绿盟安全事件响应观察网络安全形势分析

前言

报告概述
绿盟科技应急响应团队对 2019 年处理的安全事件进行深入整理与分析，并综合国内外重要安全事 件，编制《 绿盟科技 2019 安全事件响应观察报告》，希望从安全事件的角度分析 2019 年的安全现状， 与安全行业从业者交流发展趋势
，共同探讨网络安全建设的发展方向。2019 年，绿盟科技应急响应团队共处理应急事件 351 起，同比去年增长 4%，发生安全事件
数量排 名前三的区域分别是：北京 80 起， 广东 59 起，上海 31 起。高
图 1.1 2019 年安全事件地区分布图
从行业上看，事件主要分布在金融，运营商
，企业和政府行业，与去年相比金融行业事件数量有所 下降，而运营商行业安全事件数量则明显增加。金融 运营商 企业 政府 能源 教育 卫生 烟草 交通 互联网 其他
2018行业分布 2019行业分布
图 1.2 2019 年安全事件行业分布图
报告认为，经济利益仍然是黑客们投身黑产的主要驱动力，黑链利益链产业化套路升级，黑客们的 技术不断新，勒索、挖矿依然是安全事件的重头戏；安全意识不足（如：弱口令）是安全建设的薄弱 环节，也是黑客入侵主要的突破口；漏洞依旧是安全行业最关注的热门话题。
而安全演练，常态化威胁情报的分析，安全运维中的运维监控、漏洞修复都是防御日益严峻的安全 形势的有效手段。
适用性 此报告适用于政府、运营商、金融、企业等行业客户。 局限性 此报告基于绿盟科技应急响应服务数据，具有一定局限性。

网络安全形势分析

网络安全形势分析 **

国家级安全演练效果明显

2019 年安全事件整体趋势与 2018 年相比变化较大。从月度事件数量分布来看，2018 年呈现平缓 增长趋势；2019 年上半年整体安全事件增长迅速，并在 6月达到全年峰值，占全年安全事件总量 16.8%（是 月平均安全事件的 2 倍）；下半年整体呈下降趋势，与 2018 年同期环比下降 39%。
1 2 3 4 5 6 7 8 9 10 11 12 2017 2018 2019 2天移动平均（2018） 2天移动平均（2019）
图 2.1 近三年安全事件趋势图
从安全事件类型分析，2019 年利用系统漏洞进行攻击和传播的事件如暗链、挖矿、入侵、蠕虫和 勒索主要集中在上半年发生，同样在 6 月达到峰值后迅速下降，到 12 月才稍有回升，而其他类型安全 事件则没有显现出这种规律。
1 2 3 4 5 6 7 8 9 10 11 12 漏洞利用相关事件 其他事件
2天移动平均（漏洞利用相关事件） 2天移动平均（其他事件）
图 2.2 2019 安全事件月度趋势
从安全事件发生原因进一步分析，多数安全事件是由于用户安全意识不足用户或系统漏洞未及 时修复引发。2019 年上半年因为安全意识造成的事件在全年占比 19.09%，利用系统漏洞的事件占 17.09%，而下半年安全意识造成的事件占比下降到 13.68%，利用系统漏洞的事件也下降到 8.26%。
其他
综合利用 安全意识
漏洞利用
8.26% 下半年
上半年 漏洞利用 下半年
安全意识 17.09%
13.68% 上半年
其他 综合利用 4.56% 23.36%
图 2.3 2019 安全事件风险原因分布
通过上述分析发现 2019 下半年的安全事件和往年相比有较大不同，6 月之后安全意识和漏洞利用 相关的事件有明显的下降趋势。结合今年 6 月举办的国家级安全演练的范围和影响面，我们认为：下半 年安全事件数量下降的原因与 2019 举行的国家级安全演练密不可分，可以说 6 月的安全演练起到了安 全漏洞大扫除的作用。安全演练前，各单位对自身资产进行全面资产梳理和脆弱性排查，如下线弃用系 统、扫描隐藏后门、关闭高危端口、及时修复漏洞等，同时注重培养和提升员工安全技能，降低因安全 意识而导致的风险。安全演练期间，进一步加强资产防护与漏洞修复，进一步将安全漏洞一网打尽，这 也成为 2019 年下半年安全事件数量大幅下降的“催化剂”。
国家级安全演练，就是要模拟黑客真实的网络攻击场景，考察政府机构、能源、通信、金融等关键 信息基础设施单位遭受网络攻击的情况下的应急保障及协调能力。
安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度，提高应急处置能力； 还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现应急预案中存 在的问题。这也是对日常安全运维工作中的安全保障成果的一种检验，为后续单位、企业安全建设提供 新的思路与方向。

关键基础设施成为黑客攻击的重点目标

2019 年安全事件当中，金融、运营商、政府、能源、教育、卫生、交通行业占安全事件总体的 82.3%，上述行业涉及的重要信息设施、信息系统，重要互联网应用系统均与国家关键基础设施息息相关。 国家关键信息基础设施是指关系国家安全、国家公共利益的信息设施，包括但不限于提供公共通信、广 播电传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社 会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。一旦数据泄露、遭到破 坏或者丧失功能可能严重危害国家安全、国计民生。
3% 30% 金融 卫生)3% 运营商 交通
4% 政府 企业 能源 互联网
教育 烟草
图 2.4 2019 年安全事件行业类型分布图
2019 年政府行业发生的安全事件占事件总数的 14%，在各行业中排在第三位。发生的安全事件类 型 Top3 为入侵事件（25%）、虚拟挖矿（21%）、勒索软件（20%）。
25% 入侵事件 流量异常 6%
虚拟挖矿 告警排查 6% 勒索软件 业务安全 蠕虫病毒 拒绝服务
10% 黑链暗链 网络劫持
21% 主机异常
图 2.5 2019 年政府发生安全事件类型统计
对近三年安全事件进行观察发现，运营商行业安全事件数量呈上升趋势，且在今年尤为明显。环比 去年增长了 90.6%。运营商行业发生的安全事件主要为虚拟挖矿、入侵事件、勒索软件、蠕虫病毒和业 务安全等，涉及类型广泛。
运营商行业安全事件近三年变化
图 2.6 运营商行业安全事件近三年变化
27% 虚拟挖矿 网络钓鱼 5%
入侵事件 拒绝服务 9% 勒索软件 告警排查 蠕虫病毒 网络劫持
业务安全 黑链暗链
12% 流量异常
图 2.7 2019 年运营商行业事件类型分布图
金融行业因为业务复杂、涉及资产价值较高等原因，向来是黑客攻击的重点。近三年金融行业事件 占比均为第一，17 年占比 23.4%、18 年占比 40%、19 年占比 30%。2019 年金融行业事件中，银行类 占比最多，为 28%。
12% 银行 互金 基金保险
证券 交易所 13% 期货
图 2.8 2019 年金融行业事件细分
能源行业信息系统的安全、稳定运行关乎国计民生。近年来，在享受互联网业务信息化管理带来便 利的同时，面临的网络安全风险也与日俱增。 在 2019 年处理的能源行业安全事件中，电力（包括核电） 占比 63%，石油、燃气各占比 16%。
电力 燃气石油 16% 供热
图 2.9 2019 年能源行业事件细分
关键基础设施关系着国计民生，是经济社会运行的神经中枢，是网络安全建设的重中之重。随着经 济社会对网络的依赖程度不断加深，关键信息基础设施安全防护更加紧迫。网络空间军事化，网络武器 平民化，网络攻击常态化日趋明显，关键信息基础设施已成为网络攻击的主要目标。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范