网页篡改方式_国家互联网应急中心：去年捕获了205万个恶意程序

3。网页篡改

2016年，检查发现，国内大约有17000个网址遭到篡改，同比降低了31.7个百分点，其中政府部门网站有467个，同比减少了47.9个百分点。根据网页被篡改的手法分析，有86%的网址中植入了隐蔽链接，这构成了国内网址被篡改的主要途径。从国内网页被篡改的类别分布来看，以以com结尾的商务网站遭攻击次数最多，占全部案例的72.3%，其次是net域名指向的网络服务企业网址，占比为7.3%，还有gov域名代表的官方机构站点，其比例是2.8%。

二、2016年我国互联网网络安全状况

近些年，伴随我国网络安全的法规制度持续健全，我们在网络技术能力、专业人才建设、国际协作等层面收获显著进步。2016年，国内互联网安全态势保持稳定，相关产业迅猛增长，安全防护水平获得增强，与各国在安全领域的合作也更为深入。随着网络空间的重要性持续增强，全球许多国家纷纷构建网络攻击力量，国家间的网络对抗愈发频繁，我国在网络领域所遭遇的安全难题正变得越来越错综复杂。

（一）域名系统安全状况良好，防攻击能力明显上升

二零一六年，国内域名维护网络安稳无虞，未曾出现重大安全状况。根据抽样检测，2016年针对我国域名系统的流量规模达1Gpbs以上的DDoS攻击事件，每天大约有32起，这些攻击均未对我国域名解析服务产生干扰，在基础电信企业方面，也未出现严重影响解析成功率的攻击事件，这主要是因为域名系统普遍增强了安全防护措施，其抗DDoS攻击的能力有了明显提高。二零一六年六月，爆发了波及全球根域名服务器及其镜像的大规模分布式拒绝服务攻击，众多根域名服务器均遭遇不同规模干扰，我国境内承载域名根镜像的服务器也在此期间承受了海量网络冲击。得益于快速响应措施，加之根区顶级域缓存有效期普遍超过二十四小时，此次攻击并未对我国域名系统安全运行构成威胁。

工业控制领域网络威胁持续增长，一些关键工控系统安全事故值得高度关注。

2016年，全球发生的多起工控领域重大事件值得我国警醒。三月，美国纽约鲍曼水坝的一个小型防洪控制系统遭到袭击；八月，卡巴斯基安全实验室披露了针对工控行业的“食尸鬼”网络攻击行动，这项攻击活动主要对中东以及其它国家的工业设施实施精准网络渗透；十二月，乌克兰电网再次遭遇停电事故，经调查认定此次事故由恶意程序“黑暗势力”的一个变体引发。我国工业控制领域系统体量庞大，存在安全风险隐患，例如安全漏洞和恶意探查等行为。到2016年岁末，国家漏洞库总共记录了1036个工业控制漏洞，其中2016年新增173个，同比2015年提升了38.4%。工业控制系统普遍面临缓冲区溢出、缺少访问权限管理、密码强度不足、目录遍历等安全风险。此外，借助网络工业控制设备检测以及工业控制协议数据流分析，2016年总共识别出国内联网工业控制设备2504台，这些设备所使用的协议主要包括SNMP、Fox、FINS等，设备制造商主要为西门子、罗克韦尔、施耐德、欧姆龙等厂商。网络流量检查表明，2016年全年记录到联网工控设备特征识别行为超过88万起，并且查明源自60个海外国家的1610个IP编号针对我国联网工控设备实施了特征识别。

