2015年度中国互联网站安全报告安全漏洞频发 网络攻击行为加剧

文/本刊记者 Sophia

2015年度中国互联网站安全报告安全漏洞频发 网络攻击行为加剧

文/本刊记者 Sophia

杭州安恒信息技术有限公司风暴中心日前发

布《2015年中国互联网站安全报告》，报告显示：

2015年度，根据风暴中心大数据监测平台对全国网站（不含港澳台地区，下同）监测结果统计，全年累积在我国内地7650087个互联网站点中检出安全漏洞共计15291010个。

其中，发现存在高危漏洞的站点25071个，占检测总数的0.327%。高危漏洞总计1174758个，占发现漏洞总数的7.68%。高危漏洞类型中，直接危害与波及范围、影响最大的高危漏洞仍为SQL注入漏洞，共检出198796个，占发现高危漏洞总数的16.92%。

2015年度全国各省网站漏洞总数排名前三分别为江苏、广东与浙江，其中广东省高危漏洞数量占该省漏洞总数比例最高，为13.76%。各省发现最多的高危漏洞如下图表所示：31个省、直辖市及自治区中，18个省级行政区受SQL注入漏洞影响最为严重，占高危漏洞总数的58.06%；其他影响较大的高危漏洞还包括FCKEditor漏洞、敏感路径漏洞以及敏感信息泄露漏洞等。

各省影响首位的高危漏洞统计

行业网站安全状况分析

政府网站安全状况分析

2015年全年，风暴中心在对245，393个包含gov. cn域名的我国政务网站进行的监测中，共发现漏洞8，407，679个，平均每个政府网站漏洞数达34.26个。

在发现的全部漏洞中，危（紧）急漏洞573，275个，

占漏洞总数的6.82%；高危漏洞2，762，713个，占

漏洞总数的32.86%；中危漏洞4，031，048个，占漏洞总数的47.94%；低危漏洞1，040，643个，占漏洞总数的12.38%。

各级漏洞的数量与占比分布情况如图所示。

政府网站全年各级漏洞分布情况

根据漏洞成因对这些漏洞进行分类，得到数量排名前十的漏洞，如下图所示：

全年政府网站安全漏洞分类数量图

图中显示，信息泄露型漏洞显著高于其他漏洞，高达300余万个，占全部漏洞总数的近40%比例；排名第二和第三的漏洞分别是指纹信息检测和敏感关键词，数量分别是76万和66万多个。前三类漏洞占了全部漏洞的比例高达56.5%。这充分说明政务网站安全运维水平低下所导致的网站系统、服务器、数据库等不当配置，为入侵者的进一步定点精准入侵提供了充分的攻击情报基础。

同时，在监测到的危急漏洞中，跨站脚本漏洞数量最多，达101，454个，占比20%；SQL注入类型漏洞排名第二，达114，768个，占比17.7%；排名第三的漏洞是默认后台登录，共50，821个，占比8.7%。漏洞的TOP10如下表所示：

政府网站排名前十高危漏洞表

下图显示了漏洞数量的地域分布情况。

政府网站安全漏洞地域分布图

通过上述分析，可以看出我国政府网站虽整体安全态势尚可，但仍存在大量的安全漏洞，这主要是由于各政务网站的建设能力、运维能力与安全防护、管理能力参差不齐所造成的。

金融行业网站安全状况分析

风暴中心对全国银行、证券、保险等金融相关网站抽取4066个站点进行监测分析，发现34584个安全漏洞，其中发现高危漏洞的站点27个，占总数的0.66%，高危漏洞总计2829个，占发现漏洞总数的8.12%，金融行业网站安全态势总体高于政务网站。

根据漏洞的成因对这些漏洞进行分类，得到数量排名前十的漏洞，如图所示：

金融行业网站排名前十漏洞表

在监测到的高危漏洞中，占比最高的仍然是敏感信息泄露类漏洞、同时较高的还有SQL注入及XSS跨站漏洞，这反映出了国内金融行业网站在安全运维中仍存在不细致的情况，以及亟需提升的Web应用代码安全质量与安全服务全程参与的系统开发过程需求。

教育行业网站安全状况分析

2015年，安恒信息风暴中心在对25817个国内教育行业网站进行的监测中，共发现漏洞192684个，平均每个教育网站漏洞数达7.46个。在发现的全部漏洞中，高危漏洞22155个，占总漏洞的11.50%，中危漏洞89652个，占总漏洞的46.32%，低危漏洞59440个，占总漏洞的30.85%。

对教育行业网站影响最大的漏洞是默认管理页面泄露及默认后台登录这一类漏洞，共发现接近十万个。同时，SQL注入、跨站脚本、目录遍历也都是在教育行业网站中较经常发现的漏洞类型。高危漏洞的TOP10如下表所示：

教育行业网站排名前十高危漏洞表

相比其他行业而言，在教育行业网站中发现的漏洞究其产生原因，更多是由于网站疏于管理维护（如默认后台登录），或是技术力量薄弱而未能从代码层对漏洞进行及时修复（如SQL注入）而产生。利用这些漏洞的过程技术含量不高，放任这些漏洞留在教育行业网站系统内部，无疑给这些网站的安全带来了极大的威胁。

