第7章 2008年中国网络与信息安全发展情况

7.1 2008年网络安全状况分析

2008年我国公共互联网网络整体运行状况良好，互联网继续保持健康发展态势。随着互联网应用的广泛普及，所承载业务和信息的多样化，互联网在国家政治、经济、文化领域以及社会生活各个方面发挥着愈加重要的作用，已经成为国家、社会、民众交互的重要平台。与此同时，互联网面临的安全威胁也随着互联网及互联网应用的发展而不断演化，呈现日益复杂的局面，网络与信息安全已成为互联网不可避免的问题。

从CNCERT接收和自主监测的网络安全事件情况看，2005—2008年事件总数呈逐年上升趋势。垃圾邮件、网络仿冒、网页篡改、网页恶意代码等事件是网络信息系统及互联网用户面临的最常见的网络安全事件，而由此造成的后果和影响也较为严重，如遭遇网络欺骗或讹诈、感染恶意代码和泄露重要信息等。2008年垃圾邮件事件、病毒蠕虫及木马事件、拒绝服务攻击事件尤为突出，与2007年相比，均呈现较大幅度增长。网络仿冒（钓鱼）事件、网页篡改事件和网页恶意代码事件等仍旧是CNCERT事件处置的重点，特别是涉及政府机构和重要信息系统部门的网页篡改事件和涉及国内外商业机构（如金融机构、电子商务）的网络仿冒事件。

网络信息系统安全漏洞的频发是引发重大网络安全事件，造成大范围影响的主要诱因，是影响网络安全的重要因素。2008年，影响网络基础设施、操作系统、应用软件的漏洞层出不穷，其中不乏一些极具破坏力的高危漏洞。7月公布的DNS可允许欺骗漏洞是互联网关键基础设施—域名解析服务系统近年来罕见的“0 day”漏洞，该漏洞极易引发域名劫持等网络安全事件，并且针对该漏洞出现的Exploit攻击程序在互联网上快速出现并流行，使得安全形势进一步恶化。12月公布的微软IE 7.0漏洞（MS08-078），则让广大用户成为黑客极易攻击得手的目标，在公布漏洞数日内有数以百万计的用户受影响。

与信息系统安全漏洞一样，恶意代码的传播和蔓延也是衡量网络安全状况的重要因素。据CNCERT自主监测结果，2006—2008年，恶意代码捕获次数和恶意代码新样本捕获次数呈不断上升趋势。恶意代码成为黑客推进攻击活动的主要武器弹药，并可通过垃圾邮件、网页挂马、聊天工具和系统漏洞等多种方式传播扩散。恶意代码已经不仅仅是黑客手中的玩具，围绕恶意代码尤其是网络病毒的生产、销售、传播等环节，目前已经形成规模庞大、收益巨大的黑色地下产业链。相关统计数据显示，2008年我国网络安全服务市场规模已经超过80亿元人民币，这也从侧面凸显出各部门为对抗黑色地下产业不得不付出的巨大投入，但从实际效果看，由于缺乏必要的联合一致行动，防护方仍然处在被动和不利的地位。

一次成功的网络攻击，往往意味着一大批新的互联网资源被黑客所控制。这当中，木马和僵尸网络是黑客控制网络资源较常用的技术手段，也是供其发动下一次网络攻击（如拒绝服务攻击）的有效途径。2008年，木马和僵尸网络的监测和管控是CNCERT的工作重点，在奥运会前木马和僵尸网络数量剧增的情况下，CNCERT在工业和信息化部的领导下协调运营商和域名管理机构开展了木马和僵尸网络专项打击活动。从全年月度监测结果看，我国木马和僵尸网络的增长势头在下半年得到了有效的遏制，境内控制端和被控端数目在6月份和7月份后有较大幅度下降，有力地保障了奥运期间互联网安全稳定地运行。同时，2008年木马和僵尸网络控制端和被控端的月度趋势也基本上反映了我国2008年网络安全总体形势的变化情况：下半年网络安全形势有所缓和。

