网络与信息安全电子书

第一章 信息安全基础

第一节信息安全基础知识 一、网络信息安全的由来

20世纪，人类在科学技术领域内最大的成就是发明制造了电子计算机。为了不 断提高其性能，扩大计算机的功能和应用范丽，全球科学家和技术人员一直在孜孜不 倦地进行试验和改进。在计算机更新换代的改进过程中，电子化技术、数字技术、通 信技术以及网络技术不断融合和被广泛应用，从而使得以计算机为负载主体的互联 网技术得以突破时空限制而普及全球，并由此开创了一个以电子信息交流为标志的 信息化时代。随着科学技术特别是信息技术和网络技术的飞速发展以及我国信息化 进程的不断推进，各种信息化系统已经成为国家的关键基础设施，它们支持着网络通 信、电子商务、电子政务、电子金融、电子税务、网络教育以及公安、医疗、社会福利保 障等各个方面的应用。相对于传统系统而言，数字化网络的特点使得这些信息系统

的运作方式，在信息采集、储存、数据交换、数据处理、信息传送上都有着根本的区别。 无论是在计算机上的储存、处理和应用，还是在通信网络上交换、传输，信息都可能被 非法授权访问而导致泄密，被篡改破坏而导致不完整，被冒充替换而不被承认，更可 能因为阻塞拦截而无法存取，这些都是网络信息安全上的孜命弱点。 二、网络信息安全的定义

信息安全的概念的出现远远早于计算机的诞生，但计算机的出现，尤其是网络出 现以后，信息安全变得更加复杂，更加“隐形”了。现代信息安全区别于传统意义上 的信息介质安全，是专指电子信息的安全。

安全( Security)并没有统一的定义，这里是指将信息面临的威胁降到（机构可以 接受的）最低限度。同样，信息安全( Information Security)也没有公认和统一的定义。 国内外对于信息安全的概念都比较含糊和笼统，但都强调的一点是：离开信息体系和 具体的信息系统来谈论信息安全是没有意义的。因此人们通常从两个角度来对信息 安全进行定义：一是从具体的信息技术系统来定义，二是从某一个特定信息体系（如 金融信息系统、政务信息系统、商务信息系统等）的角度来定义。从学科和技术的角 ·1． ___ _________________————————————————一 公务员网络与信息安全教程

度来说，信息安全（学）是一门综合性学科，它研究、发展的范围很广，包括信息人员 的安全性、信息管理的安全性、信息设施的安全性、信息本身的保密性、信息传输的完 整性、信息的不可否认性、信息的可控性、信息的可用性等。确保信息系统按照预期 运行且不做任何多余的事情，系统所提供的信息机密性可以得到适度的保护，系统、 数据和软件的完整性得到维护和统一，以防任何可能影响任务完成的非计划的任务 中断。综合起来说，就是要保障电子信息的“有效性”。随着计算机应用范围的逐渐 扩大以及信息内涵的不断丰富，信息安全涉及的领域和内涵也越来越广。信息安全 不仅是保证信息的机密性、完整性、可用性、可控性和可靠性，并且从主机的安全技术 发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全。目前，涉 及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面。 因此在不会产生歧义时，常将计算机网络信息系统安全简称为网络信息安全。一切 影响计算机网络安全的因素和保障计算机网络安全的措施都是计算机网络安全的研 究内容。信息安金是指信息在产生、传输、处理和储存过程中不被泄漏或破坏'确保 信息的可用性、保密性、完整性和不可否认性，并保证信息系统的可靠性和可控性。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重 要问题，其重要性，正随着全球信息化步伐的加快越来越重要。在社会经济领域中'

主要是党政机关的网络安全问题，它关系到我国的政治稳定和国计民生；国家经济领 域内的网络安全问题，它对国家经济持续稳定发展起着决定作用；国防和军队网络安 全问题，关系到国家安全和主权完整。在技术领域中，网络安全包括实体安全，用来 保证硬件和软件本身的安全；运行安全，用来保证计算机能在良好的环境里持续工 作；信息安全，用来保障信息不会被非法阅读、修改和泄露。因此，网络信息安全是一 门交叉科学，涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数 学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其 系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连 续可靠正常地运行，网络服务不中断。 三、网络信息安全的属性

网络信息安全的基本属性有信息的完整性、可用性、机密性、可控性、可靠性相不 可否认性。 1．完整性

完整性是指信息在存储、传输和提取的过程中保持不被修改、不被破坏、不被插 入、不延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为，通过信息摘 要算法来检验信息是否被篡改。完整性是数据未经授权不能进行改变的特性，其目 的是保证信息系统上的数据处于一种完整和未损的状态。 第一章信息安全基础 2．可用性

