PDF《(2018 年11-12 月)》

(2018 年11-12 月) 国家计算机网络应急技术处理协调中心

2019 年1月CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 1/

30 目录

一、 引言.

2

二、 监测范围说明.3

三、 云安全性分析.4

(一)DDoS 攻击分析.5

(二)后门攻击分析.7

(三)网页篡改分析.9

(四)木马或僵尸网络受控事件分析

12

四、 云可控性分析.14

(一)发起或参与 DDoS 攻击分析.15

(二)发起后门攻击分析.19

(三)网站放马分析.21

(四)木马或僵尸网络控制事件分析

25

五、 云网络安全态势分析.27 CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 2/

30

一、 引言 近年来,云作为互联网基础设施在我国迅速发展,越来 越多的企业(包括初创企业、小型企业、甚至传统企业以及 党政机关等)和业务场景向云端逐步迁移.在云服务使用过 程中,云服务商和云用户对云的可用性和可靠性关注较多, 但对云的安全性(即避免危害云的网络攻击)和可控性(即 避免利用云发起网络攻击)关注较少. 在本报告中,CNCERT 从安全性和可控性两个方面对

20 家我国主流云服务提供商的境内云网络安全事件进行跟踪 监测,并对境内云网络安全态势进行综合评估分析,帮助云 服务商和云用户及时掌握当前的云网络安全状态,以便采取 相应的安全防护措施. 根据 CNCERT 监测数据,2018 年11-12 月,在安全性方 面,虽然境内云 IP 感染木马或僵尸网络的概率较低,但是 由于云上承载的服务越来越多、越来越重要,在其他攻击上 境内云则成为攻击的重灾区;

在可控性方面,大部分境内云 的可控性差于境内平均水平,由于云服务获得的便捷性和低 成本, 越来越多黑客倾向于利用云主机进行网络攻击. 因此, 云服务商和云用户应加大对网络安全的重视和投入,分工协 作构建网络安全纵深检测防御体系,保障云的安全性和可控 性,共同维护网络空间安全. CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 3/

30

二、 监测范围说明 本报告监测的

20 家我国主流云服务商包括:阿里云、 中国电信、腾讯云、中国联通、世纪互联、亚马逊云、微软 云、华为云、美团云、网宿科技、蓝汛、UCloud、网易云、 京东云、百度云、中国移动、金山云、奇虎

360、首都在线、 鹏博士. 报告监测范围覆盖了

20 家主流云服务商的境内公有云、 私有云和混合云的云服务器、云数据库、云存储、云主机、 CDN(Content Distribution Network,内容分发网络)以及IDC(Internet Data Center,互联网数据中心)使用的 公网 IP,如包括中国电信、中国联通、中国移动各省 IDC 使 用的公网 IP.20 家主流云服务商境外云以及 IDC 使用的公 网IP 不在监测范围内. 本报告监测的

20 家我国主流云服务商的境内云使用的 IP 数2600 余万个,占境内全部 IP 数的 7.7%.其中,阿里 云、 中国电信、 腾讯云使用 IP 数位居前三, 分别占比 46.3%、 17.5%、12.8%,如图 2-1 所示. CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 4/

30 图2-1 云服务商境内云使用 IP 数分布

三、 云安全性分析 本节对危害云的网络攻击事件进行监测和分析,监测事 件包括针对云的DDoS 攻击(Distributed Denial-of-Service attact,分布式拒绝服务攻击) 、后门 攻击、网页篡改、木马或僵尸网络感染等高危事件. 根据 CNCERT 监测数据,2018 年11-12 月,20 家境内云 遭受 DDoS 攻击次数占境内目标被攻击次数的 69.2%;