2011年，在政府相關部門、網際網路服務機構、網路安全企業和網民的共同努力下，中國網際網路網路安全狀況繼續保持平穩狀態，未發生造成大範圍影響的重大網路安全事件，基礎信息網路防護水平明顯提升，政府網站安全事件顯著減少，網路安全事件處置速度明顯加快，但以用戶信息泄露為代表的與網民利益密切相關的事件，引起了公眾對網路安全的廣泛關注。本綜述著重對2011年網際網路安全威脅的一些新特點和趨勢進行了分析和總結。
一、中國網際網路網路安全形勢
（一）基礎網路防護能力明顯提升，但安全隱患不容忽視。根據工信部組織開展的2011年通信網路安全防護檢查情況，基礎電信運營企業的網路安全防護意識和水平較2010年均有所提高，對網路安全防護工作的重視程度進一步加大，網路安全防護管理水平明顯提升，對非傳統安全的防護能力顯著增強，網路安全防護達標率穩步提高，各企業網路安全防護措施總體達標率為98.78%，較2010年的92.25%、2009年的78.61%呈逐年穩步上升趨勢。
但是，基礎電信運營企業的部分網路單元仍存在比較高的風險。據抽查結果顯示，域名解析系統（DNS）、移動通信網和IP承載網的網路單元存在風險的百分比分別為6.8%、17.3%和0.6%。涉及基礎電信運營企業的信息安全漏洞數量較多。據國家信息安全漏洞共享平台（CNVD）收錄的漏洞統計，2011年發現涉及電信運營企業網路設備（如路由器、交換機等）的漏洞203個，其中高危漏洞73個；發現直接面向公眾服務的零日DNS漏洞23個， 套用廣泛的域名解析伺服器軟體Bind9漏洞7個。涉及基礎電信運營企業的攻擊形勢嚴峻。據國家計算機網路應急技術處理協調中心（CNCERT）監測，2011年每天發生的分散式拒絕服務攻擊（DDoS）事件中平均約有7%的事件涉及到基礎電信運營企業的域名系統或服務。2011年7月15日域名註冊服務機構三五互聯DNS伺服器遭受DDoS攻擊，導致其負責解析的大運會官網域名在部分地區無法解析。8月18日晚和19日晚，新疆某運營商DNS伺服器也連續兩次遭到拒絕服務攻擊，造成局部用戶無法正常使用網際網路。
（二）政府網站安全事件顯著減少，網站用戶信息泄漏引發社會高度關注。據CNCERT監測，2011年中國大陸被篡改的政府網站為2807個，比2010年大幅下降39.4%；從CNCERT專門面向國務院部門入口網站的安全監測結果來看，國務院部門入口網站存在低級別安全風險的比例從2010年的60%進一步降低為50%。但從整體來看，2011年網站安全情況有一定惡化趨勢。在CNCERT接收的網路安全事件（不含漏洞）中，網站安全類事件占到61.7%；境內被篡改網站數量為36612個，較2010年增加5.1%；4月-12月被植入網站後門的境區域網路站為12513個。CNVD接收的漏洞中，涉及網站相關的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網站安全問題進一步引發網站用戶信息和數據的安全問題。2011年底，csdn、天涯等網站發生用戶信息泄露事件引起社會廣泛關注，被公開的疑似泄露資料庫26個，涉及帳號、密碼信息2.78億條，嚴重威脅了網際網路用戶的合法權益和網際網路安全。根據調查和研判發現，中國部分網站的用戶信息仍採用明文的方式存儲，相關漏洞修補不及時，安全防護水平較低。
（三）中國遭受境外的網路攻擊持續增多。2011年，CNCERT抽樣監測發現，境外有近4.7萬個IP位址作為木馬或殭屍網路控制伺服器參與控制中國境內主機，雖然其數量較2010年的22.1萬大幅降低，但其控制的境內主機數量卻由2010年的近500萬增加至近890萬，呈現大規模化趨勢。其中位於日本（22.8%）、美國（20.4%）和韓國（7.1%）的控制伺服器IP數量居前三位，美國繼2009年和2010年兩度位居榜首後，2011年其控制伺服器IP數量下降至第二，以9528個IP控制著中國境內近885萬台主機，控制中國境內主機數仍然高居榜首。