（三）高级持续性威胁常态化，我国面临的攻击威胁尤为严重

到2016年年底，国内公司公布的高级持续性威胁（APT）分析文档一共列出了43个APT团体，其中瞄准我国境内目标实施攻击的APT团体有36个。从攻击执行手法来看，许多APT攻击运用了工业化手段，就是借助商业攻击工具和互联网非法产业数据等现成条件来实施APT攻击。此类攻势使发起高级持续性威胁攻击的技能和物资条件变得更为宽松，同时也使受攻击方在追踪分析攻击来源的过程中面临更大挑战。二零一六年期间，一些针对我国关键信息基础设施发动的APT攻击事件相继公开，诸如“白象行动”、“蔓灵花攻击行动”等，这些行动多将我国的教育、能源、军事及科研机构设定为攻击对象。二零一六年八月，黑客团体“影子经纪人”公布了方程式组织惯用的软件包，里面装有针对不同防火墙的攻击程序、破解工具和自动化脚本，波及飞塔科技、思科系统、天融信科技、华为技术有限公司等公司的设备。对披露的十一个产品缺陷（其中四个疑似零日漏洞）开展全面检查，识别到全球大约有十二万个IP地址运行相关产品的网络装置，国内IP地址约有三万三千个，占全部IP地址的百分之二十七点八，对国家网络空间安全构成重大潜在风险。二零一六年十一月，黑客团体“影子经纪人”再度披露一批曾遭美国国家安全局网络入侵与操控的IP位址及域名资讯，中国承受攻击最为严重，波及国内至少九所高等学府，十二家能源、航空、电信等关键性信息系统单位，以及两个政府部门的信息中心。

众多网络智能设备被恶意程序入侵，构成僵尸网络，这些设备被用来发动高容量的分布式拒绝服务攻击

近些年，智能穿戴产品、家庭智能系统、网络路由终端等设备快速发展和广泛使用，针对物联网智能终端的网络攻击数量持续增加，攻击者借助设备存在的安全缺陷，可能获得设备操控权，也可能用来窃取用户信息资料、操控网络数据流向，参与地下犯罪活动，或者被操控变成大规模网络军团。对车联网系统安全状况实施实时检查评估，识别出部分车联网信息提供商及其产品存在安全隐患，这些隐患可能造成车辆详情、位置数据以及用户资料外泄，或使车辆遭受远程操控等安全威胁。

二零一六年末，由于美国东岸发生大范围网络中断事故，并且德国电信众多用户遭遇网络访问异常状况，Mirai恶意程序因此引起广泛关注。Mirai属于一种常见的恶意代码，它通过利用物联网智能设备的薄弱环节实施入侵渗透，进而达成对设备的管理目的。当受控设备数量累积到特定规模时，便会构成一个庞大的“机器人网络”，这个网络被称为“Mirai机器人网络”。由于物联网智能设备大多全天候保持连接状态，一旦被植入恶意软件，用户很难及时发觉，这就造成了一种难以根除的攻击源头。通过观察Mirai僵尸网络，发现到2016年岁末，已有2526个控制服务器支配了超过125.4万台联网设备，这对网络服务的持续稳定造成了极大的安全隐患。另外，还针对僵尸网络实施了抽样检验和研究，2016年第四季度期间，识别出817个操控服务器，这些服务器支配了42.5万台物联网设备，合计发动了超过1.8万次分布式拒绝服务攻击，在流量峰值超过5Gpbs的攻击事件中，共有72次。

（五）网站数据和个人信息泄露屡见不鲜，“衍生灾害”严重

互联网固有界限已经消融，各类信息散落在终端设备、通信渠道、移动终端以及云端平台，同时网络犯罪集团的利益诱惑，导致信息外泄风险持续攀升，2016年国内外网站资料和个人隐私遭窃事件频现，对政治格局、经济秩序、社会稳定造成逐步扩大化影响，个人的人身安全也面临严峻挑战。海外地区，美国大选参与者希拉里的电子通信资料外泄，立刻波及了美国大选的走向；雅虎平台先后遭遇两次用户资料失窃事件，波及大约十五亿的用户档案，造成美国通信企业威瑞森四千八百亿美元并购雅虎的方案被迫暂停，甚至有被叫停的风险。我国免疫规划网络遭非法攻击，二十万儿童资料遭窃并网络兜售；资料外泄致使精准诈骗事件不断，高考生信息外泄间接致即将入学的女学生徐玉玉离世；二零一六年公安部门侦破个人信息侵权案件超一千八百起，扣押公民各类资料超三十亿条。另外，根据新闻报道，俄罗斯、墨西哥、土耳其、菲律宾、叙利亚、肯尼亚等许多国家政府网站的信息遭到泄露。

