2017网络空间安全现状与趋势分析报告

（杭州安恒信息技术有限公司）

2017年，《网络安全法》的实施成为了我国网络安全的又一大里程碑，席卷全球的“永恒之蓝”、Struts2 S2-045 漏洞等，给网络安全人上了重要的一课，反思过往，我们发现很多结果其实早就埋下了种子，无论是0day漏洞的爆发亦或是黑客入侵事件，其背后都存在相似的诱因。本文提炼分析2017年度的安全现状，聚焦我国重要行业（政府、事业单位、教育）数据，重点为读者浅析当前的安全态势。

1.运营侧管理缺失，埋下安全隐患

WEB应用安全领域的问题已不再是新兴话题，但是至今，我们从数据分析中可见仍存在大量基础管理缺失造成的安全隐患，如僵尸站点、域名解析、备案问题等，从2017年度发生的安全事件分析，发现缺乏管理的站点发生事件占比很高，这些现象均是“3分技术7分管理”的现实写照，而这一准则也值得每一位安全从业者铭记于心。

1.1.资产管理缺位，僵尸网站成灾

僵尸站点开放在互联网中，不仅会带来管理的难度，也产生了大量安全隐患：

■ 无人管理的站点，更加缺少安全运维，容易存在漏洞；

■ 从数据显示，有139起政务僵尸网站被劫持到海外，长期无人发现直至被通报处理；

■ 僵尸站点没有专人值守，甚至长期被当成“傀儡机”对外发起攻击；

分析僵尸站点在全国政务、教育类僵尸站点（主域名）的分布，依次有1059个、848个，而子域名中出现的僵尸站点数量则更多，如下图所示：

图 1 僵尸网站域名分布

僵尸站点的存在有以下几个原因：

■ 开放站点早：从僵尸站点的注册时间来看，许多开设在2000年以前，距今已有近二三十年的时间；

■ 子域名不被重视：大量单位随意开放二级域名，开设后并不撤销，成为了互联网中被遗忘的群体；

■ 开设泛解析：站点开放泛解析，将会为站点带来大量安全隐患，如发生域名劫持、被利用的子域名等；

因此，需加强对自有域名与网站资产的有效管理，及时撤销回收无用站点及其域名，不为黑客提供便利的入侵途径。

1.2.域名管理存盲区，劫持事件多发

据安恒风暴中心监测分析国内共有3093个政务网站主域名被劫持解析到海外，涉及46个海外国家。其中被解析到美国的站点数量较多，美国的公有云服务器备案松散是主要原因，跳转后的站点用于传播博彩等非法信息。

图2 政务网站主域名劫持到海外分布图

由于政府站点的域名可信度较高，劫持后的站点能借此逃避国内的较多审查机制，成了众多黑客的目标，而域名被劫持现象则多是由于以下原因造成：

■ 监测发现139起的域名劫持事件是僵尸站点的劫持；

■ 域名管理存在盲区，如政务域名被非法抢注，子域名解析等乱象导致了很多政务域名被劫持到海外。

基于上述分析，只有网络运营单位加强对自有域名解析的账号管理，及时查看解析记录变更情况，域名注册服务商严格重要域名注册的标准，消除域名管理的盲区，才能从源头上杜绝此类现象的发生。据监测，全国党政机关的ICP备案率（备案分析仅针对主域名）已经达到98.17%，未备案的仍存在1,203个站点，占整体网站1.83%，主要集中在贵州、广东、新疆等省份。随着“一标两备”的普及，可见我国的党政机关网站的规范度正在逐渐提升，并且政府网站实名制、责任制，也能够有效增强安全监管力度。

2.攻击侧利益驱动，事件多发影响大

近几年，安恒风暴中心持续关注互联网中存在的被黑事件，我们发现除了国际知名黑客组织发起的政治性目的入侵事件外，互联网上更多出现的是在黑色产业链利益驱动下的入侵，而其技术手段也不断演化，更为隐蔽难于被发现。

2.1.管理缺位是入侵主要诱因

2.1.1.利用已知高危漏洞入侵成主要手段

根据风暴中心对近三年反共入侵事件的分析来看，受影响站点主要分为对外开放的门户站点和后台业务管理系统两大类。

图3 近三年反共黑客入侵事件站点分类

从上图可见，近两年后台管理系统占比有所增加，这类后台管理系统往往存在诸多高危漏洞，如常见的SQL注入、Struts2漏洞等。下图为近三年疑似因Struts2漏洞而被反共黑客组织入侵的案例数：