信息可用性指的是信息可被合法用户访问并能按要求顺序使用的特性，即在需 要时就可取用所需的信息。可用性是信息资源服务功能和性能可靠性的度量，是对 信息系统总体可靠性的要求。目前要保证系统和网络能提供正常的服务，除了备份 和冗余配置外，没有特别有效的方法。 3机密性

信息机密性又称为信息保密性，是指信息不泄漏给非授权的个人和实体，或供其 使用的特性。信息机密性针对信息被允许访问对象的多少而不同。所有人员都可以 访问的信息为公用信息，需要限制访问的信息一般为敏感信息或秘密，秘密可以根据 信息的重要性或保密要求分为不同的密级，如国家根据秘密泄露对国家经济、安全利 益产生的影响（后果）不同，将国家秘密分为A（秘密级）、B（机密级）和C（绝密级） 三个等级。秘密是不能泄漏给非授权用户、不被非法利用的，非授权用户就算得到信 息也无法知晓信息的内容。机密性通常通过访问控制阻止非授权用户获得机密信 息，通过加密技术阻止非授权用户获知信息内容。 4．可控性

信息可控性是指可以控制授权范围内的信息流向以及行为方式，对信息的传播 及内容具有控制能力。为保证可控性，通常通过握手协议和认证对用户进行身份鉴 别，通过谤问控制列表等方法来控制用户的访问方式，通过日志记录对用户的所有活 动进行监控、查询和审计。 5．可靠性

可靠性是指信息以用户认可的质量连续服务于用户的特性（包括信息的迅速、 准确和连续地转移等），但也有人认为可靠性就是人们对信息系统而不是对信息本 身的要求。

6不可否认性

不可否认性是指能保证用户无法在事后否认曾对信息进行的生成、签发、接收等 行为，是针对通信各方面信息真实同一性的安全要求。一般用数字签名和公证机制 来保证不可否认性。

四、网络信息安全的特征

网络信息安全具有整体的、动态的、无边界和发展的特征，是一种非传统安全。 信息安全涉及多个领域，是一个系统工程，需要全社会的共同努力和承担责任及义 务；网络信息安全不是静态的，它是相对和动态的，经历了从最初纯粹的物理安全问 题到今天随着信息技术的发展和普及，以及产业基础、用户认识、投入产出而出现的

·3．考虑。

互联网的全球性、快捷性、共享性、全天候性决定了网络信息安全问题的新特征。 信息基础设施本身的脆弱性和攻击手段的不断更新，使网络信息安全领域易攻难守。 网上攻击无论距离还是速度都突破了传统安全的限制，具有多维、多点、多次实施隐 蔽打击的能力。由于网络覆盖全球，因而助长了犯罪分子的破坏能力和有恃无恐的 犯罪心理，给世界带来了更多的不稳定因素。各国的民族文化和道德价值观面临前 所未有的冲击和颠覆，为此付出的巨大经济成本和时间精力难以计算。网络信息安 全问题日益严重，必将给人类发展、国家管理和社会稳定带来巨大盼危害。 第二节研究网络信息安全的必要性 一、互联网的发展和安全挑战 1．Any-to-Any的联网革命

网络的主要功能就是互联和共享。这里的互联不仅仅是指将移动设备、笔记本、 台式机联网，也包括把规模增长的设备互联起来( M2M,Machine to Machine)’这些设 备是人们日常生活中必不可少的，例如取暖炉、汽车或者风扇。网络的发展不仅要将 这些传统观念上认为不需要互联的设备联接起来，还要实现各种设备上的数据共享； 网络也将人和设备联接起来( P2M,People to Machine)，将人和人联接起来(P2P, People to People)a

据估计，现在网络所能连接的一切物理设备已经达到500亿个，这仅仅是可连接 物体总量的1%。预计到2020年，网络连接的物体将达到13 ,311,666 ,640 ,184 ,600 个！联网的物体最终包含所有东西，从智能电话到家用取暖炉，从风力发电机到汽车 ??可以肯定的是，当网络将任何东西都连接起来（any-to-any）的时候，互联网状态 将发展成为。一切的互联网”（Intemet of Everything）：是人(People)、数据（Data）、物 体( Things)和处理(Process)的智能连接。这些元素的含义是： 人( People)：社交网络、人口中心、数字实体； 数据(Data)：万维网(world wide web)，信息； 物体( Things)：物理世界，设备，物体； 处理( Process)：系统，业务流程。 ·d． 第一章信息安全基础 Machine(M2Ml

图1—1 Intemet of Everything

思科( Cisco)公司的未来学家David Evans说：“不久的将来，你的汽车连接到这 个网络中，不过仅仅使联网物体的数量增加了一个，但是却带来数不胜数的变化：你 的汽车将联接上其他汽车、联接上交通灯、联接上4s店、联接上道路停车信号牌、联 接到道路警告标志、联接到家庭，甚至和地面联通??”