（六）移动互联网恶意程序逐利特征愈发显著，移动互联网犯罪链条已经成型

二零一六年，自主捕获与厂商共享，移动互联网恶意程序数量达二百零五万以上，同比增加三成九，连续六年呈现迅猛发展态势。分析恶意程序活动特征可知，以骗取钱财、恶意缴费、强制锁屏等手段谋取经济利益的应用程序数量激增，占所有恶意软件的百分之五十九点六，比二零一五年大幅攀升近两倍。通过分析恶意程序的扩散路径可以看出，那些利用欺骗手段的恶意软件主要借助短信、广告以及网盘这类渠道进行扩散，已经感染了2493万名用户，给经济带来了严重损失。根据恶意程序攻击方式分析，利用短信渠道传播并窃取短信验证码的恶意软件数量比较多，全年共收集到相关类型样本10845份，这类恶意程序制作过程简单，攻击手法固定，盈利效果显著，显示出移动互联网黑色产业生态已经形成得比较完善。

（七）敲诈勒索软件肆虐，严重威胁本地数据和智能设备安全

通过观察得知，2016年针对传统个人电脑，查获的勒索性质恶意软件实例达到近两万份，这个数目是近些年来的顶峰水平。对勒索程序的攻击目标进行考察后发现，勒索软件正逐步从个人设备转向公司用户，尤其是针对重要客户的勒索事件频发。对于公司客户来说，恶意软件借助系统缺陷实施侵害，强行加密公司数据并索要赎金，2016年岁末，一个公共数据仓库遭遇了此类软件的侵袭，众多客户因此蒙受损失。个人终端设备上，敲诈勒索软件的恶意行为在台式电脑和手机平台展现出显著差异：在台式电脑上，主要依靠“文件加码”实施勒索，也就是加密用户电脑里的资料，迫使用户购买解密钥匙；在手机平台上，主要采用“设备加锁”实施勒索，就是远程锁住用户手机，使其无法正常操作，再以此强迫用户缴纳解锁酬金。从勒索软件的扩散途径分析，常规电脑平台与手机设备显现出相似之处，主要借助电子函件、伪装成标准软件、即时通讯群组、在线存储服务、网络论坛以及目标用户进行扩散。

三、2017年值得关注的热点

依据对2016年中国网络空间安全态势特征的研究，展望2017年需要重视的关键领域大致包括这些方面。

（一）网络空间依法治理脉络更为清晰

二零一六年十一月七日，第十二届全国人大常委会第二十四次会议完成对《网络安全法》的审议，并计划在二零一七年六月一日正式生效。这项法规总共包含七章和七十九条条款，详细规定了网络空间的自主权归属，明确了网络产品和服务供应方的安全责任，界定了网络运营者的安全职责，制定了个人信息保护的规范，确立了关键信息基础设施的安全保障措施，以及规范了重要数据在国际间的流动准则。2017年，各单位会加大对于《网络安全法》的宣讲和阐释力度，制定并发布配套性的法规条例，执行各项辅助性举措，网络领域的依法管理走向将更加明朗。

（二）利用物联网智能设备的网络攻击事件将继续增多

二零一六年，国家信息安全漏洞共享平台收录了一千一百一十七个物联网智能设备漏洞，这些漏洞主要存在于网络摄像头、智能路由器、智能家电以及智能网关等设备上。漏洞的种类主要包括权限绕过、信息泄露、命令执行等，其中弱口令（或内置默认口令）这类漏洞特别容易被攻击者利用，其影响范围非常广泛，已经成为恶意代码攻击的重要目标。伴随无人航空器、自动驾驶车辆、智能家用电器的广泛使用和智慧城市的推进，联网智能设备出现缺陷的信息会急剧增多，针对或借助物联网智能设备的网络侵袭活动会变得更为普遍。