除防范黑客控制系统和主机资源外，网络信息系统特别是网站系统的安全防范是保障互联网安全运行的重要方面。网页恶意代码（俗称网页挂马）可以作为恶意代码传播的主要途径之一；网页篡改则事关网络信息安全的前沿阵地，这两类事件均可作为网络安全状况的风向标。2008年，我国境内网页恶意代码事件和网页篡改事件数量维持2007年的水平，但与2005年、2006年相比仍旧处于较高水平。政府部门网站系统安全形势仍然不容乐观，被篡改政府网站占整个大陆地区被篡改网站的比例远远大于政府网站（.GOV.CN）占.CN网站总数的比例，各级政府部门在信息化服务意识和安全管理意识上仍较薄弱。

总体来看，2008年我国互联网运行态势平稳，但2009年面临的网络安全形势仍旧比较严峻，网络安全威胁不会因为监测、防范和管控力度的加大而势微，网络安全事件将随着互联网及互联网经济的发展更加频繁、复杂，需要以更加谨慎的态度，采取更为有力的措施来应对新的网络安全威胁。

7.2 网络安全事件接收与处理情况

为了能够了解和掌握当前互联网的安全运行状态，CNCERT采用了多种方式来接收公众的网络安全事件报告，如热线电话、传真、电子邮件和网站等。对于其中影响互联网运行安全，涉及政府与重要信息系统部门的网络安全事件，CNCERT协调各省分中心进行及时、有效处理。网络安全事件的接收与处理数量在一定程度上反映了我国互联网网络安全的当前状况，同时也体现出我国及时发现和应急处理安全事件的能力。

7.2.1 事件接收情况

2008年CNCERT接收5167件非扫描类网络安全事件报告，其中国外报告事件为4740件。每月接收非扫描类事件具体数量如图7.1所示，1月，4月，5月和6月均超过了500件。从事件接收情况看，2008年下半年网络安全事件发生情况较上半年有所趋缓。

所报告的网络安全事件主要有：垃圾邮件、网络仿冒和网页恶意代码事件等。根据报告的事件类型统计，如图7.2所示，垃圾邮件事件数量最多，共1849件，占所有接收事件的35.74%，与2007年相比增幅达54.5%；网页恶意代码事件1256件，占24.28%，与去年相比增幅为9.1%；网络仿冒事件的数量达1227件，占23.72%，与去年同比下降9.3%；病毒、蠕虫或木马事件达417件，占8.06%，与去年相比增长20.6%；漏洞事件为335件，占6.48%，与去年基本持平；拒绝服务攻击事件为61件，占到1.18%，比去年增长超过2倍。总体来看，2008年所接收的网络安全事件数量超过去年，而垃圾邮件事件、病毒蠕虫或木马事件、拒绝服务攻击事件尤为突出，呈现较大幅度增长。

网页恶意代码（网页挂马）、垃圾邮件和网络仿冒同时也是近几年来发生最为频繁的网络安全事件，并且2007年和2008年基本保持上升趋势，如图7.3所示。

7.2.2 事件处理情况

2008年CNCERT共成功处理各类网络安全事件1173件，事件类型主要有网络仿冒、网页篡改、网页恶意代码、拒绝服务攻击等，各类事件处理数量，如图7.4所示。

在CNCERT处理的安全事件中，恶意代码网站（网页挂马）事件最多，挂马网站通常是恶意代码传播的源头，所以CNCERT将其列为打击的重点；其次，涉及国内政府机构和重要信息系统部门的网页篡改类事件，以及涉及金融企业、重要商业机构的网络仿冒类事件数量也比较多，如图7.5所示。

CNCERT在中国大陆各省、自治区、直辖市设立了分中心，协助CNCERT国家中心处理各类网络安全事件。2008年各省分中心共参与事件处理527件，各省处理事件数量和比例如图7.6和图7.7所示，其中辽宁、新疆、北京、宁夏和海南处理事件数量居前5位。

7.2.3 事件处理部分案例介绍

1.“机器狗”病毒事件

2008年3月10日，CNCERT捕获到一些恶意代码样本，经研判，这些样本某些特征与“机器狗”病毒特征相符。该病毒可以给用户的计算机下载大量的木马、病毒、恶意软件和插件等。一旦中招，用户的计算机随时可能感染任何木马病毒，这些木马病毒会疯狂地盗用用户的隐私资料（如账号密码、私密文件等），也会破坏操作系统，使用户的机器无法正常运行。该病毒还可以通过内部网络传播、下载U盘病毒和ARP攻击病毒，引发整个网络的计算机全部自动重启。

