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力方式对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

2012年Shamoon攻击沙特阿美网络具有一定代表性，Shamoon是一种恶意软件，可以认为是两年前“震网”病毒的产物。攻击者在掌握了破坏性恶意软件的第一手资料后，创建了自己的“网络武器”并于2012年首次部署。该恶意软件主要用于清除数据，Shamoon摧毁了沙特阿拉伯国家石油公司的35 000多个工作站，使该公司瘫痪了数周之久。随后几年发现了该恶意软件的变体，主要被部署在石油和天然气等能源行业公司中。

3. 信息破坏事件

信息破坏事件（IDI）是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。

比较有代表性的安全事件如下。

2011年索尼PlayStation黑客和大规模断网事件：2011年春季，索尼宣布黑客窃取了7 700万PlayStation网络用户的详细信息，其中包括个人身份信息和财务详细信息。技术部门为了修复安全漏洞，暂时停止了23天的PlayStation服务。该公司由于网络中断而亏损。但安全事件接踵而来，一些用户开始注意到信用卡欺诈之后，提起了集体诉讼。然后，该公司为用户提供大量免费的PlayStation 3游戏重新吸引客户，这也造成了进一步的损失。此次安全事件表明，如果没有适当的安全投资，严重依赖科技系统的商业机构，面临安全事件时可能造成的风险是巨大的。此外，行业中出现一种趋势，即公司开始新增服务条款，迫使用户在安全事件后放弃其提起诉讼的权利。许多其他公司也添加了类似的条款。

2017年Equifax数据泄露事件：2017年黑客从Equifax公司的系统中窃取了超过1.455亿美国人、英国人和加拿大人的个人详细信息。尽管进行了事后调查，并且知道是因为公司未能修复服务器严重漏洞引起的，但仍然不可知的是入侵的幕后黑手及其动机。

4. 信息内容安全事件

信息内容安全事件（ICSI）是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。

下面回顾一个堪称里程碑的信息内容安全事件。

2013年斯诺登事件：斯诺登事件可能是十年来最重要的网络安全事件。斯诺登是美国国家安全局（NSA）的外包雇员，他对媒体公开了美国及“五眼联盟”在“9·11事件”后建立的全球监视网络。斯诺登事件使俄罗斯等国家纷纷成立自己的监视部门，并加强了外国情报收集工作，从而导致整个网络间谍活动的增加。该事件加速了许多国家确认互联网空间主权的进程，进一步加强了对网络空间的监控和审查。

2.1.2　中国的网络安全形势

在全球化及中国“互联网+”的商业模式推动下，数字化转型渗透到各行各业，伴随而来的网络安全风险逐年增加，根据国家互联网应急中心（CNCERT）2019年8月发布的《2018年我国互联网网络安全态势综述》描述：由于网络安全相关法律体系和管理机制的健全和完善、公共互联网网络安全监测和治理工作的加强、互联网发展安全基础的进一步稳固，尤其加强包括党政机关和重要行业的网络安全应急响应能力，2018年我国基础网络总体运行稳定。但是针对关键信息基础设施的攻击，以及云平台等暴露的安全风险较为突出，APT攻击、数据泄露、分布式拒绝服务攻击等问题也较为严重。

1. 有害程序事件

勒索软件：2018年，勒索软件攻击事件频发、变种数量不断攀升，给个人用户和企业用户带来严重损失。2018年，CNCERT捕获勒索软件近14万个，全年总体呈现增长趋势，特别在下半年，伴随“勒索软件即服务”产业的兴起，活跃勒索软件数量呈现快速增长势头，且更新频率和威胁广度都大幅度增加。例如，勒索软件GandCrab全年出现了约19个版本，一直快速更新迭代。勒索软件传播手段多样，利用影响范围广的漏洞进行快速传播是当前主要方式之一。例如，勒索软件Lucky通过综合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等进行快速攻击传播。2018年，重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标，其中政府、医疗、教育、研究机构、制造业等是受到勒索软件攻击较严重的。

2. 网络攻击事件

APT攻击：2018年，全球专业网络安全机构发布了各类高级威胁研究报告478份，同比增长了约3.6倍，其中，我国12个研究机构发布报告80份。这些报告涉及已被确认的APT攻击组织，包括APT28、Lazarus、Group 123、海莲花、MuddyWater等53个。攻击目标主要分布在中东、亚太、美洲和欧洲地区，总体呈现地缘政治紧密相关的特性，受攻击的领域主要包括军队国防、政府、金融、外交和能源等。值得注意的是，医疗、传媒、电信等领域也正面临越来越多的APT攻击风险。攻击者主要采用鱼叉邮件攻击、水坑攻击、网络流量劫持或中间人攻击等方法进行攻击，并频繁利用公开或开源的攻击框架和工具、多种技术以实现攻击，或者规避与历史攻击手法的重合。

