互联网已成经济和民生新引擎——中国互联网站发展状况及其安全报告

　　网站安全：经济信息安全威胁渐多 漏洞挖掘利用日趋活跃

　　国家互联网应急中心监测显示，2014年，网页仿冒等经济信息安全相关的威胁数量继续呈大幅增长趋势，体现出攻击者明显的逐利性。政府网站依然是黑客组织攻击的重点目标，但攻击方式有所变化，网页篡改和植入后门攻击数量有所下降，新的攻击方式包括拒绝服务攻击、窃取网站数据、大规模漏洞攻击等。

　　经济信息安全相关威胁数量继续大幅增长 2014年国家互联网应急中心监测发现针对我国境内网站的仿冒页面（URL链接）99409个，较2013年增长2.3倍，涉及IP地址6844个，较2013年增长61.4%，平均每个IP地址承载约14个仿冒页面。国家互联网应急中心全年接收到网页仿冒类事件举报17873起、处置事件17926起，分别较2013年大幅增长69.0%和75.6%。从被仿冒对象来看，针对第三方支付机构的仿冒页面最多。网页仿冒与移动应用的结合日益紧密，2014年出现多起仿冒网银、微信等移动应用（APP）的事件，这些仿冒应用内嵌钓鱼网站，欺骗用户提交银行卡号、有效期、CVV码、身份证号等关键信息，同时还可拦截用户短信，窃取网银交易或支付验证码信息，导致用户资金损失。

　　大量针对我国境内网站的钓鱼站点位于境外 据国家互联网应急中心监测，针对我国境内网站的钓鱼站点（IP地址）有89.4%位于境外，共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面，其中IP地址较2013年增长60.0%，所承载仿冒页面数量较2013年增长2.1倍。在所承载仿冒页面数量中，美国承载了10790个。

　　政府网站被篡改和植入后门数量有所下降 据国家互联网应急中心监测，我国境内被篡改网站的数量为36969个，较2013年大幅增长53.8%，其中政府网站1763个，较2013年下降27.4%。对政府网站实施篡改攻击后，除植入异常页面破坏政府形象或植入暗链进行广告推广以外，还出现了一些植入钓鱼页面的现象。我国境内被植入后门的网站数量为40186个，较2013年下降47.2%，其中政府网站为1529个，较2013年下降36.9%。在受境外攻击方面，2014年1.9万余个境外IP地址通过植入后门对境内3.3万余个网站实施远程控制，境外控制端IP地址和所控制境内网站数量分别较2013年下降37.8%和45.3%。其中，位于美国的4761个IP地址通过植入后门控制了我国境内5580个网站，入侵网站数量居首位。2014年，我国政府网站频繁遭受黑客组织攻击。从攻击方式来看，黑客组织采用较多的仍然是网页篡改和植入后门，但较往年不同的是，2014年还出现针对政府网站的拒绝服务攻击、窃取并公布网站信息等攻击，影响网站正常运行，造成网站信息泄露，对政府网站的攻击方式日趋多样化复杂化。此外，从一些黑客组织公布的信息来看，不仅包括攻击目标的URL链接，还包括网站服务器类型、服务器IP地址等信息，体现出攻击的组织性和计划性。

　　漏洞挖掘和利用研究日趋活跃 近三年来，国家信息安全漏洞共享平台新增收录漏洞数量年均增长率在15%至25%之间，一定程度上体现出当前漏洞挖掘和利用研究处于较活跃状态。2014年，国家信息安全漏洞共享平台收录整理并发布各类安全漏洞9163个，较2013年增长16.7%，平均每月新增收录漏洞763个；其中高危漏洞2394个，占26.1%，可诱发“零日攻击”的漏洞（即披露时厂商未提供补丁）3229个，占35.2%。按漏洞类型统计，以应用程序类漏洞最多，占68.5%，其次是Web应用漏洞和网络设备漏洞，分别占16.1%和6.0%。2014年国家信息安全漏洞共享平台共向政府机构和重要信息系统部门通报漏洞事件9068起，向软硬件厂商通报处置通用漏洞事件714起，分别是2013年的4倍和2倍，一定程度上体现出漏洞研究者对重要单位和通用软硬件安全问题的关注程度日益加强，共享漏洞信息的积极性也日益提高。

　　出现多起涉及基础应用或软件的漏洞事件 2014年“心脏滴血”“破壳”等漏洞先后爆发，由于其所涉及的均为互联网基础应用或协议，应用范围十分广泛，因此漏洞危害级别非常高，影响范围也波及整个互联网。如2014年9月25日，GNU Bash组件被披露存在远程代码执行漏洞，该组件是一个命令解释器，广泛应用于目前所有主流UNIX/Linux操作系统平台以及OpenSSH、Apache、DHCP和其他使用Bash作为解释器的应用。我国直接受到上述漏洞影响的服务器数以万计，影响数万甚至上亿级别用户。此外，2014年4月8日微软公司正式停止对Windows XP系统的支持服务，从4月底至8月中旬的抽样监测统计发现，在我国使用微软系统的用户中，仍有超过一半在使用Windows XP系统，规模庞大，这些用户在未来相当长一段时间内将面临严重的“零日攻击”风险。（注：本报告数据截至2014年底）