通过对感染该病毒样本的主机IP进行排查，发现此病毒触发的IP在国内分布呈局部化和分散化的特点，国内感染主机分布于广东、河南、广西、黑龙江和海南等省份。感染病毒的IP基本上同属于一个C类网段，连接地址都是非常近似的，并有不断扩张的趋势。

CNCERT及时启动事件处理流程，将感染“机器狗”病毒的IP地址段下发到各分中心，协调各分中心对感染恶意代码的计算机进行排查，并进行逆向分析，得到木马控制端用户及主机的详细信息。通过对上述主机的定位与分析，CNCERT协调天津、重庆、江苏、海南和吉林各分中心及当地运营商及时进行调查取证，掌握了相关证据后对涉及传播恶意代码的主机及域名进行了处理，并及时通知感染此病毒的互联网用户对主机进行杀毒、加固等清理工作。截止2008年4月1日，通过监测对比发现，病毒感染的势态已经得到有效遏制。

2.利用Flash漏洞的挂马事件

2008年5月27日，网络中出现了利用Flash漏洞的挂马事件。该事件所利用漏洞存在于旧版本的Flash Player（9.0.115及以前的版本）中，如果用户的IE浏览器安装的是旧版本Flash Player插件，那么在播放一些恶意的Flash动画文件时，就会自动下载可执行的恶意文件，随后会主动连接互联网络中指定的服务器，下载其他病毒和木马等恶意程序。CNCERT一方面协调域名注册商对该事件涉及的部分恶意站点的域名进行了暂停域名解析服务的处理，另一方面协调有关分中心对该事件涉及的部分恶意站点的主机进行清除恶意代码的处理。

3.针对国内某银行的拒绝服务攻击事件

2008年6月10日，CNCERT接到国内某银行投诉，称其服务器遭到DDoS攻击。根据银行提供的系统日志信息，CNCERT进行了攻击行为分析，从中提取出攻击次数较多、排名靠前的数个活跃的攻击IP，协调分中心进行定位处理，并要求相关用户加强安全检查，杜绝被利用发起网络攻击。6月11日，银行负责人反馈攻击活动已明显减弱，主要攻击IP已从系统日志中消失。

4.对国内某大型保险公司的网络仿冒事件

9月11日，CNCERT接到国内某大型保险公司关于网络仿冒事件的投诉。投诉称，有不法分子在盗版教材中附加该公司的假冒保险卡，并开设虚假保险注册平台，误导读者在虚假网站上注册盗版保险卡。该网站还假冒该公司的标识，损害了该保险公司的合法利益，严重扰乱了正常的金融秩序，不仅给该公司造成了数百万元的直接经济损失，还误导了广大读者，造成读者发生保险事故后无法获得保险赔偿，社会影响恶劣。同时，该网站还存在侵犯北京奥组委知识产权的行为。

接到投诉后，CNCERT第一时间对事件进行了核实，查明该事件系利用www.****.net.cn域名仿冒www.****.com.cn域名，具有极大隐蔽性，而且网站服务器位于国外，存在故意利用.cn域名进行网络欺诈的企图。鉴于上述情况，为维护我国正常的金融秩序，CNCERT通过已建立的恶意域名处理机制协调相关域名注册商对该域名采取了暂停解析的措施，有效遏制了网络仿冒行为。

7.3 信息系统安全漏洞公告及处理情况

2008年，CNCERT共整理发布与我国用户密切相关的漏洞公告101个，其中向政府和公众发布的关键漏洞预警4个，处理的与漏洞相关的重点事件有：

1.DNS可允许欺骗漏洞

7月份，互联网关键基础设施—DNS系统爆出可允许欺骗漏洞，该漏洞极易引发域名劫持等网络安全事件；并且，互联网上迅速出现和传播针对该漏洞的Exploit攻击程序，造成“0day”攻击态势，也对奥运期间我国互联网的安全可靠运行构成严重威胁。

针对上述情况，CNCERT在7、8月份先后通过网站、电子邮件、传真和公文等多种方式向基础互联网运营企业、中国互联网络信息中心（CNNIC）和社会公众发出多次漏洞通报和紧急公告，提醒各方面重视该漏洞，做好防范措施；同时，CNCERT积极组织对漏洞成因、攻击代码原理、技术应对方案的研究工作。奥运会开幕前，CNCERT召开了漏洞专题研讨会，与来自基础互联网运营企业和中国互联网络信息中心（CNNIC）的技术专家一道，对漏洞进行了深入研究，并提出升级软件，构建DNS池，调整DNS缓存策略等多种技术应对策略，协助相关单位做好奥运网络安全保障工作。