图4 近三年疑似因Struts2漏洞而被反共黑客组织入侵的案例数图

从上图可看到，几乎每年都会有一批因Struts2漏洞而受反共组织入侵的站点，相关站点应加强漏洞预警管理，及时修复此类漏洞，或选择专业的安全团队进行防御。

2.1.2.非核心资产安全能力偏弱

监测数据分析2015年下半年以后，以公网IP形式直接暴露在互联网中的信息系统逐渐成为黑客选择的新方向，这类站点私自开放不合规，且由于非核心系统，安全能力一般偏弱，而且在发生事件后难于快速核验网站主办单位的身份信息，增大监管难度。

图5 被反共黑客入侵站点地址特征统计

2.2.黑帽SEO影响党政机关站点

黑帽SEO是指通过作弊手段，让站点快速提升排名的一类SEO技术，是黑色产业链中重要的一类业务。2017年，风暴中心共向监管单位上报1080起黑帽SEO入侵为主的重要站点（政府、教育、医疗、新闻媒体等）被黑事件，涉及全国31个省份、270个地市。从近两年黑客攻击的趋势来看，以黑页形式存在的黑帽SEO入侵事件数量急剧增加，而暗链由于其隐蔽性较低，容易被发现而数量日趋下降。

图6 2017风暴中心上报黑帽SEO事件

2.2.1.黑客行为更为隐蔽高效，应建立监测与响应机制

新型的黑帽SEO手法更为隐蔽与高效化，入侵技术特征如下：

● UA作弊等手段

UA作弊，即通过判断访问行为是否是国内知名的爬虫如百度、360、sougou等，来提供对应内容，正常浏览器访问难以发现被植入非法页面；

非法页面中加入分析访问来源IP的脚本，对特定地域或网段展示非法内容，可逃过管理员的检查。

● 寄生虫模板

以往植入单个页面耗时耗力，甚至被发现后需要重新植入，但随着黑客掌握目标站点的增多和业务量的增加，往往需要提升页面的生存效率和周期才能获得更大的利益，因此出现了寄生虫，可供黑客进行大批量高效率更新操作，被黑站点往往存在上百、上千个异常页面。

通过以上特征分析可知网站管理员用常规方式难以发现这类事件，并且很难根除，往往需要依靠专业的检测手段，可选择采用监测技术，建立常态的监测与响应机制，做到早发现早处置。

2.2.2.区县站点影响严重，需加快推进政务云建设

监测分析发现黑帽SEO影响近70多个不同行业/部门，其中地区的人民政府门户网站受影响最为严重：

表格 1 存在黑页单位TOP5表

分析还发现影响区县、乡镇的网站较为严重，县市、甚至乡镇的政府网站安全能力与投入相对较低，成为我国政府网站中最容易出现安全问题的一个群体。

图7 2017年人民政府官网被黑占比

针对数量巨大，但是投入有限的区县、乡镇的基层信息系统建设，需要积极推进集约化与政务云平台的建设，进行统一建设、统一监管、统一防护，此举可有效缓解各地安全水平不一的难题，降低此类入侵概率。

3.精准持续攻击成趋势，防护挑战增大

3.1.精准型攻击比重大幅度提升

据风暴中心“玄武盾”统计，2017年黑客发起的攻击类型以SQL注入、协议违规、跨站攻击为主，占攻击总比的65%，从中可知传统的WEB漏洞攻击仍然还在继续 :

图8 WEB攻击方式占比

与2016年对比，2017年SQL注入、协议违规、疑似跨站有明显增长，缺失报头、扫描工具、文件限制有明显的下滑，这也说明了黑客攻击越来越精准，而自动化随机攻击越来越少。这在一定程度上提示安全从业者：黑客的攻击水平正在上升，且有目的的攻击行为一旦成功，将会产生更大的损失，安全防护工作面临更大的挑战，需要实现精准识别，有效防护，不放过任何一起攻击请求。

3.2.人机对抗7＊24在线防护应成为常态

从分析可见黑客攻击时间段集中在凌晨1-2点，这段时间是各网站系统管理员正在休息的时候，同时也是系统最脆弱的时候，所以大部分黑客会选择夜间时间发起攻击活动，另一方面是境外黑客时差的原因，因此对安全防御而言，7*24在线应成为常态，并应当建立相应的监控、防护、应急响应机制，应对突发状况。

