中国互联网网络安全报告

中国互联网网络安全报告（2008年上半年）1中国互联网网络安全报告(2008年上半年)国家计算机网络应急技术处理协调中心中国互联网网络安全报告（2008年上半年）2关于中国互联网网络安全报告(2008年上半年)本文档所包含的信息代表国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心；英文简称CNCERT/CC或CNCERT)对截至发布日期之前所讨论问题的当前观点。本文档仅用于提供信息之目的。国家互联网应急中心(CNCERT)对于本文档中的信息不做任何明示、暗示或法定的担保。国家互联网应急中心(CNCERT)无法保证发布日期之后所提供的任何信息的准确性。本文档版权为国家互联网应急中心(CNCERT)所有。非商业目的情况下，转载或引用其中的有关内容，包括数据及图表，请注明出处。遵守所有适用的版权法是用户的责任。如未获得国家互联网应急中心(CNCERT)明确的书面许可，不得以任何形式将本文档的任何部分或全部内容用于商业目的。编者按：谢谢您阅读“中国互联网网络安全报告(2008年上半年)”，如果您发现本报告存在任何问题，请您及时与我们联系，电子邮件地址为：cncert@cert.org.cn。我们对此深表感谢。中国互联网网络安全报告（2008年上半年）3目录1关于国家计算机网络应急技术处理协调中心.......................................................................42网络安全总体状况分析...........................................................................................................53网络安全事件接收与处理情况...............................................................................................63.1事件接收情况...................................................................................................................63.2事件处理情况...................................................................................................................73.3事件处理部分案例介绍...................................................................................................94信息系统安全漏洞公告及处理情况.....................................................................................105互联网业务流量监测分析.....................................................................................................106木马与僵尸网络监测分析.....................................................................................................126.1木马数据分析.................................................................................................................136.2僵尸网络数据分析.........................................................................................................147被篡改网站监测分析.............................................................................................................167.1我国网站被篡改情况.....................................................................................................177.2我国大陆地区政府网站被篡改情况.............................................................................177.3对我国网站实施篡改攻击的主要黑客情况.................................................................188网络仿冒事件情况分析.........................................................................................................209恶意代码捕获及分析情况.....................................................................................................2110国家互联网应急中心(CNCERT)网站信息发布.............................................................2311网络安全应急组织发展情况.............................................................................................2311.1国内应急组织发展情况.................................................................................................2311.2国家互联网应急中心(CNCERT)组织的相关重要活动...............................................2512国际合作与交流.................................................................................................................2713结束语.................................................................................................................................28中国互联网网络安全报告（2008年上半年）41关于国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心；英文简称CNCERT/CC或CNCERT)是在工业和信息化部的直接领导下，负责协调我国各计算机网络安全事件应急小组（CERT）共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网网络安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流的组织。国家互联网应急中心(CNCERT)成立于2000年10月，2002年8月成为国际权威组织“事件响应与安全组织论坛（FIRST）”的正式成员。国家互联网应急中心(CNCERT)参与组织成立了亚太地区的专业组织APCERT，是APCERT的指导委员会委员和副主席单位。国家互联网应急中心(CNCERT)与国外应急小组和其他相关组织建立了互信、畅通的合作渠道，是中国处理网络安全事件的对外窗口。国家互联网应急中心(CNCERT)的主要业务包括：„信息沟通：通过各种信息渠道与合作体系，及时交流获取各种网络安全事件与网络安全技术的相关信息，并通报相关用户或机构；„事件监测：及时发现各类重大网络安全隐患与网络安全事件，向有关部门发出预警信息、提供技术支持；„事件处理：协调国内各应急小组处理公共互联网上的各类重大网络安全事件，同时，作为国际上与中国进行网络安全事件协调处理的主要接口，协调处理来自国内外的网络安全事件投诉；„数据分析：对各类网络安全事件的有关数据进行综合分析，形成权威的数据分析报告；„资源建设：收集整理网络安全漏洞、补丁、攻击防御工具、最新网络安全技术等各种基础信息资源，为各方面的相关工作提供支持；„安全研究：跟踪研究各种网络安全问题和技术，为网络安全防护和应急处理提供基础；„安全培训：提供网络安全应急处理技术以及应急组织建设等方面的培训；„技术咨询：提供网络安全事件处理的各类技术咨询；„国际交流：组织国内计算机网络安全应急组织进行国际合作与交流。国家互联网应急中心(CNCERT)的联系方式：国家计算机网络应急技术处理协调中心CNCERT/CC网址：电邮：cncert@cert.org.cn热线：+861082990999，82991000（英文）传真：+861082990375PGPKey：中国互联网网络安全报告（2008年上半年）52网络安全总体状况分析2008年上半年，我国互联网基础设施和重要信息系统整体上运行基本正常，没有出现造成严重影响或后果的大规模网络安全事件。但是，网络攻击的频次、种类和复杂性均比往年大幅增加，遭入侵和受控计算机数量巨大，潜在威胁和攻击力继续增长，信息数据安全问题日益突出，网络安全形势依旧严峻。国家互联网应急中心(CNCERT)接收和自主监测的各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。其中，垃圾邮件事件和网页恶意代码事件增长较快，网页恶意代码同比增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比增长分别是23.7%和38%，其中涉及国内政府机构和重要信息系统部门的网页篡改事件、涉及国内外商业机构的网络仿冒事件是2008年上半年事件监测和处置的重点。网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。统计显示，2008年上半年我国大陆地区被篡改的.gov.cn网站数量比2007年上半年增加41%，共计2242个，占被篡改网站总数的比例达到7%，而gov.cn域名仅占.cn域名总数的2.3%，这说明.gov.cn网站遭受黑客攻击的可能性相对较高。2008年5月1日，我国颁布施行《政府信息公开条例》，该《条例》的推行对政府信息化建设提出了新的要求，同时也对电子政务信息系统的网络安全提出更高的要求。由于政府网站整体安全水平较低，往往是黑客攻击的重要目标，因此，作为政府对外形象的窗口、发布权威信息和与公众开放交流的平台，电子政务信息系统的网络安全管理是一个需要各级部门高度重视的问题。我国大陆地区感染木马和僵尸网络的主机数量巨大。国家互联网应急中心(CNCERT)的监测数据显示，2008年前5个月监测到的感染木马和僵尸网络的主机数量缓慢波动上涨，但在6月份出现跳跃式增长。这一现象跟国家互联网应急中心(CNCERT)加强监测力度和