在網站安全方面，境外黑客對境內1116個網站實施了網頁篡改；境外11851個IP通過植入後門對境內10593個網站實施遠程控制，其中美國有3328個IP（占28.1%）控制著境內3437個網站，位居第一，源於韓國（占8.0%）和奈及利亞（占5.8%）的IP位居第二、三位；仿冒境內銀行網站的伺服器IP有95.8%位於境外，其中美國仍然排名首位——共有481個IP（占72.1%）仿冒了境內2943個銀行網站的站點，中國香港（占17.8%）和韓國（占2.7%）分列二、三位。總體來看，2011年位於美國、日本和韓國的惡意IP位址對中國的威脅最為嚴重。另據工業和信息化部網際網路網路安全信息通報成員單位報送的數據，2011年在中國實施網頁掛馬、網路釣魚等不法行為所利用的惡意域名約有65%在境外註冊。此外，CNCERT在2011年還監測並處理多起境外IP對中國網站和系統的拒絕服務攻擊事件。這些情況表明中國面臨的境外網路攻擊和安全威脅越來越嚴重。
（四）網上銀行面臨的釣魚威脅愈演愈烈。隨著中國網上銀行的蓬勃發展，廣大網銀用戶成為黑客實施網路攻擊的主要目標。2011年初，全國範圍大面積爆發了假冒中國銀行網銀口令卡升級的騙局，據報導此次事件中有客戶損失超過百萬元。據CNCERT監測，2011年針對網銀用戶名和密碼、網銀口令卡的網銀大盜、Zeus等惡意程式較往年更加活躍，3月-12月發現針對中國網銀的釣魚網站域名3841個。CNCERT全年共接收網路釣魚事件舉報5459件，較2010年增長近2.5倍，占總接收事件的35.5%；重點處理網頁釣魚事件1833件，較2010年增長近兩倍。
（五）工業控制系統安全事件呈現增長態勢。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊後，2011年美國伊利諾州一家水廠的工業控制系統遭受黑客入侵導致其水泵被燒毀並停止運作，11月Stuxnet病毒轉變為專門竊取工業控制系統信息的duqu木馬。2011年CNVD收錄了100餘個對中國影響廣泛的工業控制系統軟體安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統製造商的產品。相關企業雖然能夠積極配合CNCERT處置安全漏洞，但在處置過程中部分企業也表現出產品安全開發能力不足的問題。
（六）手機惡意程式現多發態勢。隨著移動網際網路生機勃勃的發展，黑客也將其視為攫取經濟利益的重要目標。2011年CNCERT捕獲移動網際網路惡意程式6249個，較2010年增加超過兩倍。其中，惡意扣費類惡意程式數量最多，為1317個，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平台來看，約有60.7%的惡意程式針對Symbian平台，該比例較2010年有所下降，針對Android平台的惡意程式較2010年大幅增加，有望迅速超過Symbian平台。2011年境內約712萬個上網的智慧型手機曾感染手機惡意程式，嚴重威脅和損害手機用戶的權益。
（七）木馬和殭屍網路活動越發猖獗。2011年，CNCERT全年共發現近890萬餘個境內主機IP位址感染了木馬或殭屍程式，較2010年大幅增加78.5%。其中，感染竊密類木馬的境內主機IP位址為5.6萬餘個，國家、企業以及網民的信息安全面臨嚴重威脅。根據工業和信息化部網際網路網路安全信息通報成員單位報告，2011年截獲的惡意程式樣本數量較2010年增加26.1%，位於較高水平。黑客在瘋狂製造新的惡意程式的同時，也在想方設法逃避監測和打擊，例如，越來越多的黑客採用在境外註冊域名、頻繁更換域名指向IP等手段規避安全機構的監測和處置。
