2020年网络安全威胁信息研究报告（2021年）中国信息通信研究院安全研究所北京微步在线科技有限公司2021年12月 版权声明本报告 版权属于中国信息通信研究院和北京微步在线科技有限公司，并受法律保护。转载 、摘编或利用其它方式使用 本报告文字或者观点的，应注明 “来源 ：中国信息通信研究院和北京微步在线科技有限公司”。违反上述声明者，编者 将追究其相关法律责任。 qRtOtNpPyQrOvNoMsPwPsObRdNaQnPoOoMqRlOnMmOkPrRvN6MrQmMxNmQpOuOtPpQ前言2021年3月12日，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》正式发布 ，明确提出将“加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警 、应急指挥 、攻击溯源能力”作为发展规划之一，对国家网络空间安全提出了更高的发展要求。网络安全 威胁信息作为发现网络威胁、抵御网络攻击的重要依托，助力 信息安全防御手段向主动化、自动化、精准化转型，对于维护国家网络空间安全、建设数字中国具有重要意义。2020年新冠肺炎疫情爆发后，线上 办公的广泛普及加剧了信息传递对网络的依赖，催生了愈加频繁的网络攻击行为。网络攻击 的产业化 发展趋势使得攻击工具和手法变得愈加 复杂多样，传统的防火墙、入侵检测技术、恶意代码扫描、网络监控等被动防御手段显得捉襟见肘疲于应付。面对日益严峻的网络空间安全威胁，研究 网络安全威胁信息有助于企业更好“知己 ”“ 知彼 ”，了解自身的网络安全脆弱点，掌握已知、未知的网络安全风险点，不断提升自身在实战中的检测与响应能力，筑牢网络安全防御城墙。本报告从定义内涵、应用价值、标准化进展、政策和产业支撑等多个方面阐述了网络安全威胁信息的概念和发展现状。结合202 0年全球 网络安全威胁信息，从网络环境安全现状、常见网络攻击手法、受攻击行业和地域分布、国内较严重网络威胁及攻击事件等多维度系统性分析了2020年国内外网络安全形势。阶段性梳理了网络 安全威胁信息在国内重点行业的典型应用案例。最后，围绕发展中存在的标准化落地不足、共享机制缺失、产业成熟度较低等诸多问题进行了探索性思考，结合产业现状提出了针对性的意见和建议。对于本报告中的局限与不足，恳请各方同仁批评指正。 目录一、网络安全威胁信息概念及现状............................................................................1(一)网络安全威胁信息的概念..........................................................................1(二)网络安全威胁信息能力层级模型..............................................................5(三)网络安全威胁信息的应用价值..................................................................7(四)网络安全威胁信息领域发展现状............................................................10二、2020年国内外网络安全威胁信息分析.............................................................14(一) 2020年国内外网络威胁情况概览............................................................15(二) 2020年国内外网络攻击手法概览............................................................17(三) 2020年国内外网络受攻击情况分析........................................................28(四) 2020年国内较严重网络威胁盘点............................................................32三、网络安全威胁信息典型应用实践......................................................................34(一)电子信息制造商实践案例........................................................................35(二)基础电信企业实践案例............................................................................36(三)网络视频平台实践案例............................................................................37(四)云计算服务商实践案例............................................................................38四、网络安全威胁信息应用建议..............................................................................40(一)推进标准体系建设完善行业共享机制..................................................40(二)坚持效果评估导向构建联动协同业态..................................................41(三)强化主体责任意识筑牢安全防御体系..................................................42(四)完善从业培训机制提高人才培养水平..................................................43 图 目 录图1威胁信息能力层级模型......................................................................................6图2网络安全威胁信息表达模型示意图................................................................12图3近年已通报的CVE漏洞数量..........................................................................24图4国内各行业受攻击情况占比............................................................................29图5 2020年国内失陷主机最多省份.......................................................................30图6 2020年国内失陷主机最多城市.......................................................................31图7综合危害程度最强的20种高级威胁..............................................................33图8应急响应维度占比分析....................................................................................34图9电子信息制造商威胁信息管理部署................................................................36图10基础电信企业威胁信息管理部署..................................................................37图11网络视频平台威胁信息管理部署..................................................................38图12云计算服务商威胁信息管理部署..................................................................40表 目 录表1攻击者攻击活动平台分布.................................................................................26表2国外网络攻击受害行业分析与对比.................................................................28 2020年网络安全威胁信息研究报告（2021年）1一、网络安全威胁信息概念及现状本章详细阐述了网络安全威胁信息的定义内涵、层级模型和应用价值，并从国内政策导向、产业支撑情况和标准化进展等方面对网络安全威胁信息的发展现状展开说明。(一)网络安全威胁信息的概念近年来，威胁信息逐渐成为网络安全行业的关注焦点，受到业界广泛讨论，如今已成为守护网络安全的重要手段。本节将从网络安全威胁信息的概念、意义和研发过程着手，对其技术理念、网络安全防护优势和研发工作特征展开介绍。1.网络安全威胁信息的定义与内涵综合国内外相关研究，我们归纳分析了多方定义后认为，网络安全 威胁 信息 的核心内涵如下：第一，网络安全威胁信息来源于对既往网络安全威胁的研究、归纳、总结，并作用于已知网络威胁或即将出现的未知网络威胁；第二，网络安全威胁信息的价值是为受相关网络威胁影响的企业或对象提供可机读或人读的战术战略数据并辅助其决策，因此网络安全威胁信息需要包含背景、机制、指标等能够辅助决策的各项内容。网络安全威胁信息的研究对象是“威胁 ”，包含已知的和即将出现的未知网络威胁，其内容既包括单一的木马样本、远控域名 、攻击IP等基础数据，也包括安全事件、攻击团伙等概括性数据。“信息 ”是研究的结果，通过研究网络威胁的背景、机制 、指标等内容，生产 2020年网络安全威胁信息研究报告（2021年）2出能够作用于该威胁的战术或战略数据，这些战术或战略数据就是“信息 ”。根据从简单到复杂的逻辑，“信息 ”可分为单一失陷指标、资产特征 、时间画像 、团伙画像 、攻击者身份等不同的层次。简而言之，网络安全威胁信息是为研究网络威胁而提取出的，用于发现威胁、认识威胁、追踪威胁的数据。2.威胁信息的网络安全防护优势随着网络攻击技术的更新迭代，政府部门 、企事业单位、社会组织等机构面临的网络威胁和挑战也愈加严峻。从传统的僵木蠕到勒索与虚拟币挖矿（BitcoinMining），从传统的漏洞利用套件（ExploitKit）到供应链攻击，从传统的反检测到无文件攻击，攻击者的工具和手法愈发复杂多变、角度刁钻 、难以检测 。现有的杀毒软件、防火墙 、网站应用级入侵防御系统（Web ApplicationFirewall，WAF）等传统防护手段多为被动防御，仅根据已有策略在攻击发生时拦截攻击、阻止攻击生效并进行后续的恢复工作，对于策略之外的攻击则缺乏有力的检测和抵御手段。如何有效检测未知的网络威胁成为网络安全行业各方的共同着眼点。网络安全威胁信息利用公开的可用资源预测潜