在Int。met of Everything中，人、数据、物体和处理的聚合以及增长将使得网络联 接更加相互依赖、更有价值。最终网络将产生新的能力、更丰富的经验，为国家、商业 和个人提供前所未有的经济机会。

在互联网革命性发展带来机遇的同时，也必将创造出新的安全挑战。在Intemet 。fE，。，ything中，连接是最重要的。联接的类型而不是连接的数量在联网的元素中产

生价值，主要是越来越多启用lP的设备，外加全球可用带宽的增加、引入IPv6协议， 导致新联接爆炸式增长。越来越多的联网终端设备将人们拉近，将世界互联，安全风 险随之而来，恶意用户也将有更多的机会利用更多的攻击危害客户、f司络和数据。因 为新的连接会实时产生大量需要保护的数捃，例如企业持续收集、存储和分析的膨胀 增长的大数据。

以思科( Cisco)公司为例说明网络联接的膨胀和对安全的挑战。思科公司全球

拥有70，ooo名员工，自从2010年开始实施“带自己的设备上班”(bring-your-own-de- ，i。。，BYOD)计划以来，见证了公司内部连续两年使用移动设备上网79%的增长率。 “带自己的设备上班”是思科朝着虚拟化企业转变进程的一部分，即花几年的时间让 企业最大化地独立于区域和服务，同时保证企业数据安全。2012年，整个公司网络 增加了11，000台智能手机和平板电脑——平均每月新增1000多台联网设备。到

2012年底，公司内部近60，000部智能手机在使用——包括14，000台ipad，而所有这

些都是员工自带设备( Bring Your Own，BYO)。使用的设备类型增长最快的是苹果

公司生产的ipad。不可思泌的是，iPad在三年前甚至还不存在，三年后却被思科公司 的员工日常使用着，用于私人或工作活动中，雇员同时使用iPad和智能电话。思科 ·5-公务员网络与信息安全教程____

公司员工使用苹果Iphone手机的数量，两年时间增长了三倍接近28，600部。当然 BYOD计划允许使用RIM黑莓手机、谷歌的安卓系统手机以及微软Windows系统手 机。员工自己选择在安全协议下，使用个人设备访问公司数据。例如员工在自己的 设备上检查公司邮件和日历，就要遵守公司的安全策略，接受强制远程刷机、加密和 设置口令。“带自己的设备上班”的目标是将来有一天，员工只用带着自己的设备上 班，在设备上安装思科的身份服务引擎和公司协作软件，包括网络会议中心、web社 交等功能。近期目标是进一步提高对所有员工活动和设备的虚拟化和监控，增强物 理网络和虚拟架构的安全性，同时也提高用户体验。用户体验是IT个性化发展趋势 的核心。如果组织内的雇员还在问“我能否在工作时间使用个人设备？”那么这个组 织的互联网观念远落后于时代。思科员工会说，“我理解保证企业安全的重要性，但 是不要干扰我的用户体验”。因此“一切的互联网”和上网体验带来的安全问题，是 每个组织必须要面对和解决的。 2云计算

云计算是新一代信息技术产业的重要组成部分，是继个人计算机、互联网之后的 第三次信息技术浪潮，将引发信息产韭商业模式的根本性改变。

云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网 络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件， 服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进 行很少的交互。XenSystem，以及在国外已经非常成熟的Intel和IBM，国内的阿里 巴巴云、360云、百度云??各种“云计算”的应用服务范围正日渐扩大，影响力也 无可估量。

据IDC(Intemational Data Corporation)报告，2014年公共云服务市场规模为566 亿美元，到2018年全球公共云计算市场规模约达到1270亿美元，年复合增长率为 23%，这是全球IT市场增长率的6倍。美国预测2018年世界人口将达到76亿，思 科公司预测一半人口将使用个人云空间。个人使用云存储将显著增长，平均每个用 户每月使用800M的流量，这是2013年的5倍。

如何在更宽泛的范围内保证云端应用、设备和客户的安全，这是一个极大的挑

战。碎片化的安全解决方案，例如防火墙，已经不能为在设备、网络和云之间经常化 流动的数据提供安全保障。云计算和虚拟化带来的访问安全问题需要找们重新审视 网络信息安全模式，原有的网络边界安全、旧的访问控制模式都需要改变以适应新的 模型——云计算。

