2015年，隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的深入推進(jìn)和移動(dòng)互聯(lián)網(wǎng)的爆發(fā)式增長(zhǎng)，中國(guó)的網(wǎng)絡(luò)空間與現(xiàn)實(shí)社會(huì)深度融合，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的規(guī)模與復(fù)雜性達(dá)到了新的高度。作為支撐所有網(wǎng)絡(luò)應(yīng)用與服務(wù)的核心，服務(wù)器的安全狀況直接關(guān)系到國(guó)家經(jīng)濟(jì)運(yùn)行、社會(huì)秩序穩(wěn)定與公民個(gè)人信息安全。本報(bào)告旨在全面梳理2015年度中國(guó)互聯(lián)網(wǎng)服務(wù)器面臨的主要安全威脅、攻擊態(tài)勢(shì)、防護(hù)狀況，并對(duì)未來(lái)趨勢(shì)提出展望與建議。

一、 總體安全態(tài)勢(shì)：威脅加劇與防護(hù)升級(jí)并存

2015年，中國(guó)互聯(lián)網(wǎng)服務(wù)器面臨的安全環(huán)境呈現(xiàn)出“威脅總量持續(xù)攀升、攻擊手段快速演進(jìn)、防護(hù)意識(shí)與能力同步提升”的復(fù)雜態(tài)勢(shì)。一方面，服務(wù)器所承載的數(shù)據(jù)價(jià)值日益凸顯，成為黑客組織、網(wǎng)絡(luò)犯罪團(tuán)伙乃至某些高級(jí)持續(xù)性威脅（APT）攻擊的重點(diǎn)目標(biāo)。另一方面，國(guó)家網(wǎng)絡(luò)安全法律法規(guī)逐步完善，企業(yè)安全投入普遍增加，安全防護(hù)技術(shù)不斷迭代，整體防護(hù)水平較往年有所提升。

二、 主要安全威脅分析

1. Web應(yīng)用攻擊高居榜首：SQL注入、跨站腳本（XSS）、遠(yuǎn)程文件包含等傳統(tǒng)Web漏洞利用攻擊依然是針對(duì)服務(wù)器的最主要手段。大量存在漏洞的CMS系統(tǒng)、Web框架及老舊應(yīng)用成為攻擊入口，導(dǎo)致數(shù)據(jù)泄露、網(wǎng)頁(yè)篡改甚至服務(wù)器被完全控制。

1. 分布式拒絕服務(wù)（DDoS）攻擊規(guī)模與頻率創(chuàng)新高：2015年，DDoS攻擊的峰值流量屢破紀(jì)錄，超過(guò)300Gbps的攻擊已不鮮見(jiàn)。攻擊來(lái)源呈現(xiàn)國(guó)際化、僵尸網(wǎng)絡(luò)規(guī)模化趨勢(shì)，攻擊目的也從單純的業(yè)務(wù)癱瘓，擴(kuò)展到敲詐勒索、商業(yè)競(jìng)爭(zhēng)甚至政治目的。金融、游戲、電商等行業(yè)服務(wù)器是重災(zāi)區(qū)。

1. 系統(tǒng)與軟件漏洞威脅嚴(yán)峻：全年披露了多個(gè)影響范圍極廣的高危漏洞，如GHOST漏洞、多個(gè)Java框架及服務(wù)器中間件漏洞。這些漏洞一旦被利用，攻擊者可輕易獲取服務(wù)器權(quán)限。漏洞曝出與補(bǔ)丁發(fā)布之間的“空窗期”是服務(wù)器安全的極大挑戰(zhàn)。

1. 惡意軟件與后門程序潛伏：針對(duì)Linux/Unix服務(wù)器的惡意軟件家族增多，挖礦木馬、勒索軟件開(kāi)始蔓延。攻擊者在入侵后常植入隱蔽的后門程序，以實(shí)現(xiàn)長(zhǎng)期控制、數(shù)據(jù)竊取或作為下一步攻擊的跳板。

1. 弱口令與配置不當(dāng)問(wèn)題普遍：大量服務(wù)器因管理員使用簡(jiǎn)單口令、默認(rèn)口令或服務(wù)配置存在缺陷（如Redis、MongoDB未授權(quán)訪問(wèn)）而直接暴露在互聯(lián)網(wǎng)上，導(dǎo)致“低技術(shù)門檻”入侵事件頻發(fā)。

三、 攻擊來(lái)源與目標(biāo)行業(yè)分布

• 攻擊來(lái)源：既有來(lái)自國(guó)際黑客組織的針對(duì)性攻擊，也有國(guó)內(nèi)黑色產(chǎn)業(yè)鏈驅(qū)動(dòng)的自動(dòng)化掃描與批量攻擊。云計(jì)算資源的濫用使得攻擊源更加分散和難以追溯。
• 重點(diǎn)目標(biāo)行業(yè)：
• 政府部門及事業(yè)單位：網(wǎng)站和服務(wù)系統(tǒng)是信息展示和政務(wù)服務(wù)窗口，常成為網(wǎng)頁(yè)篡改和政治象征性攻擊的目標(biāo)。