2.IE7.0 XML“0day”漏洞

2008年12月10日，CNCERT接到报告：微软的IE7.0浏览器中存在严重的安全漏洞，当处理带有攻击代码的XML文件时会出现异常错误，并执行攻击者编写的任意代码。攻击者可针对该漏洞编写特定的XML文件，通过网页、聊天工具和电子邮件等媒介引诱IE7用户访问从而实施攻击。受攻击用户将可能被植入木马或其他恶意程序，导致系统被黑客控制，信息被窃取。需要特别注意的是，微软2008年12月9日及以前发布的安全补丁尚不能修补该漏洞。互联网出现了针对该漏洞的“0day”攻击，黑客针对该漏洞编制木马攻击程序，通过网页挂马方式发起攻击。

CNCERT立即采取研判和处置措施，先后于12月10日，11日，18日发布安全公告提醒中国互联网用户加强防范和升级补丁，并根据相关工作机制向政府主管部门、互联网运营商、重要信息系统部门等共计40余个部门发出预警通报；同时，监测发现并处置了大量利用该漏洞实施恶意代码攻击的链接（URL），减少了黑客利用该漏洞攻击我国互联网用户的安全隐患。截止到12月18日，CNCERT共发现或收到涉案恶意域名161个，核实124个；协调互联网域名注册和管理机构及互联网运营商共处置位于我国境内的恶意域名86个，IP主机33个；此外通过监测发现自事发以来，我国共有上千万台计算机访问过带有恶意程序的链接，被植入木马和僵尸网络程序等恶意代码的可能性较大。

7.4 互联网业务流量监测分析

分析互联网流量中的业务种类及其所占流量比例变化，一方面能够为互联网的科学运营管理提供参考，另一方面也有利于把握主流的互联网业务并关注其安全问题。

据CNCERT在2008年对互联网业务流量的抽样统计，在TCP协议中，占用带宽最多的网络应用有4类：Web浏览、P2P下载、电子邮件和即时聊天工具。电子邮件协议使用TCP 25号端口，除正常使用外，利用垃圾邮件传播病毒、蠕虫、木马等恶意代码软件也占用较大的流量。P2P软件（例如eMule、clubox、BitCommet、迅雷等）已成为目前最流行的下载工具，受到大量用户的青睐，占用大量网络带宽；同时，通过P2P工具软件传播捆绑病毒、木马的文件，也已经成为值得注意的一个动向，P2P类型僵尸网络也在逐步发展成僵尸网络控制的重要方式。因此，基础电信运营企业不仅需要重视P2P软件占用带宽的问题，该类软件带来的安全问题也成为今后要注意的问题。另外，利用即时聊天工具（如Windows信使服务MSN和QQ软件）也可以散播带毒文件，也可以用于网络钓鱼和网络诈骗，从而导致重要信息的失泄密问题。

TCP协议流量端口前10位如图7.8和表7.1所示。

当前，UDP协议中最占用带宽的是各类P2P软件下载端口，P2P下载软件如迅雷、eMule和BT等占用较多带宽，使用UDP协议的DNS服务也占有较大流量，占0.74%。除了DNS系统本身经常遭受DDoS和域名劫持攻击外，黑客也经常利用动态域名服务来频繁更换僵尸网络和木马控制点，躲避追踪和处置，今后，各DNS运行机构还需要进一步加强对DNS系统的防护和对解析服务的监测。网络游戏在互联网用户尤其是中年和青少年中较受欢迎，总流量占0.63%，随着游戏产业的发展，网络游戏账号、虚拟货币、虚拟装备成为黑客制造和传播网络病毒进行窃取的重要目标，目前逐渐形成以此类虚拟财富为目标的较为庞大的黑色地下产业链，该产业链具备生产、销售、代理、传播等完整环节。