无论有多少安全问题出现，越来越多的组织正在拥抱云而不愿意使用私有数据 中心。云给企业带来的好处多多——节省成本、更好的协作、提高生产力、减少碳排 放。企业将商业数据和业务搬到云端面临的安全问题主要有： 第一章信息安全基础 (1)虚拟机管理程序。

如果遭到破坏，可能导致该软件创建和运行的虚拟机收到大规模黑客攻击或多 台服务器数据泄漏，因为虚拟化提供这些服务器相同的易于管理和访问的安全措施， 成就了黑客攻击。被攻破的虚拟机管理程序（由“hyperjacking\采取的控制）可以完 全控制服务器。

(2)低准入门槛。

虚拟化降低r使用虚拟私有服务器的准入门槛。和旧的基于硬件的数据中心相 比，犯罪活动也越来越多的使用这种迅速、廉价、易于得到的架构。 (3)虚拟应用与硬件分离。

因为虚拟应用程序和他们使用的硬件分离，所以企业实施传统的安全措施非常 困难。IT服务商让企业根据需要移动资源的成本越来越低。相反，安全服务寻求让 应用资源放在更安全的地方，与不安全的因素隔离。 二、我国网络发展现状

在我国，随着“宽带中国”战略推进实施，互联网升级全面提速，用户规模快速增 长，移动互联网新型应用层出不穷，4G网络正式启动商用，虚拟运营商牌照陆续发 放，网络化和信息化水平显著提高，极大促进传统产业转型升级，带动信息消费稳步 增长。

截至2014年12月，中国网民规模达6,49亿，全年共计新增网民3117万人。互 联网普及率为47. 9%，较2013隼底提升了2.1个百分点。其中中国手机网民规模达 5. 57亿。同时，48. 60/0的中国网民认同我国网络环境比较安全或非常安全；有 54. 5%的中国网民对互联网上信息表示信任；60.0%的中国网民对于在互联网上分 享行为持积极态度；有43. 8%的中国网民表示喜欢在互联网上发表评论；53.1%的 中国网民认为自身比较或非常依赖互联网。截至2014年12月，我国域名总数为

2060万个，其中“．CN\域名总数年增长为2.4%，达到1109万，在中国域名总数中占 比达53.8%；中国网站总数为335万，年增长4.6%；国际出口带宽为4，118，

663 Mbps，年增长20.9%。全国企业使用计算机办公的比例为90.4%，使用互联网的 比例为78.7%，固定宽带使用率为77.4%。同时，开展在线销售、在线采购的比例分 别为24.7 010和22. 8%，利用互联网开展营销推广活动的比例为24. 2%。我国企业互 联网基础设施普及工作已基本完成，在办公中使用计算机的比例基本保持在90%左 右的水平上，互联网的普及率也保持在80%左右，在使用互联网办公的企业中，固定 宽带的接人率也连续多年超过95%。 三、我国网络信息安全观状

我国互联网网络安全状况总体平稳，但是仍然存在较多网络攻击和安全威胁，不 ·7．公务员网络与信息安全教程

仅影响广大网民利益，妨碍行业健康发展，甚至对社会经济和国家安全造成威胁和 挑战。

1．基础信息网络运行总体平稳，域名系统依然是影响安全的薄弱环节

2013年，我国基础网络安全防护水平有较大提升，但仍然发现较多信息系统安 全风险，尤其是域名系统作为互联网运行的关键基础设施，面临安全漏洞和拒绝服务 攻击等多种威胁，是影响网络稳定运行的薄弱环节。基础网络承载的互联网业务类 型日益增多，引发一些安全风险。

基础网络安全防护水平进一步提高。2013年，在工业和信息化部指导下，基础 电信企业高度重视网络安全防护工作，在全网开展网络单元和业务系统的定级备案 调整工作，对3000余个三级及以上网络单元开展符合性评测和风险评估，各企业符 合性评测达标率均在97%以上，与2012年基本持平。在检测中还侧重加大对用户 个人信息保护工作的检查力度，通过对安全隐患的测试和修复，有效降低了通信网络 的安全风险。

基础网络信息系统仍存在较多安全风险。2013年，国家信息安全漏洞共享平台 ( CNVD)向基础电信企业通报漏洞风险事件518起，较2012年增长超过一倍。按漏 洞风险类型分类，其中通用软硬件、信息泄露、权限绕过，SQL注入、弱口令等类型较 多，分别占42.1%、15.3%、12.7 010、12．o%和11. 2%。这些漏洞风险事件涉及的信 息系统达449个，其中基础电信企业省（子）公司所属信息系统占54. 6%，集团公司 所属信息系统占37, 2%。对此，各企业均积极响应，及时进行修复加固处理。但是， 2013年仍发现有部分企业的接人层网络设备被攻击控制，网络单元稳定运行以及用 户数据安全受到威胁，我国基础网络整体防御国家级有组织攻击风险的能力仍较为 薄弱。