• 金融行業(yè)：網(wǎng)上銀行、第三方支付、證券交易等平臺(tái)的服務(wù)器承載海量資金與敏感信息，面臨最精密的APT攻擊和DDoS攻擊。

• 電子商務(wù)與互聯(lián)網(wǎng)服務(wù)：用戶數(shù)據(jù)庫(kù)、交易系統(tǒng)是數(shù)據(jù)竊取和欺詐犯罪的主要目標(biāo)，業(yè)務(wù)連續(xù)性要求使其對(duì)DDoS攻擊尤為脆弱。

• 游戲與娛樂(lè)行業(yè)：私服競(jìng)爭(zhēng)、玩家報(bào)復(fù)、敲詐勒索是其主要攻擊動(dòng)機(jī)，DDoS攻擊尤為頻繁。

四、 互聯(lián)網(wǎng)安全服務(wù)發(fā)展?fàn)顩r

面對(duì)嚴(yán)峻挑戰(zhàn)，以云防護(hù)、安全托管、威脅情報(bào)為核心的專業(yè)互聯(lián)網(wǎng)安全服務(wù)市場(chǎng)在2015年快速發(fā)展：

1. 云安全防護(hù)服務(wù)普及：基于云的DDoS高防、Web應(yīng)用防火墻（WAF）因其彈性、高效和低成本的優(yōu)勢(shì)，被廣大中小企業(yè)及大型互聯(lián)網(wǎng)公司廣泛采用，成為抵御大規(guī)模流量攻擊和常見(jiàn)Web攻擊的首選方案。
2. 安全監(jiān)測(cè)與應(yīng)急響應(yīng)服務(wù)（MDR/SOC）需求增長(zhǎng)：越來(lái)越多的企業(yè)，特別是自身技術(shù)能力不足的單位，開(kāi)始購(gòu)買7x24小時(shí)的安全監(jiān)控、漏洞掃描、入侵檢測(cè)和應(yīng)急響應(yīng)服務(wù)，以實(shí)現(xiàn)風(fēng)險(xiǎn)的早發(fā)現(xiàn)、早處置。
3. 威脅情報(bào)初露頭角：部分領(lǐng)先的安全廠商開(kāi)始提供基于大數(shù)據(jù)分析的威脅情報(bào)服務(wù)，幫助客戶提前感知攻擊趨勢(shì)、定位攻擊源和識(shí)別惡意IP，實(shí)現(xiàn)主動(dòng)防御。
4. 合規(guī)驅(qū)動(dòng)安全服務(wù)采購(gòu)：隨著行業(yè)監(jiān)管要求的明確，滿足等級(jí)保護(hù)、PCI DSS等合規(guī)性要求成為許多企業(yè)采購(gòu)安全服務(wù)的重要驅(qū)動(dòng)力。

五、 展望與建議

服務(wù)器安全將面臨物聯(lián)網(wǎng)（IoT）設(shè)備成為新攻擊源、針對(duì)云環(huán)境的新型攻擊、人工智能在攻防兩端的應(yīng)用等新挑戰(zhàn)。為此，我們建議：

1. 強(qiáng)化主體責(zé)任，落實(shí)基礎(chǔ)安全：服務(wù)器運(yùn)營(yíng)者需切實(shí)履行安全主體責(zé)任，嚴(yán)格落實(shí)系統(tǒng)加固、最小權(quán)限、強(qiáng)密碼策略、定期漏洞修補(bǔ)等基礎(chǔ)安全工作，杜絕低級(jí)錯(cuò)誤。
2. 擁抱專業(yè)服務(wù)，構(gòu)建縱深防御：積極利用專業(yè)的云安全服務(wù)、托管安全服務(wù)，構(gòu)建從網(wǎng)絡(luò)邊界、主機(jī)、應(yīng)用到數(shù)據(jù)層的縱深防御體系，彌補(bǔ)自身安全能力的不足。
3. 加強(qiáng)威脅感知與應(yīng)急能力：建立或引入安全監(jiān)控與威脅情報(bào)能力，變被動(dòng)響應(yīng)為主動(dòng)預(yù)警。制定并定期演練安全應(yīng)急響應(yīng)預(yù)案，確保在遭受攻擊時(shí)能快速恢復(fù)業(yè)務(wù)。
4. 關(guān)注新技術(shù)風(fēng)險(xiǎn)，持續(xù)投入學(xué)習(xí)：密切關(guān)注云計(jì)算、容器化、微服務(wù)等新技術(shù)架構(gòu)帶來(lái)的安全模式變化，持續(xù)進(jìn)行安全投入與人員培訓(xùn)，適應(yīng)快速演變的安全威脅環(huán)境。

2015年是中國(guó)互聯(lián)網(wǎng)服務(wù)器安全攻防對(duì)抗激烈演進(jìn)的一年。安全威脅的升級(jí)與安全服務(wù)的創(chuàng)新并行發(fā)展。只有將可靠的安全技術(shù)、有效的管理措施與專業(yè)的服務(wù)支持相結(jié)合，才能為數(shù)字化轉(zhuǎn)型中的中國(guó)構(gòu)筑起堅(jiān)實(shí)可靠的服務(wù)器安全防線。