组织性攻击行为分析

非法暗链组织攻击行为分析

以2015年风暴中心云监测平台中所监测到的网站暗链攻击事件为数据来源，通过3万多个被暗链感染的网站样本进行分析，发现此类攻击活动呈现明显的组织化与针对性特征。

暗链互链示意图

暗链攻击事件模式具备进化性，由过去网站暗链以单向链接指向暗链源头主机的形式，进化为遭植入暗链网站交叉互链、境内暗链索引主机交叉互链、暗链源头主机交叉互链以及遭植入暗链网站、暗链索引主机、暗链源头主机同时交叉互链的复合形式。

根据采样结果分析，暗链索引站点与暗链源头站点多位于海外主机，目前感染超过1000个站点以上的暗链索引站点大多数集中于北美地区；而由于被植入暗链的站点互链状况愈发严重，被植入暗链站点充当暗链索引的流量也有所增加。

从攻击行为模式来看，也呈现较为典型的组织化与自动化特征，攻击目标的选择与攻击方法较为清晰：

总体来说，有组织攻击行为受境内外网络犯罪黑色产业利益链驱使，具有强烈的趋利性，导致攻击行为坚决而不计成本，是我国互联网站近年来占比最多的安全事件类型。

Anonymous（匿名者）组织攻击行为分析

Anonymous，国内称为匿名者，是以美国为中心，世界范围内成立的一个松散的国际黑客组织。成员分成两组：A组——（技术黑客）：即核心成员，由真正熟练黑客技术的成员组成，具有专业编程和网络技术攻击能力；B组——（外行）：这组由来自世界各地无数的志愿者组成，主要进行DDoS攻击，或组织集中的大访问量以阻塞网络，技术含量较低。

该组织主要核心技术力量近年来主要攻击对象为宗教极端组织与网络恐怖主义站点，无暇也无力在全球范围内同时组织多起针对网络大国的大规模或高精度、高危害攻击行动，而转为默许全球各国或地区的网络不法分子处于各种目的借用该组织分部名义进行攻击行动声明并组织、发动网络攻击行动，如2015年所发生较有代表性的#OPChina#与#OPHongkong#即为典型案例。

但值得注意的是，一旦“匿名者”组织核心圈由于某种原因决定并真正组织、号召并发起针对我国的网络攻击行为，需要防范与关注的重点并不应是分布式拒绝服务攻击这类攻击方式，攻击对象也并非是全部的gov.cn域名，包含大量敏感甚至涉密信息的重要基础设施、政务业务系统才是该组织精准打击、造成巨大损失的对象。

第二届世界互联网大会网络安保数据分析

安恒信息作为本次网络安全保障工作最核心的技术支撑单位，安全保障工作采用了代码检测、安全测评、7*24监测、主动防御、大数据实时分析预警等全生命周期的安全保障方案为大会提供保障服务，切实响应领导单位的指示，实现了攻击的全面防御，会议中重点保障的系统所有的攻击行为均被我方部署云WAF、抗DDOS设备、硬件防火墙、WEB应用防火墙等全面拦截，所有攻击未对大会系统造成影响，成功完成了本次大会的网络安全保障工作。

会议期间监测到来自63个国家和地区多达14万台主机对我方重要系统发起严重攻击为3千万余次，相比第一届世界互联网大会监测的严重攻击27万余次超过了近100倍。

通过大数据分析发现本次主要的威胁来自于境外国家或组织，前5个主要发起攻击的国家分别为：美国678余万次、新加坡276余万次、德国136余万次、荷兰112余万次、法国94余万次。其中还监测到来自法国的长达370余分钟的持续化攻击多达85万余次。与第一届世界互联网大会相比较可以发现境外组织对我国的安全攻击呈明显上升势头，无论是攻击数量、规模均远大于去年，在攻击的技术手法方面也更有针对性，在本次防御过程中甚至发现有一些国家采用最新爆发的0day漏洞对我方网站进行尝试。

大会门户网站群遭受境外攻击分布

大会官方网站群遭受境内攻击来源分布于我国境内大部分省份，其中前三位的省份分别为浙江、北京、上海。需要指出的是，来自于境内的攻击流量较大比例是由网络安全主管单位、技术支撑单位及安全保障人员发起的例行性安全检测与安全扫描工作，由于发起安全检测与扫描的机房、人员大多集中于以上省份。

在本次大会网络安全保障值守过程中，监测与拦截了大批发起攻击的攻击源地址，经攻击源反查分析，发现国内攻击源主要可分为四个类型，分别为监管部门与安全厂商漏洞扫描设备、遭远程控制的僵尸主机、遭入侵的网站服务器主机与来源不明的网络爬虫。

数据显示，2015年我国成为遭受网络攻击最严重的国家之一，针对我国的网络攻击行为犯罪更加专业化、规模化、组织化，对政府、教育与金融类网站发起的攻击数量总体保持稳中有升态势，而安全事件的响应速度与修复率在国内网络安全主管机关与网络安全企业的共同努力下，充分利用先进的网络安全态势感知与威胁情

报分析技术，得到了长足的进步与提高。

安全