域名系统依然是影响互联网稳定运行的薄弱环节。域名解析服务是互联网重要 的基础应用服务，其安全问题直接影响网络的稳定运行。由于域名注册服务机构的 域名管理系统存在漏洞，攻击者能随意篡改域名解析记录，2013年曾发生多起由此 引发的政府部门网站和提供互联网服务的网站域名被劫持的事件，导致用户访问受 到严重影响。此外，域名系统遭受拒绝服务攻击的现象日益严重。2013年8月25 日，黑客为攻击一个以．CN结尾的网游私服网站，对我国．CN顶级域名系统发起大 规模的拒绝服务攻击，导致大量政府网站、新浪微博等重要网站无法访问或访问缓 慢。同年8月，域名注册服务机构爱民网(22．cn)昀域名服务器在一周内连续遭受 数十CbiUs级的拒绝服务攻击，数万个域名受到影响。据CNCERT/CC监测，2013 年针对我国域名系统较大规模的拒绝服务攻击事件日均约有58起。直接针对域名 系统发起攻击，不仅能使目标网站瘫痪，还会导致大量无辜网站受到牵连，从而造成 严重后果。

·8． 第一章信息安全基础

___ ___________________.______——_———_———_——一 __.____.-____-._________．一

对此,CNCERT/CC联合基础电信企业，积极配合政府部门，大力推进虚假源地

址流量整治工作，将我国互联网虚假源地址流量占全部流量的比例控制在1010以内， 有效提高了攻击源追溯能力，为国家．CN域名系统遭受攻击等重大事件查处提供了 有力支撑。但与此同时，监测发现大量来自境外的虚假源地址攻击流量，给事件处置 和攻击追溯带来很大困难。

2013年3月，国际反垃圾邮件组织Spamhaus遭受攻击，攻击峰值达300 Cbit/s， 堪称互联网史上最大流量的拒绝服务攻击。攻击者借助互联网庞大的开放域名僻析 服务器群，利用DNS反射技术发送大量伪造的DNS解析请求，使服务器向目标网站 发送大量长字节应答包，从而对目标网站形成放大约100倍的攻击流量。互联f目上 大量存在的开放递归查询域名服务器，有可能成为黑客实施攻击的“军火库”。

基础信息网络承载的互联网业务频现安全问题。随着基础网络设施不断完善， 其所承载的互联网业务类型日益增多，引入新的安全风险。2013年7周22日，腾讯 微信业务出现故障，全国多地有6000多万用户无法正常使用，用户感知强烈。微信 属于目前较为流行的Orrr(Over The Top)业务模式，通过基础电信企业的网络发展

自己的音视频和数据服务业务，但其安全保障水平和业务承载级别不匹配，一条线路 的故障就能导致多家基础电信企业的用户受到影响。2013年，部分互联网公司的网 站域名在某些地区被劫持，甚至被强行插入广告窗口，某些宽带接人商在小区路由器 上对部分网站进行劫持跳转等事件，严重影响用户体验，损害互联网企业和网民利 益。CNCERT/CC接到上述事件投诉后，及时协调相关单位进行处置。互联f目业务 的不断创新导致安全问题不断演化，如何及时、有效应对，需要互联网服务商和基础 电信企业共同努力。

2．公共互联网治理初见成效，打击黑客地下产业链任当道远

网络设备后门、个人信息泄露等事件频繁出现，表明公共互联网环境仍然存在较 多安全问题。近年来我国境内感染木马僵尸网络主机数量首次—降。据CNCERT/ cc监测,2013年我国境内感染木马僵尸网络的主机为1135万个，控制服务器为16 万个，分别较2012年下降22.5 010和44. 1010，为近5年首次出现T降。这反映出我国

持续开展的木马僵尸网络专项治理行动和日常处置工作已初见成效。2013年，在工 业和信息化部组织开展的防范治理黑客地下产业链专项行动中，CNCERT/CC会同 基础电信企业、域名注册服务机构共开展8次恶意程序专项打击工作，清理木马僵尸 网络控制服务器3.4万余台，受控主机近72万台，重点处理控制规模较大的僵尸网 络1455个，切断了黑客对375万余台感染主机的控制，有力地净化公共互联网环境。 虽然我国境内感染的主机数量总体有所下降，但感染远程控制类木马的主机数量较 2012年小幅上涨4.4%，这类木马能对用户主机实施远程控制、窃取重要文件和敏感信

