隐私：公民隐私保护执行摘要 2019 年，全球政治经济秩序系统性挑战增加，在传统战争手段为各类条约所限不敢大肆发挥的情

执行摘要

2019 年，全球政治经济秩序系统性挑战增加，在传统战争手段为各类条约所限不敢大肆发挥的情况下，金融行业和网络安全领域首当其冲，成为新型战争的试水手段甚至将会成为常规手段。《2018 网络安全观察》发布时，整体网络安全态势的特点是漏洞从披露到出现有效攻击的时间间隔缩短， DDoS 攻击规模持续增大，物联网等新型风险激增，后门、挖矿、蠕虫、木马、僵尸肉鸡等恶意软件依然保持着极高的活跃度。仅信息泄露方面，严重的如印度 Aadhaar 泄露涉及 11 亿居民，常见的如 A站受黑客攻击导致近千万条用户数据外泄不时被爆出，信息泄露事件则自 2013 年开始已经连续 6 年突破历史记录了， Facebook、Equifax、英国航空和万豪国际四家企业更是因个人隐私与信息泄露被罚接近 90 亿美元，超过当年我国整个网络安全产业的市场规模。近年来，网络安全的普及得到极大提升，安全事件的关注度已经从吸引从业人员研究，辐射到媒体可以触及的所有区域。勒索软件，DDoS 攻击，物联网失陷等重大网络安全事件，波及各行各业的各类社会经济活动，让 IT领域和安全团队倍感压力。委内瑞拉、乌克兰大停电事件，伊朗导弹发射控制系统遭攻击瘫痪等发生在国家关键基础设施的安全事件，则让全球对网络安全的理解从个人耀、经济利益驱动提升到了国家安全的认识高度，对陆海空天网军事对等五维一体力量体系有了更深的理解。而后续持续发生的俄罗斯断网演习暴露的失陷资产、数亿美元的美国大选网络安全预算在继续刷新观众感官的同时，也在不断诠释“网络空间的安全是关系到国家安全的重要组成部分”这句话。同期，各国针对网络安全领域的应对措施频繁出台。美国从 1993 年的“国家信息基础设施行动计划”和 1995 年“信息战概念”颁发开始，围绕网络空间安全的攻防能力，在二十多年间更新和新增了许多政策法规和条例，比较知名的有《信息作战联合条例》、《爱国者法案》、“信息安全综合行动计划 (CNCI)”、2015 年《国防部网络战略》等，新近的则有 2017 年《国家安全战略报告》、2018 年《国防部网络战略》和 2019 年《国家网络战略》报告，期间各类网络攻防演习从无间断。欧盟继 2018 年 5 月 25 日《通用数据保护条例》(GDPR)正式实施之后，于 2019 年 3 月正式通过《欧盟网络安全法案》，构建通用的网络安全认证框架，同年 4 月北约举办代号为“锁盾”的网络安全实战演习，强化各国在军事领域和民用领域的网络安全合作。我国以 2017 年 6 月 1 日正式实施《中华人民共和国网络安全法》为标志，正式进入了网络空间有法可依的阶段，网络空间安全、关键信息基础设施、网络安全战略、等级保护和个人信息数据保护等成为高频词见诸报端且两年来热度不减。2019 年 4 月 12 日，人民日报整版讨论“抓住信息化发展的历史机遇”，《网络安全等级保护制度 2.0》标准于 2019 年 12 月 1 日开始实施，《中华人民共和国密码法》于 2020 年 1 月 1 日实施，未来还将推出《网络安全等级保护条例》、《关键信息基础设施保护条例》、《数据安全管理办法》等。网络安全领域的一系列高规格全覆盖的动作，让网络安全行业在 2019 年这个所谓的资本寒冬年节成为例外。今年发布的《网络安全观察》与 2018 年相比，增加了宏观态势项；恶意流量观察和恶意软件观察两项在进行内容重组的同时，归并到热点态势，原漏洞观察项和恶意流量观察项的漏洞利用部分合并为漏洞态势，成为热点态势的子项；物联网威胁观察项扩充为前沿洞察态势，涵盖物联网威胁、数据安全、高持续性威胁和 IPv6 环境下的安全威胁四子项。上述改变旨在扩大报告的分析范围，聚焦今年安全态势和热点，更全面观测网络空间安全局势，主动进行安全预测与布局。宏观态势：报告从中美博弈背景下的网络安全战略布局、网络威慑理念的国家级 APT明暗争锋、网络空间内容治理、关键信息基础设施保护和个人信息保护五个方面进行阐述，网络空间安全的治理重点全覆盖、实施全链态势已经形成。热点态势：漏洞的存在是安全事件发生的前提，报告比对了自 2010 年以来的 CVE漏洞数量和 2019 年漏洞类型占比，对高价值的服务器漏洞、脆弱的物联网设备漏洞和常见的应用类漏洞的利用态势进行描述。恶意软件和恶意流量部分主要介绍了勒索、挖矿、移动平台、Web 和 DDoS五个热点门类，其他方面在《Botnet 趋势报告》[^1] 进行介绍。前沿洞察：报告呼应今年宏观态势和热点，对 4 个子项今年来发生的威胁行为、安全事件、攻击热点和政府应对措施进行阐述和分析，提醒读者注意风险的演变，并适应和落实新形势下的安全要求。