UDP协议流量端口前10位如图7.9和表7.2所示。

7.5 木马与僵尸网络监测分析

木马和僵尸网络两者都是非常有效的远程监听和控制手段，尤其是在失窃密方面对国家安全造成了严重危害，因此CNCERT对此两类事件进行了重点监测。

7.5.1 木马数据分析

木马特指计算机后门程序，它通常包含控制端和被控制端两部分。被控制端植入受害者计算机，而黑客利用控制端进入受害者的计算机，控制其计算机资源，盗取其个人信息和各种重要数据资料。2008年，CNCERT抽样监测境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端IP地址总数为713974个，被控制端IP地址总数为4146 091个。木马控制端总数较2007年增长了64.7%，被控端总数增长了44.8%。

从图7.10上图中可以看到，2008年位于境外的木马控制服务器增长幅度较大，涨幅为148%，境内木马控制服务器涨幅为36%。如图7.10所示，与2007年相比，2008年境外被控主机数同样呈现大幅增长，涨幅为91.8%，而境内被控主机数则下降了43.2%，其重要原因是CNCERT在奥运前后开展的专项打击取得了效果。

图7.11和图7.12所示为境内外木马被控端和中国大陆地区木马被控端的月度统计，可以看到，虽然2008年下半年境内外木马被控端数目总体比上半年多，但境内木马被控端在6月和7月激增的势头得到了较为明显地抑制，下半年境内木马被控端数目甚至低于上半年。

1.中国大陆地区被木马控制的计算机分布统计

2008年，CNCERT对常见的木马程序活动状况进行了抽样监测，发现我国大陆地区565605个IP地址的主机被植入木马，比去年下降了43.2%。我国大陆地区木马活动分布情况如图7.13所示，木马被控制端最多的地区分别为广东省（10%）、河北省（9%）、北京市（9%）、山东省（8%）和江苏省（7%）。

2.中国大陆地区外木马控制端分布统计

CNCERT同时发现大陆地区外275588个主机地址参与控制我国大陆被植入木马的计算机。控制端IP按国家和地区分布如图7.14所示，其中位于中国台湾（52%）、欧盟（16%）、美国（7%）、中国香港（6%）和韩国（2%）的木马控制端数量居前五位。

3.中国大陆地区木马数据按运营商分布统计

图7.15所示为2008年境内木马控制服务器和木马被控端在各运营商中的分布。其中，电信网内木马控制服务器占63.6%，联通占36.13%，由于移动互联网接入较少，仅占0.26%。电信网内木马被控端占53.93%，联通占45.74%，移动仅占0.33%。在CNCERT监测到的木马控制端中，有相当一部分IP属于动态IP地址或是虚拟主机地址，据此可以判断，终端用户（如拨号上网用户）或虚拟主机托管用户由于安全防护措施较弱，易成为黑客攻击的目标；当黑客攻击成功取得控制权后，其可成为黑客发动新的攻击行为的跳板。

7.5.2 僵尸网络数据分析

CNCERT每天密切关注着新出现的僵尸网络并跟踪过去出现的大规模僵尸网络，2008年抽样监测，境内外僵尸网络控制端总数为7035个，被控制端IP地址总数为3634 266个。僵尸网络数据较2007年有较大幅度下降，其中控制端下降幅度为58.8%，被控端下降幅度为41.7%。

由图7.16可看出，境内僵尸网络的控制端和被控端下降比较明显。其中，境内僵尸网络控制端不到2007年的1/3，而被控端的数目也仅为2007年的1/3。这一情况变化与木马数据有相同之处。由图7.17可以看出，2008年境内外被僵尸网络控制的主机月度变化情况也与木马数据相同，这充分说明，2008年对木马和僵尸网络采取的专项打击取得了显著效果。不过值得注意的是，僵尸网络被控端数目在2008年9月和10月经历了一个低谷后，在11月和12月有所反弹，这也说明相关的打击治理行动有必要常态化。

1.中国大陆地区被僵尸网络控制的计算机分布统计

2008年，CNCERT对境内僵尸网络活动状况进行了抽样监测，发现我国大陆地区1237 043个IP地址的主机感染僵尸网络，比去年下降了65.9%。我国大陆地区被僵尸网络控制的主机IP分布情况如图7.18所示，僵尸网络被控制端最多的地区分别为广东省（31%）、北京市（10%）、上海市（7%）、浙江省（7%）和福建省（5%）。