息或发起网络攻击，具有极大的危害性。分析发现D-UNK等众多网络设备存在后门。 ·9．公务员网络与信息安全教程——

2013年，CNVD共收录各类安全漏洞7854个，其中高危漏洞2607个，分别较 2012年增长15. 1%和6.8%。涉及通信网络设备的软硬件漏洞数量为505个，较 2012年增长1.5倍，占CN VD收录漏洞总数的比例由2012年的2-9%增长至

6.4%。同时，CNVD分析验证D-LINK、Cisco、Linksys、Netgear、Tenda等多家厂商的路 由器产品存在后门，黑客可由此直接控制路由器，进一步发起DNS劫持、信息窃取、 网络钓鱼等攻击，直接威胁用户网上交易和数据存储安全，使得相关产品变成随时可 被引爆的安全“地雷”。以D-LINK部分路由器产品为例，攻击者利用后门可取得路 由器的完全控制权，CNVD分析发现受该后门影响的D-LINK路由器在互联网上对应 的lP地址至少有1.2万个，影响大量用户。CNVD及时向相关厂商通报威胁情况， 向公众发布预警信息。但截至2014年1月底，仍有部分厂商尚未提供安全解决方案 或升级补丁。路由器等网络设备作为网络公共出口，往往不引入注意，但其安全不仅 影响网络正常运行，而且可能导致企业和个人信息泄露。

个人信息泄露问题挑战现有社会倍任机制。云计算、移动互联网、社交网络等互 联网新技术新业务正在改变个人信息的收集和使用方式，个人信息的可控性逐步削 弱，姓名、住址、电话、身份证号、消费记录等重要生活信息越来越多地出现网络泄露 问题。

2013年10月，“查开房”网站公开曝光2000万条客户酒店入住信息，据比对，该

信息是往年泄露的，但其中涉及大量个人隐私信息，严重影响公众生活。该事件发生 后,CNCERT/CC立即联系协调美国计算机应急响应组织(US-CERT)和相关域名注 册服务机构对之进行处置，有效阻止了信息进一步泄露和扩散。2013年7月， Ap。。h。Struts2被披露存在远程代码执行高危漏洞，可直接导致服务器被远程控制或 数据被窃取，多家大型电商和互联网企业以及大量政府、金融机构网站受到影响，上 亿用户信息面临严重泄露风险。由于信息管理制度不完善，保险订单、航班订单、网 购订单和快递物流单据等包含的用户个人信息被大量滥用，甚至公开售卖，也是个人 信息泄露的重要原因之一。这些姓名、身份证号、电话等信息的真实性极高，被黑客 广泛用来实施欺诈和社会工程学攻击，给现有社会信任机制带来严重挑战。 3．移动互联网环境有所恶化，生态污染问题亟待鲜决

移动互联网恶意程序数量继续大幅增长，恶意程序的制作、发布、预装、传播等初 步形成一条完整的利益链条，移动互联网生态系统环境呈恶化趋势，亟须加强管理。 针对安卓平台的恶意程序数量呈爆发式增长。

2013年，CNCERT/CC通过自主监测和交换捕获的移动互联网恶意程序样本达 70.3万个，较2012年增长3.3倍，其中针对安卓平台的恶意程序占99. 5%。按照恶 意程序行为属性统计，恶意扣费类数量仍居第一-位，占71.5%，较2012年的39. 80/。 有大幅增路；其次是资费消耗类（占15. 1%）、系统破坏类（占3.2%）和隐私窃取类 第一章信息安全基础

（占3.2%），与用户经济利益密切相关的恶意扣费类和资费消耗类恶意程序占总数 的85%以上，表明黑客在制作恶意程序时带有明显的逐利倾向。按恶意程序的危害 等级分类，高危占1 0%，中危占29. 0%，低危占70，o%。其中，高危恶意程序所占 比例较2012年大幅下降，反映出黑客为降低风险，从制作恶意性明显的木马或病毒 转向制作恶意广告、恶意第三方插件等灰色应用，以达到既逃避监管又获取经济利益 的目的。