（八）套用軟體漏洞呈現迅猛增長趨勢。2011年，CNVD共收集整理並公開發布信息安全漏洞5547個，較2010年大幅增加60.9%。其中，高危漏洞有2164個，較2010年增加約2.3倍。在所有漏洞中，涉及各種應用程式的最多，占62.6%，涉及各類網站系統的漏洞位居第二，占22.7%，而涉及各種作業系統的漏洞則排到第三位，占8.8%。除發布預警外，CNVD還重點協調處置了大量威脅嚴重的漏洞，涵蓋網站內容管理系統、電子郵件系統、工業控制系統、網路設備、網頁瀏覽器、手機套用軟體等類型以及政務、電信、銀行、民航等重要部門。上述事件暴露了廠商在產品研發階段對安全問題重視不夠，質量控制不嚴格，發生安全事件後應急處置能力薄弱等問題。由於相關產品用戶群體較大，因此一旦某個產品被黑客發現存在漏洞，將導致大量用戶和單位的信息系統面臨威脅。這種規模效應也吸引黑客加強了對軟體和網站漏洞的挖掘和攻擊活動。
（九）DDoS攻擊仍然呈現頻率高、規模大和轉嫁攻擊的特點。2011年，DDoS仍然是影響網際網路安全的主要因素之一，表現出三個特點。一是DDoS攻擊事件發生頻率高，且多採用虛假源IP位址。據CNCERT抽樣監測發現，中國境內日均發生攻擊總流量超過1G的較大規模的DDoS攻擊事件365起。其中，TCP syn flood和UDP FLOOD等常見虛假源IP位址攻擊事件約占70%，對其溯源和處置難度較大。二是在經濟利益驅使下的有組織的DDoS攻擊規模十分巨大，難以防範。例如2011年針對浙江某遊戲網站的攻擊持續了數月，綜合採用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數十個Gbps。三是受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網站都遭受過流量轉嫁攻擊，且這些流量轉嫁事件多數是由遊戲私服網站爭鬥引起。
二、國區域網路絡安全應對措施
（一）相關網際網路主管部門加大網路安全行政監管力度，堅決打擊境區域網路絡攻擊行為。針對工業控制系統安全事件愈發頻繁的情況，工信部在2011年9月專門印發了《關於加強工業控制系統信息安全管理的通知》，對重點領域工業控制系統信息安全管理提出了明確要求。2011年底，工信部印發了《移動網際網路惡意程式監測與處置機制》，開展治理試點，加強能力建設。6月起，工信部組織開展2011年網路安全防護檢查工作，積極將防護工作向域名服務和增值電信領域延伸。另外還組織通信行業開展網路安全實戰演練，指導相關單位妥善處置網路安全應急事件等。公安部門積極開展網路犯罪打擊行動，破獲了2011年12月底CSDN、天涯社區等數據泄漏案等大量網路攻擊案件；國家網路與信息安全信息通報中心積極發揮網路安全信息共享平台作用，有力支撐各部門做好網路安全工作。
（二）通信行業積極行動，採取技術措施淨化公共網路環境。面對木馬和殭屍程式在網上的橫行和肆虐，在工信部的指導下，2011年CNCERT會同基礎電信運營企業、域名從業機構開展14次木馬和殭屍網路專項打擊行動，次數比去年增加近一倍。成功處置境內外5078個規模較大的木馬和殭屍網路控制端和惡意程式傳播源。此外，CNCERT全國各分中心在當地通信管理局的指導下，協調當地基礎電信運營企業分公司合計處置木馬和殭屍網路控制端6.5萬個、受控端93.9萬個。根據監測，在中國網民數和主機數量大幅增加的背景下，控制端數量相對2010年下降4.6%，專項治理工作取得初步成效。
（三）網際網路企業和安全廠商聯合行動，有效開展網路安全行業自律。2011年CNVD收集整理並發布漏洞信息，重點協調國內外知名軟體商處置了53起影響中國政府和重要信息系統部門的高危漏洞。中國反網路病毒聯盟（ANVA）啟動聯盟內惡意代碼共享和分析平台試點工作，聯合20餘家網路安全企業、網際網路企業簽訂遵守《移動網際網路惡意程式描述規範》，規範了移動網際網路惡意代碼樣本的認定命名，促進了對其的分析和處置工作。中國網際網路協會於2011年8月組織包括奇虎360和騰訊公司在內的38個單位簽署了《網際網路終端軟體服務行業自律公約》，該公約提倡公平競爭和禁止軟體排斥，一定程度上規範了終端軟體市場的秩序；在部分網站發生用戶信息泄露事件後，中國網際網路協會立即召開了“網站用戶信息保護研討會”，提出安全防範措施建議。