2.中国大陆地区外僵尸网络控制服务器分布统计

2008年，CNCERT共发现5210个境外控制服务器对我国大陆地区的主机进行控制，比去年下降了49.9%。按国家和地区的分布如图7.19所示，分布前五位分别是：美国占31%、匈牙利占10%、韩国占5%、法国占4%以及德国占4%。

3.中国大陆地区僵尸网络数据按运营商分布统计

图7.20所示为2008年境内僵尸网络控制服务器和僵尸网络被控制端在各运营商中的分布。其中，电信网内僵尸网络控制服务器占境内控制服务器总数的73%，联通占24%，由于移动互联网接入较少，仅占3%。电信网内僵尸网络被控端占56%，联通占43%，移动占1%。僵尸网络数据运营商分布比例与木马数据情况相似。

4.僵尸网络控制服务器使用端口与规模分布

僵尸网络控制端口是指感染僵尸程序的计算机所连接的控制服务器的端口。2008年，CNCERT的Matrix蜜网系统发现并跟踪的僵尸网络中，基于IRC协议的僵尸网络所用控制端口的分布情况如图7.21所示。其中，端口6667，8080和1863等是僵尸网络最常用的控制端口，除6667为常用IRC-Botnet端口外，8080和1863均为日常服务端口。

2008年监测到的僵尸网络按规模分布如图7.22所示，1000以内规模的约占总数的97.7%，僵尸网络的规模总体上继续保持小型化、局部化的趋势，利用僵尸网络从事黑客活动的行为也日趋便利。CNCERT监测到的大型僵尸网络同样具有攻击活跃的特点，且危害性更大。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次，发送垃圾邮件106次，实施信息窃取操作373次。

7.6 被篡改网站监测分析

自2003年CNCERT便开始监测我国大陆网站被篡改情况。通过自主监测等各种手段，每日对中国大陆地区网站被篡改情况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的分中心协助解决，争取被篡改网站快速恢复。

图7.23所示为2003—2008年中国大陆地区网页被篡改数目的年度统计，总体上呈快速增长趋势。

世界各国2008年被篡改网站数量排名如图7.24所示，美国仍旧高居榜首，中国排名第二。

7.6.1 我国网站被篡改情况

2008年，中国大陆被篡改网站的数量比2007年下降了12%，总体上维持了2007年的高位水平。CNCERT监测到的中国大陆被篡改网站总数达到53917个，每月情况如图7.25所示。其中，3月，5月，6月和7月为高发时段，超过5500个。

图7.26所示为大陆地区、中国香港和中国台湾地区被篡改网站数据年度统计，中国香港地区被篡改网站数量为927个，中国台湾为744个。

7.6.2 我国大陆地区政府网站被篡改情况

2008年，中国大陆政府网站被篡改数量，与2007年的3407个相比基本持平，各月累计达3595个，各月数量和所占比例如图7.27所示。经统计，每月被篡改的gov.cn域名网站占整个大陆地区被篡改网站的6.67%，而gov.cn域名网站仅占.cn域名的1.1%，因此政府网站仍然是黑客攻击的重要目标。图7.28所示为2005—2008年.gov.cn域名网站被篡改数量在中国大陆被篡改网站总数中所占比例。

政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。CNCERT监测发现，某省国有资产监督管理委员会网站遭黑客篡改在长达一个月时间内未恢复，政府网站作为行政事务公开和政务信息发布平台，其安全防护意识仍旧比较淡薄。

7.6.3 黑客篡改我国网站活动情况

由表7.3可以看出，国内外黑客（组织）对我国大陆网站进行攻击的活动比较猖獗，2008年排行前20名的黑客篡改网站数量大多数在400个以上。reDMin，sinaritx和roselare等国外黑客篡改数量超过2000个，鉴于黑客活动既有持续性又有一定时间段的间歇性，可以认为，我国大陆网站多数网站尚未能满足基本安全的要求，以至于黑客可以在短时间内攻击成功。

由表7.3攻击者所属国家和地区可知，目前较为活跃的黑客主要来自于土耳其和伊朗等地，这些国家和地区普遍带有宗教背景和民族色彩。

表7.4所示为单日报告篡改我国大陆网站数量的黑客（组织）排行前20名，其中，reDMin于2008年3月1日报告的数量高达1853个。这也是近年来较为罕见的单日篡改攻击报告数目。