手机恶意程序传播渠道多样化。2013年CNCERT/CC监测发现移动互联网恶

意程序传播次数达到1296万余次，移动互联网恶意程序下载链接1207万个，用于传 播移动互联网恶意程序的域名15247个、IP地址60976个，分别是2012年的23倍、 33倍、32倍和11倍。这些域名包括移动应用商店、论坛、网盘、博客等众多类型，其 中仅移动应用商店的数量就超过300家。移动应用商店的审核机制不完善、安全检 测能力差等问题，使得恶意程序得以发布和扩散，仅“安丰市场”就有数千个流行的 移动应用被植入木马程序，下载次数超过200万次。2013年发现某电商出售的行货 手机，被第三方预置隐私窃取类手机病毒，能蒋默上传手机号、IMEI号、联网IP地 址、位置信息、程序列表等，累计感染人数超过200万。移动应用商店、手机经销商等 移动互联网生态系统的上游环节被污染，导致下游用户感染恶意程序的速度加剧。 CNCERT按照工业和信息化部发布的《移动互联网恶意程序监测与处置机制》， 组织开展了8次移动互联网恶意程序治理行动，累计协调应用商店下架恶意应用软 件37507个。2013年，中国反网络病毒联盟( ANVA)建立了“移动互联网应用自律 白名单”机制，组织安全企业和应用商店成立白名单工作组和应用商店自律组，形成 有序的白名单审核流程和执行机制，并公布了首批“移动互联网应用自律白名单”， 以帮助应用商店、移动应用开发人员和广大用户推广或使用安全可信的“白应用”。 4．经济信息安全威胁增加，信息消费面临跨平台风险

互联网与金融行业深度融合，以余额宝、现金宝、理财通等为代表的互联网金融 产品市场火爆，在线经济活动日趋活跃。但与此同时，钓鱼攻击呈现跨平台发展趋 势，在线交易系统防护稍有不慎即可能引发连锁效应，影响金融安全和信息消费，跨

平台钓鱼攻击出现并呈增长趋势。

2013年，在传统互联网的钓鱼网站之外，黑客还结合移动互联网，利用傍冒移动 应用、移动互联网恶意程序、伪基站等多种手段，实施跨平台的钓鱼欺诈攻击，危害用 户经济利益。2013年，黑客利用安卓系统的“签名验证绕过”高危漏洞，制作散播大 量仿冒国内主流银行等金融机构的移动应用，诱导用户安装，盗取用户银行账户信 息：一些钓鱼网站在盗取用户银行账号和密码等信息时，还大量传播仿冒相应手机 银行安全插件的恶意程序，劫持用户收到的短信验证码，从而使黑客进一步完成网银 支付、转账等交易操作，牟取经济利益。此外，2013年利用伪基站进行欺诈的活动呈 ·11．

-- J -公务员网络与信息安全教程——

爆发趋势，一类是仿冒金融机构官方服务号码向周围用户发送钓鱼短信，致使一些大 型银行被迫调整部分手机银行业务；另一类是冒充基础电信企业客服电话或手机充 值号码联系用户，实施充值诈骗。此类事件不仅严重破坏企业形象，也对相关行业的 健康发展造成不良影响。

钓鱼网站数量继续迅速增长,2013年监测发现针对我国银行等境内9月站的钓鱼 页面30199个，涉及lP地址4240个，分别较2012年增长35。4%和64. 60/0。 CNCERT/CC全年接收到网络钓鱼类事件举报10578起，处置事件10211起，分别较 2012年增长11.8%和55.3%，为广大网民挽回数亿元损失。

在线交易系统安全问题易引发连锁效应。互联网金融市场火爆，互联网和移动 通信技术降低了使用门槛，在带来便利的同时也产生了新的安全风险。2013年12 月，支付宝钱包客户端iOS版被披露存在手势密码漏洞，连续输错5次手势密码后可 导致密码失效，使得攻击者可以任意进入手机支付宝账户，免密码进行小额支付。此 后淘宝网被披露存在认证漏洞，可登录任意淘宝账户，给用户资金安全造成威胁。此 类互联网公司通过所运营的在线交易信息系统，掌捏大量用户资金、真实身份、经济 状况、消费习惯等信息，系统出现安全问题后，风险随之传导至关联的银行、证券、电 商等其他行业，产生连锁反应。2013年，CNCERT/CC监测发现银行、证券等行业联 网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500起，存在交易 信息被篡改、投资信息被泄露等诸多高危风险。此外，银行信息系统本身的故障可能 对经济活动造成影响。2013年，国内两家主流银行的信息系统先后出现全国性，（面 积故障，导致柜面、ATM、网银、电话语音系统等瘫痪，相关业务受到严重影响。 5．政府网站面临威胁依然严重，地方政府网站成为“重灾区”