（四）深化網路安全國際合作，切實推動跨境網路安全事件有效處理。作為中國網際網路網路安全應急體系對外合作視窗，2011年CNCERT積極推動“國際合作夥伴計畫”，已與40個國家、79個組織建立了聯繫機制，全年共協調國外安全組織處理境區域網路絡安全事件1033起，協助境外機構處理跨境事件568起。其中包括針對境內的DDoS攻擊、網路釣魚等網路安全事件，也包括針對境外蘇格蘭皇家銀行網站、德國郵政銀行網站、美國金融機構Wells Fargo網站、希臘國家銀行網站和韓國農協銀行網站等金融機構，加拿大稅務總局網站、韓國政府網站等政府機構的事件。另外CNCERT再次與微軟公司聯手，繼2010年打擊Waledac殭屍網路後，2011年又成功清除了Rustock殭屍網路，積極推動跨境網路安全事件的處理。2011年，CNCERT圓滿完成了與美國東西方研究所（EWI）開展的為期兩年的中美網路安全對話機制反垃圾郵件專題研討，並在英國倫敦和中國大連舉辦的國際會議上正式發布了中文版和英文版的成果報告“抵禦垃圾郵件 建立互信機制”，增進了中美雙方在網路安全問題上的相互了解，為進一步合作打下基礎。
三、2012年值得關注的網路安全熱點問題
隨著中國網際網路新技術、新套用的快速發展，2012年的網路安全形勢將更加複雜，尤其需要重點關注如下幾方面問題：
（一）網站安全面臨的形勢可能更加嚴峻，網站中集中存儲的用戶信息將成為黑客竊取的重點。由於很多社交網站、論壇等網站的安全性差，其中存儲的用戶信息極易被竊取，黑客在得手之後會進一步研究利用所竊取的個人信息，結合社會工程學攻擊網上交易等重要系統，可能導致更嚴重的財產損失。
（二）隨著移動網際網路套用的豐富和3G、wifi網路的快速發展，針對移動網際網路智慧型終端的惡意程式也將繼續增加，智慧型終端將成為黑客攻擊的重點目標。由於Android手機用戶群的快速增長和Android套用平台允許第三方套用發布的特點，運行Android作業系統的智慧型移動終端將成為黑客關注的重點。
（三）隨著中國電子商務的普及，網民的理財習慣正逐步向網上交易轉移，針對網上銀行、證券機構和第三方支付的攻擊將急劇增加。針對金融機構的惡意程式將更加專業化、複雜化，可能集網路釣魚、網銀惡意程式和信息竊取等多種攻擊方式為一體，實施更具威脅的攻擊。
（四）APT 攻擊將更加盛行，網路竊密風險加大。APT攻擊具有極強的隱蔽能力和針對性，傳統的安全防護系統很難防禦。美國等西方已開發國家已將APT攻擊列入國家網路安全防禦戰略的重要環節，2012年APT攻擊將更加系統化和成熟化，針對重要和敏感信息的竊取，有可能成為中國政府、企業等重要部門的嚴重威脅。
（五）隨著2012年ICANN正式啟動新通用頂級域名（gTLD）業務，新增的大量gTLD及其多語言域名資源，將給域名濫用者或欺詐者帶來更大的操作空間。
（六）隨著寬頻中國戰略開始實施，國家下一代網際網路啟動商用試點，以及無線城市的大規模推進和雲計算大範圍投入套用，IPv6網路安全、無線網安全和雲計算系統及數據安全等方面的問題將會越來越多地呈現出來。
四、對策建議
隨著2012年下一代網際網路和寬頻中國戰略的推進，為保障國家網路空間安全，維護網際網路的健康環境，保護網民權益，中國政府主管部門、網際網路企業和網際網路用戶應進一步重視網路安全問題，共同提高網路安全水平。建議政府部門儘快制定出台中國的國家網路安全戰略，為各部門開展網路安全工作指明方向。建議立法和執法部門加大網路犯罪立法、懲治和量刑力度，形成有效震懾。建議網際網路主管部門加大網路安全行政監管力度，增強對網際網路信息和增值業務服務商的管理。建議網際網路相關產品廠商加強對產品安全性的管理和規範，及時發布漏洞補丁和更新版本。建議網站和信息系統強化系統的安全防護，提高網路安全監測和應急處理能力，並加強相關人員隊伍的建設。建議電信運營企業完善網路安全監測和應急體系建設，提高網路攻擊發現和溯源處置能力。建議廣大網民要提高對網路安全威脅的認識及網路安全防護意識，做好漏洞修補和惡意程式查殺等防護措施。