7.7 网络仿冒事件情况分析

2008年，CNCERT共接到网络仿冒事件报告1227件，成功处理了320件。被仿冒的网站大都是国外的著名金融交易机构。表7.5列出了前5名的被仿冒网站，表7.6列出的是网络仿冒事件报告来源的前5名。

7.8 国际交流与合作

1.APEC-TEL37次会议在东京召开CNCERT主持反僵尸网络研讨会

APEC-TEL37次会议于2008年3月23日至28日在日本东京召开，CNCERT派出5人与国内其他单位人员共12人参加了本次会议。CNCERT参会人员作为安全工作组代表出席了全会和SPSG工作组会议。会议期间，由CNCERT承办的僵尸网络应对技术研讨会在SPSG分会场成功召开。会议议题围绕“僵尸网络技术现状和发展趋势”、“反僵尸网络的技术对策”、“反僵尸网络的管理对策”以及“反僵尸网络工作的最佳实践”等展开。

CNCERT于2007年3月在APEC-TEL35次会议上申请了“僵尸网络的治理策略和技术手段指南”项目，在本次会议上，CNCERT对该项目的工作进展情况进行了汇报。僵尸网络问题引起了会议较为广泛的关注，各方对项目最终的输出成果寄予了较高的期待。同时，CNCERT呼吁APEC-TEL应致力于鼓励各经济体成员加强各自反僵尸网络的能力建设，并推进在全球范围的广泛协作。

2.CNCERT受邀参加2008年东盟网络安全应急演练

随着Web应用的不断发展，针对Web的攻击越来越频繁和复杂，对用户造成的损失也越来越大，为了有效解决针对这一类网络安全事件跨境攻击的处置效率，东盟（ASEAN）于2008年7月30日举行了第三次网络安全应急演练（ACID Ⅲ），主要目的是进一步加强各应急组织在Web攻击事件方面的研究、处理、协调和配合。继ACID Ⅱ之后，中国作为东盟的对话伙伴国再次受到邀请，国家互联网应急中心（CNCERT）代表中国参与了本次演练。参与本次演练的应急组织共14个，分别来自11个国家和地区（中国、新加坡、文莱、马来西亚、缅甸、泰国、越南、日本、韩国、印度和挪威）。

本次演练采用真实的Web攻击方式，在不同国家和地区设立Web站点，各应急组织根据本地区受到攻击的情况，协调相关国家应急组织进行事件处理。演练期间，各应急组织间及时共享安全信息，互相配合，共同阻断恶意攻击，在各应急组织的共同努力下，演练达到了预期的目的。

本次演练是CNCERT参与的“第一次”采用真实攻击方式的国际网络安全应急演练，增加了演练过程的不确定性，对验证攻击、防御、应急事件处理流程各环节都更加有效，达到了进一步提高各应急组织间网络安全应急事件协调，处理能力的目的。

3.亚太计算机应急联盟组织（APCERT）针对在线地下经济展开年度区域演练

2008年12月4日，亚太计算机应急联盟组织（APCERT）成功完成了2008年度应急演练。此次演习以一次假想的专业网络犯罪集团对亚太经济体的网络攻击来检验APCERT成员组织在亚太区面对网络威胁的应急处理能力，旨在有效减少包括大规模攻击和恶意程序传播在内的网络攻击造成的影响。从事买卖被盗数据、恶意在线服务的地下经济发动这次假想的攻击。地下经济不断壮大，网络犯罪组织日趋组织化，并呈跨国界分布，危害正常经济活动和政治稳定。

本次演练跨越5个时区，从格林尼治标准时间23点至8点，这对各参与成员在面对大规模网络攻击事件时在本地以及国际上的事件处置和应对能力是个挑战。亚太地区14个应急组织参与了本次演练，共来自13个国家和地区（澳大利亚、文莱、中国大陆、中国香港、印度、日本、韩国、马来西亚、新加坡、中国台湾、泰国、斯里兰卡、越南）。此次演练是为了准备、测试、评估各参与成员及其之间的事件响应与处理流程，演练方案由马来西亚MyCERT和澳大利亚AusCERT联合设计并实施。

（国家计算机网络应急技术处理协调中心 云晓春、孙蔚敏、周勇林、王明华、袁春阳、纪玉春、焦绪录、徐娜、徐原、王营康、刘伯超、李佳、何世平、郑礼雄、温森浩、张胜利、赵慧）