重要观点

观点 1：【宏观态势】在中美博弈的大环境下，高级威胁事件频出，网络空间安全治理亟需加强，尤其是关键基础设施的保障。同时，国际多地隐私保护法规已落地运行，国内各项整治工作初见成效，公民隐私保护受到的关注度持续升温。
观点 2：【漏洞】2019 高危漏洞持续增长，物联网相关漏洞利用持续高企；服务器类漏洞中 Web 相关漏洞最受关注，Windows 服务器相关的远程桌面漏洞 CVE-2019-0708 影响广泛。观点 3：【恶意软件】勒索软件和挖矿木马是 2019 年最活跃的两类恶意软件。勒索软件今年的特点包括攻击目标行业广、黑色收入高和产业化程度增强。在挖矿木马中，门罗币挖矿依旧盛行，同时入侵方式增多，具备模块化和隐匿化的特点。观点 4：【恶意流量】2019 年 Web 传统攻击事件频发，反序列化漏洞依然热度不减。无需身份认证的远程代码执行漏洞最受黑客青睐，第三方库的安全性需要引起重视。网站漏洞利用周期进一步缩短，管理员需加强网站安全关注。
观点 5：【恶意流量】DDoS 攻击者的技术成熟度稳步提升，大流量攻击中的混合攻击模式对防护运营提出更大的挑战。DDoS 攻击事件中的“惯犯”危害较大，尤其是活跃的团伙性行为，应持续关注和封堵。物联网设备的 DDoS 攻击参与度逐年提升，IoT 平台的恶意样本家族的攻击占比也在进一步扩大，针对物联网环境的安全治理应持续加大投入。
观点 6：【恶意流量】2019 年的挖矿活动热度与挖矿市场形势呈正相关，门罗币依然是攻击者最为青睐的虚拟数字货币，中小传统企业是挖矿被入侵挖矿的重灾区，其中 3000-3999 之间的端口是挖矿程序最常用的端口范围。另外，网页挖矿依然流行，Alexa 排名前百万网站中存在两千多个挖矿网站。观点 7：【物联网】2019 年，我们共捕获到 30 余种针对物联网漏洞的利用行为，其中以远程命令执行类漏洞居多。物联网设备是 Telnet 弱口令爆破的重点目标，其中摄像头和路由器是重灾区。UPnP 和 WS-Discovery 服务相关的威胁，需要引起安全厂商、服务提供商和运营商等相关机构重视。
观点 8：【数据安全】从数据泄露数量来看，2019 年数据泄露相比往年更加严峻。从立法和执法趋势来看，欧盟 GDPR 进入严格执法阶段，英法等国开出多张巨额罚单。美国重罚 Facebook“剑桥分析隐私泄露案”50 亿美元罚款；我国加快制定多部数据安全相关法规与标准，重点治理“APP 隐私侵权” 等违规行为。数据安全合规性已成为了企业首要考虑的安全问题。
观点 9 ：【APT】 APT组织在入侵阶段仍然以钓鱼邮件为主，移动终端 APT攻击成为常规攻击面。同时，PT组织持续更新其工具集并改进攻击方法，并与其他僵尸网络勾结，僵尸网络会逐渐成为 APT攻击的探路者。
观点 10：【IPv6】全球 IPv6 使用率逐年提升，国内的 IPv6 环境部署和应用改造也在加速发展。 IPv6 相关漏洞呈现快速增长的趋势。这些漏洞触发点除了 IPv6 报文结构中引入的新字段以及新协议，过渡技术所引发的安全问题也值得持续关注。当前 IPv6 环境下的攻击流量主要针对传输层和应用层，热点攻击类型集中在后门、挖矿和木马，Web 相关服务是攻击者的主要攻击对象。

宏观态势

中美战略下大国博弈

美国特朗普政府 2017 年 12 月 18 日发布《国家安全战略报告》1 ，随后 2018 年 9 月 18 日发布《国防部网络战略》2 ， 9 月 20 日又发布《国家网络战略》报告 3，连续 3 个战略，诠释了特朗普政府的“美国优先”的战略，强调“网络威慑”和“以实力促和平”，突出强调网络战的重要性，将“军事和武力” 作用置于外交和国务之前，强调保护美国基础设施来保证美国的持续繁荣，同时强调人工智能（AI）对于经济增长重要性。中国则提出“中国梦”、“中国制造 2025”、“一带一路”战略，巨额投资 5G、人工智能等领域，因此，中美贸易战，封堵华为、中兴，中美博弈也延伸到网络安全领域。中国尝试解决各种卡脖子问题，促进和国产化和安全可信，《密码法》4 的通过成为一个网络空间的标志事件，随着国产化的兴起，软硬件配套下的密码和可信组件，网络安全、信息安全领域都得以快速发展。