图9 黑客攻击时段统计图

4.物联网安全建设亟待增强

4.1.物联网建设发展迅速

随着科技的发展，物联网设备的应用越来越广泛，形成了智慧城市、智能家居、智慧医疗、智慧交通、智慧教育等体系。但是，物联网设备基数非常巨大，远超目前的任何IT设备资产，“未来,每粒沙子都可能拥有自己的IP地址”，而从美国由于摄像头受控发起DDOS攻击致使大面积断网事件可知，物联网的安全问题一旦爆发，后果难以想象。 因此，物联网的安全决不可重蹈传统的“重建设、轻安全”之路，必须配套同步进行，甚至安全先行，建设后行，如此才有可能保障生产生活的安全有序进行。

4.2.物联网漏洞多发，亟需构建“安全的物联网”生态

依据分析发现我国的物联网漏洞位列世界第二，安全建设已经不容滞缓。其中安全漏洞的影响后果有财产损失、越权访问、信息泄漏三个大类，无论哪一项被利用都会为个人带来损失，占比情况如下所示：

图10 物联网漏洞影响分类

从下图趋势可见，涉及信息安全和越权访问的物联网漏洞个数大幅度上升，这与智能设备的广泛使用密不可分。

图11 物联网漏洞增长趋势

在当前的趋势下，我们紧急呼吁物联网领域应加快安全标准的出台、强制性安全规范的推行，及早构建“安全的物联网”生态。

5.网络犯罪成网络空间安全最大挑战

近年来，随着信息技术的普及，人们的社会生活已经与计算机网络紧密结合在一起，如同现实物理空间一样，网络空间中也充斥着各种各样的网络犯罪，如网络传销、网络非法集资、网络洗钱，其中影响较大的是涉网经济犯罪类型。此类犯罪行为主要发生在网络空间，隐蔽性强，难以取证，利用传统的侦察方式需要耗费大量的人力来完成线索收集排查、证据收集固定的工作，需要积极转变思路，采用新型的技术手段进行“以网治网”早发现，早治理。

5.1.网络犯罪影响我国社会稳定

据安恒自主研发的《风险型经济犯罪互联网监测研判平台》（以下简称平台）不完全监测统计，截止二〇一七年第三季度，“高新科技类”、“商品加盟类”、“消费返利类”形式的涉网风险型经济犯罪（传销）位居前三：

图12 六大类型涉网涉众风险型经济犯罪（传销）占比图

据不完全监测统计，截止二〇一七年第三季度，广东、浙江、山东等省涉网风险型经济犯罪（传销）疑似目标数在全国靠前，大量影响我国较发达区域的社会稳定。

图13涉网涉众风险型经济犯罪（传销）全国地区分布图（颜色越浅目标数量越多）

5.2.涉网风险型经济犯罪增长迅猛

据监测统计，涉网涉众风险型经济犯罪（传销）在2013年后可疑目标数开始呈指数上涨，特别是在2017年间可疑目标数量剧增，可见近年来风险型经济犯罪（传销）在网络空间内增长迅猛，依靠网络传播发展壮大。

图14 全国涉网涉众风险型经济犯罪（传销）可疑目标历年创办趋势

5.3.“以网治网”应对网络犯罪成为主要措施

监测平台近期协助侦破了最新案例——杭州临安捣毁了一个总部在本地、上线仅3个月的特大网络传销、集资混合型互联网平台犯罪团伙，抓获犯罪嫌疑人9名，涉案金额高达6000余万元。此犯罪团伙已发展会员1500余人，涉及浙江、上海等10余个省市。经监测研判平台线索收集与初步研判，协助相关职能部门对后台数据取证分析后发现，此团伙运营并非使用正常销售模式，而是以销售产品为名，网上注册发展会员，以订单消费+分红的模式，采用购物返利进行非法传销活动，还大肆发布、鼓吹企业即将在国外上市，蛊惑会员认购原始股。

网络空间中的此类犯罪行为具备极高的隐匿性，但是传播速度非常快，影响面不受地理空间限制，依靠传统的侦破手法难于快速治理，因此依靠全网数据获取、大数据分析建模、智能决策研判等技术手段，“以网治网”才能真正实现“预测、预警、预防”，“打早打小”的目标。

6.小结

通过本文的浅析，我们需要深刻了解到当前网络空间安全发展有三大重要趋势：一是安全管理工作仍然是网络安全的基础，缺少对人的约束与管理是大量入侵事件产生的根源；二是整个网络空间的安全建设出现了两极分化，即被重视的区域安全程度越来越高，而被忽视的区域（数量庞大）则停留在10年前的水平，所以加强集约化建设、推进各单位系统上云，以及加强云平台安全建设成为当务之急；三是网络犯罪与现实的社会活动开始密不可分，两者相互影响相互促进，需要采用“以网治网”的新思路应对。