DDoS攻击：DDoS攻击的手段不断更新，强度不断加大，近年来逐步形成了“DDoS即服务”的互联网黑色产业服务，普遍用于行业恶意竞争、敲诈勒索等网络犯罪。2019年，DDOS领域攻防呈现以下特征。一是呈现资源按月变化速度加快、消亡率明显上升、新增率降低、可被利用的资源活跃时间和数量明显减少——每月可被利用的境内活跃控制端IP地址数量同比减少15.0%、活跃反射服务器同比减少34.0%。此外，CNCERT持续跟踪DDoS攻击团伙情况，并配合公安部门治理取得了明显的效果。在治理行动的持续高压下，DDoS攻击资源大量向境外迁移，在攻击我国目标的大规模DDoS事件中，来自境外的流量占比超过50.0%。二是针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显，同时重要单位的防护能力也显著加强。CNCERT跟踪发现的某黑客组织2019年对我国300余家政府网站发起了1 000余次DDoS攻击，在初期其攻击可导致80.0%以上的攻击目标网站正常服务受到不同程度影响，但后期其攻击已无法对攻击目标网站带来实质伤害，说明被攻击单位的防护能力已得到大幅提升。三是DDoS攻击依然呈现高发、频发之势，仍有大量物联网设备被入侵控制后用于发动DDoS攻击。我国发生攻击流量峰值超过10Gbps的大流量攻击事件日均约220起，同比增加40.0%；虽然在总体势头上有所遏制，但物联网僵尸网络控制端数量占比仍超过54.0%，其参与发起的DDoS攻击的次数占比也超过50.0%。这也告示业界，如果未来有更多的物联网设备接入网络，而安全性不能提高，那么必然会给网络安全防御和治理带来更多困难。

针对云和工业自动化平台的攻击：云平台成为网络攻击的重灾区。根据CNCERT监测数据，虽然国内主流云平台使用的IP地址数量仅占我国境内全部IP地址数量的7.7%，但云平台已成为网络攻击的重灾区，在各类型网络安全事件数量中，云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%。同时，国内主流云平台上承载的恶意程序种类数量占境内互联网恶意程序种类数量的53.7%。木马和僵尸网络恶意程序控制端IP地址数量占境内全部恶意程序控制端IP地址数量的59%，表明攻击者经常利用云平台发起网络攻击。分析原因：云平台成为网络攻击的重要目标是因为大量系统部署到云上，涉及国计民生、企业运营的数据和用户个人信息成为攻击者攫取经济利益的目标。从云平台上发出的攻击增多是因为云服务使用存在便捷性、可靠性、低成本、高带宽和高性能等特性，且云网络流量的复杂性有利于攻击者隐藏真实身份，攻击者更多利用云平台设备作为跳板机或控制端发起网络攻击。此外，云平台用户对其部署在云平台上系统的网络安全防护重视不足，导致其系统可能面临更大的网络安全风险。

2018年，针对特定工业系统的攻击越来越多，并多与传统攻击手段结合，同时呈现定向性特点。2018年中期，恶意软件GreyEnergy被捕获，主要针对运行数据采集与监视控制系统（SCADA）软件和服务的工业控制系统工作站。该恶意软件具有模块化架构，功能可进一步扩展，可进行后门访问、窃取文件、抓取屏幕截图、记录敲击键和窃取凭据等操作。2018年，CNCERT抽样监测发现，我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数显著提高。

3. 信息破坏事件攻击

虚假和仿冒移动应用增多：随着互联网与经济、生活的深度捆绑交织，通过互联网对网民实施远程非接触式诈骗的手段不断翻新，先后出现了“网络投资”“网络交友”“网购返利”等新型网络诈骗手段。随着我国移动互联网技术的快速发展和应用普及，2019年，CNCERT监测发现各类黑产平台超过500个，提供手机号资源的接码平台、提供IP地址的秒拨平台、提供支付功能的第四方支付平台和跑分平台、专门进行账号售卖的发卡平台、专门用于赌博网站推广的广告联盟等各类专业黑产平台不断产生。专业化的黑产活动为网络诈骗等网络犯罪活动提供了帮助和支持，加速了网络犯罪的蔓延趋势。2019年监测到各类网络黑产攻击日均70万次，电商网站、视频直播、棋牌游戏等行业成为黑产攻击的重灾区。

4. 个人数据安全问题

近年来，个人数据安全问题受到前所未有的关注。据国家互联网应急中心研究数据显示，2018年我国发生了多起数据泄露事件，包括十几亿条快递公司的用户信息泄露、2.4亿条某连锁酒店入住信息泄露、900万条某网站用户数据信息泄露、某求职网站用户个人求职简历泄露等。这些泄露数据包含了大量的个人隐私信息，给我国网民人身安全、财产安全带来了隐患。