政府网站因其公信力高、影响力大，容易成为黑客攻击目标。我国政府网站被篡 改和植入后门的情况严重，相对部委网站而言，地方政府网站是遭受攻击的“重灾 区”，影响政府形象及电子政务工作。地方政府网站是黑客攻击的“重灾区”。据 CNCERT/CC监测，2013年，我国境内被篡改网站数量为24034个，较2012年增长 46.7%，其中政府网站被篡改数量为2430个，较2012年增长34.9%；我国境内被植 入后门的网站数量为76160个，较2012年增长45. 6%，萁中政府网站2425个，较 2012年下降19. 6%。在被篡改和植入后门的政府网站中，超过90%是省市级以下 的地方政府网站，超过75%的篡改方式是在网站首页植入广告黑链。

由于地方政府网站存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金 投入不足等问题，其网站服务器成为黑客控制的资源节点。2013年，CNCERT/CC共通

报和处置超过1600起涉及政府部门的网站漏洞事件。一些部门收到CNCERT/CC预 警通报后置之不理，导致安全威胁长期存在；另一些部门则只针对安全事件简单清

除，未对网站进行详细检测和加固处理，导致反复多次遭受攻击。相对于地方政府网 ·12．

第一章信息安全基础

站，国务院部委门户网站安全状况较好，未监测发现网页篡改和网站后门事件，不过 部分子站和业务系统仍然存在较多安全漏洞和风险点，可能成为黑客进一步实施攻 击的跳板。

境外黑客组织频繁攻击我国政府网站。2013年，境外“匿名者”、“阿尔及利亚黑 客”等多个黑客组织曾对我国政府网站发起攻击。其中，“反共黑客”组织较为活跃， 持续发起针对我国境内党政机关、高校、企事业单位以及知名社会组织网站的攻击， 2013年该组织对我国境内120余个政府网站实施篡改。据监测，该组织利用网站漏 洞预先植入后门，对网站实施控制后遂发起攻击，目前至少入侵600余个境内网站， 并平均每三天在其社交网站发布一起篡改事件。另有“匿名者”、“阿尔及利亚黑客” 等组织先后篡改我国187个政府网站。此外，还出现黑客为报复国家出台的政策，对 我国政府网站实施攻击的新苗头。2013年12月19日下午，继央行明确宣布不认可 比特币，要求国内第三方支付机构停止为比特币交易平台提供充值和支付服务之后， 央行官方网站和新浪官方微博遭到黑客网络攻击，出现间歇性访问困难和大量异常 评论。

6．国家级有组织攻击频发，我国面临大量境外地址攻击威胁

国家级有纽织网络攻击行为给国家关键基础设施和重要信息系统带来严重威胁 和挑战。据CNCERT/CC监测，我国面临大量来自境外地址的网站后门、网络钓鱼、 木马和僵尸网络等攻击，具有国家背景的有组织攻击频发。

2013年6月以来，斯诺登曝光“棱镜计划”等多项美国家安全局网络监控项目， 披露美国情报机构对多个国家和民众长期实施监听和网络渗透攻击，引起国际社会 强烈反响。根据曝光信息，美国投入巨额资金，分别通过互联网、通信网、企业服务器 等多种渠道以及采用网络入侵手段，实施信息监听和收集，监听内容包括互联网元数 据、互联网通信内容、社交网络资料、电话和短信息等多种数据类型，监控对象包括多 国政要、外交系统、媒体网络、大型企业网络和国际组织等。我国属于其重点监听和 攻击目标，国家安全和互联网用户隐私安全面临严重威胁。

2013年，越来越多的有组织高级持续性威胁( APT)攻击事件浮出水面，APT攻 击成为国家间网络对抗的新型有力武器。2013年3月20日，美、韩军事演习期间， 韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击，导致 系统瘫痪，一度引发韩国社会混乱。CNCERT/CC获知消息后，第一时间与韩国计算 机虚急响应组织( KrCERT)联系，并协助调查，及时消除攻击来自中国的误会。迈克 菲公司、卡巴斯基实验室等先后曝光持续多年、具有极强隐蔽性的“特洛伊行动”、 “红色十月”、“Icefog”等一系列APT攻击，曾大量窃取政府部门、科研机构和重点行 业单位的重要敏感信息。我国同样面临严重的APT攻击威胁，一些国家利用信息化 技术优势，大力推动研发计算机病毒武器，破解互联网加密算法，或直接在标准算法

·13·

公务员网络与信息安全教程

中放置后门，持续对我国实施APl'攻击。我国政府机构、基础电信企业、科研院所、 大型商业机构的网络信息系统遭受攻击和渗透入侵。2013年，CNCERT/CC监测发 现我国境内1.5万台主机被APT木马控制，对我国关键基础设施和重要信息系统安 全造成严重威胁。

我国仍面临大量来自境外地址的攻击威胁。2013年，境外有3.1万台主机通过

本文来源：https://www.bwwdw.com/article/58fr.html