（三）互联网与传统产业融合引发的安全威胁更为复杂

当前我国“互联网+”与“中国制造2025”两大计划持续深化实施，众多传统领域、既有应用及服务正经历网络化革新，为各行各业注入创新活力并拓展发展空间。在跨界融合与创新发展阶段，传统产业固有的封闭形态逐步转向开放架构，同时将先前仅在虚拟网络中显现的网络安全问题，转化为现实社会面临的安全挑战。新兴领域借助不同行业的结合迅速扩张，伴随而来的是不可忽视的安全隐患，这些领域混合了数据传输与资本运作，数据层面的风险极有可能导致资本运作受损；工业控制平台正朝着更智能、更网络化的方向发展，网络互通性增强诱发了更多恶意侦测活动，遭受恶意入侵的威胁持续攀升。网络空间安全与现实领域风险相互融合，导致安全风险更加错综，造成的损害也更为巨大。

（四）个人信息和重要数据保护将更受重视

近些年，网络技术的进步给个人生活与工作带来了诸多便利，也增添了丰富性，各种网络服务如在线购物、求职平台、社交网站以及政务系统等，都收集了海量的个人敏感资料。自2011年起，国内因严重个人资料外泄而引发的恶性事件频发，尤其在近年网络诈骗活动中，犯罪分子能够获取受害者详尽的信息，对社会秩序造成了重大破坏。二零一三年，“斯诺登事件”引发后续美国当局广泛监视计划的揭露，促使世界多国提升关键信息保障力度，对网络资料采集、应用、保管等环节实施更严密的管理。我国在《网络安全法》中界定了个人资料维护准则及核心数据跨国流动要求，相信针对个人及核心资料保护的详尽指导性文件即将颁布，确保防护机制有效执行。

（五）网络安全威胁信息共享工作备受各方关注

迅速完整地掌握和分析网络风险，预先开展网络安全防范和制定紧急应对方案，充分展示了该国网络安全的整体防护水平。借助网络风险信息互通，发挥群体的智慧和技术力量，是全面了解网络风险状况的有效方法。美国在1998年克林顿执政期间，已通过一项总统命令，推动政府与公司间进行网络安全的资料互通，到了奥巴马掌权时，更是将网络信息互通纳入了官方法案之中。近些年，国家将网络安全信息互通当作重要任务来抓，相关法律文件对此有详细规定，要求政府单位、关键网络系统管理者，还有科研院所、网络安全服务公司等各方加强信息交流。不过，由于信息来源五花八门，种类繁多，怎样才能快速有效地交换数据并进行分析，就必须制定一套依靠大数据技术的网络安全风险信息互通规范。如今国内众多组织正积极尝试并实践网络安全风险情报的互通，配套的国家及行业规范标准亦在编制进程中，同时已设立网络安全风险情报交流平台，该平台正于通讯领域及安全产业内展开信息交互活动。

（六）有国家背景的网络争端受关注度将继续升温

现阶段，国内网络使用比例已经达到53.2%，人们借助网络获取新闻信息变得越来越迅速便利，公众对全球政治焦点事件的关注度持续提升。二零一六年美国总统大选“电邮门”事件，还有俄罗斯黑客揭露国际反兴奋剂组织的不法行为事件，都令网络用户切实体会到，有计划、有意图的周密网络打击，能够对另一个国家的政治局势造成重大干扰，将涉及国家利益的网络冲突，从专业层面的关注，扩展到了社会大众的视野范围。许多国家持续增强网络战力，相关领域冲突将不断涌现，引发广泛社会关注，舆论热度将持续攀升。

（七）基于人工智能的网络安全技术研究全面铺开

在第三届世界互联网大会的“世界互联网领先科技成果发布活动”上，微软公司、IBM公司、谷歌公司这三家全球知名科技企业，向与会者展示了运用机器学习原理研发的人工智能技术，并且通过这些技术，向人们呈现了人工智能发展前景的积极图景。网络攻击屡见不鲜，手法五花八门，意图也深奥难测，当前网络安全领域专业人才不足，难以有效应对瞬息万变的网络环境，而机器学习在处理数据方面的卓越能力，使得人工智能在网络安全方面被看好，前景广阔。有研究机构的数据显示，2016年"网络安全"和"人工智能"这两个词汇在各类文章中的并现次数显著增加，反映出人们越来越倾向于将二者结合来探讨相关议题。基于网络安全领域积累的海量信息，借助机器学习这类人工智能手段，可以在识别潜在风险、解析网络活动、发布安全警报等环节实现显著突破。

结 语