暗战： APT“明暗交织”支撑“网络威慑”战略

2019 年国家层面 APT（Advanced Persistent Threat，即高级可持续威胁攻击）事件频出， 3 月委内瑞拉总统马杜罗在社交媒体上发文，指责世界第三大水电站古里水电站被攻击大停电是美国的一场“电力战争”5 。4 月份，伊朗 APT34 和 MuddyWater 被黑吃黑，从工具泄露到全网武器售卖。6 月美国总统特朗普指责《纽约时报》叛国，因为其报道了早在 2012 年就已在俄罗斯电网中植入恶意代码，可随时发起网络攻击。一周后，特朗普授意下利用“宙斯炸弹”的计划（Nitro Zeus），使伊朗的火箭发射系统瘫痪，报复伊朗伊斯兰命卫队在霍尔木兹海峡附近击落一架美制侦察无人机 6 。7 月，伊朗命卫队信息战部队的破坏致了纽约全城大约 4 个小时的停电，而美国声称是故障。10 月，乌克兰部分政府被 amaredon 组织攻击。11 月，印度核电站被朝鲜 APT组织 Lazarus 组织攻击。12 月，越南政府资助的海莲花组织主要以中国政府、科研等重要部门为攻击对象，攻击了宝马、现代等著名车企。中国工程院院士戴浩在 2019CNCERT 中国网络安全年会上指出 1，过去以国家名义发起的网络战鲜有发生，APT攻击属于“暗战”，但近年来为了加强震慑意义，开始出现以国家名义公开宣称发动网络战，网络战开始出现“明暗交织”的情况。

治理：网络空间内容治理成为新挑战

2019 年 7 月，美国联邦贸易委员会（FTC）下令剑桥门事件主角 Facebook 处罚 50 亿美元罚款，导致 Facebook 损失了 3000 亿市值 [^2]。鉴于剑桥门在 2016 年大选中的优秀表现，12 月份，Facebook 声称研发了很多保障“2020 选举安全”的新技术，包括自动化分析，删帖、封号等手段，避免各种定向宣传，也是避免再次出现剑桥门。曾几何时，大数据的不可解释成为大数据公司，滥用隐私数据借口，这次事件后，互联网公平正义则称为新口号。推特（Twitter）投资 XAI，谷歌也投资新的广告算法，避免虚假的选举广告，全力保障 2020“选举安全”. 自从 2016 年，ODNI（美国国家情报主任办公室）发布《针对近期美国大选中俄罗斯活动与意图的评估》报告 [^3] ，直指针对美国大选进行干涉的 APT28 黑客行动就是普京“下令”发动的。APT组织定向进行政治干涉成为新方式，微软等安全厂商也对 APT28 的 C&C进行了跟踪溯源。香港事件后，推特和 Facebook 一边倒的删帖封号行为，更加深了政治意图，诞生一个新词，混合战争，即不使用传统的军事力量，通过舆论等方式进行政治战。网络作为新的战场，战争是政治的延伸。网络空间内容治理成为各国领导层的新挑战。

重器：关键基础设施保护

2018 年 10 月，参议院、国会和总统通过了《网络安全与基础设施安全局 (CISA)法案》(H.R. 3359 号决议 )1 ，CISA 局成立。CISA局专注建设国家级防御体系：国家网络安全保护系统（NCPS，爱因斯坦新一代，增加了大数据分析，具有检测、分析、情报共享、预防 4 大能力），CDM持续诊断和缓解，国家网安全和通信集成中心（NCCIC）等系统。用于防范国家层面基础设施工具。2019 年 3 月，美国国土安全部科技局提出“针对关键信息基础设施决策演练的分布式环境项目”，为美国能源领域用户提供一个可在沉浸式演练环境中练习网络威胁响应的交互平台。 2019 年 4 月 9 日，欧盟理事会通过《网络安全法案》2 ，授权欧盟网络与信息安全局（ENISA）解决欧盟各国网络安全机构协调问题，阻止并处理网络袭击和威胁。7 月 2 日和 3 日，欧盟网络与信息安全局、欧盟委员会和 23 个成员国在巴黎首次举行了 Blue OLEx 2019 欧洲网络危机演戏，以资源合作和信息交换为协作方式，提高欧盟成员国的协作治理能力，共同应对欧盟的网络危机。 2019 年 11 月 3 日俄罗斯《主权互联网法》3 正式生效，要求所有本地网络服务供应商必须通过由电信监管机构管理的特殊服务器来传输流量，并将在“紧急情况”下断开俄罗斯与境外的网络连接，同时在俄罗斯境内重新建立大型局域网。 2016 年，中国国家互联网信息办公室发布《国家网络空间安全战略》4 ，该战略阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务。本战略第三大战略任务就是“保护关键信息基础设施”。 2019 年 5 月 13 日，中国国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度 2.0 标准正式发布，等保 2.0 从法规条例“国务院 147 号令”上升到《网络安全法》的法律层面。定级对象主要包括基础信息网络、信息系统和其他信息系统。其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。等保 2.0 将保护对象转向关键信息基础设施领域。