2025年度网络安全应急响应总结报告

目录 2025年整体安全态势概述..................................................................................31.2025年应急响应态势概述....................................................................................32.主要攻击类型与手法分析.....................................................................................42.1.恶意程序感染与远控木马...............................................................................42.2.数据泄露事件..............................................................................................52.3.钓鱼邮件攻击..............................................................................................52.4.漏洞利用与Web攻击...................................................................................62.5.供应链与第三方风险.....................................................................................62.6.勒索软件与破坏性攻击..................................................................................63.攻击影响分析...................................................................................................64.行业分布情况分析.............................................................................................7典型事件分析..................................................................................................91.某能源企业勒索事件分析.....................................................................................91.1事件概述.....................................................................................................91.2防护建议...................................................................................................102.某能源企业数据泄露事件分析.............................................................................112.1事件概述...................................................................................................112.2防护建议....................................................................................................123.某水利单位供应链漏洞事件分析..........................................................................133.1事件概述....................................................................................................133.2防护建议....................................................................................................144.某电力公司钓鱼邮件事件分析.............................................................................154.1事件概述....................................................................................................154.2防护建议....................................................................................................16综合防御建议与未来工作重点.............................................................................171.强化技术防护纵深...........................................................................................172.夯实安全管理基础...........................................................................................173.提升全员安全素养...........................................................................................18结语............................................................................................................19 本报告基于北京天融信网络安全技术有限公司（以下简称“天融信”）2025年度处理的网络安全应急响应事件，对全年网络安全威胁态势、主要攻击类型、事件根因及行业分布进行了系统性梳理与分析。 2025年，网络攻击呈现手段多样化、目标广泛化、后果严重化的特点，社会工程学攻击与漏洞利用仍是主要入侵手段，政府、教育、医疗、能源、交通及大型企业等关键信息基础设施单位成为攻击重灾区。 报告通过典型案例深度剖析，旨在总结年度安全挑战，并为未来的安全防护与应急响应工作提供方向性建议。 从受攻击行业来看： 2025年应急处置事件最多的行业TOP3分别为：政府单位、教育行业以及医疗行业，事件处置数分别占应急处置所有行业的33%、16%、15%。其中，政府部门、教育和医疗行业由于其信息系统的重要性、涉及数据的敏感性以及对社会公共服务的影响程度，成为网络安全事件较为高发的行业。 从攻击类型及现象来看： 2025年应急安全事件中，攻击者对系统的攻击所产生的影响主要表现为数据泄露、主机失陷、系统资源被占用及业务中断。主要攻击手段以恶意程序投递（如钓鱼邮件、伪装软件、恶意网站）、远控木马植入、公网服务配置错误、未授权访 问及漏洞利用等类型为主。其中，恶意程序感染与远控木马占比最高（15.5%），是全年最突出的攻击类型，常导致主机被境外C2服务器控制，进而引发数据窃取或被利用发起DDoS攻击；数据泄露（8.2%）、配置错误（6.4%）和漏洞利用（5.5%）紧随其后，暴露出公网服务未授权访问、安全配置缺失及漏洞修补不及时等突出问题。 2025年整体安全态势概述 1.2025年应急响应态势概述 2025年，网络安全威胁持续高发，应急响应事件数量显著增加。2025年1月-12月，天融信安全服务团队处理应急响应事件共计472起。 综合数据显示，2025年随着月份的增加，安全事件数量呈现先上升后下降的趋势。攻击事件主要集中在7-10月，年末逐月减少。 攻击活动从广泛的“撒网式”钓鱼、挖矿，向更具针对性的数据窃取、持久化控制和供应链攻击演进。攻击者善于利用“人”的弱点（安全意识不足）与“系统”的弱点（已知漏洞、错误配置）的组合拳，实现初始入侵、横向移动和达成最终目 标（如数据泄露、勒索加密、僵尸网络控制）。根据最新事件分析，攻击的隐蔽性和持久性进一步增强，部分事件中攻击者驻留时间较长，且清理后门难度大。 2.主要攻击类型与手法分析 2.1.恶意程序感染与远控木马 该攻击类型占比41.5%，是全年最高频的事件类型。攻击者通过钓鱼邮件附件、伪装软件/破解工具下载、恶意网站等渠道投递木马。常见家族包括：SilverFox、BlackMoon、XtremeRAT、Gh0stRAT、Farfli、银狐、蔓灵花(APT)等。感染后主机通常与境外C2服务器通信，导致数据泄露风险或被控为僵尸网络节点（如Mirai）发起DDoS攻击。 2.2.数据泄露事件 该攻击类型占比22%，主要由配置错误和漏洞利用导致。其中配置错误导致的数据泄露事件占比58%，Elasticsearch、数据库等服务公网开放且未授权访问是主要原因。漏洞利用导致的数据泄露事件占比42%，攻击者利用SpringActuator未授权访问、任意文件下载、Webshell上传等漏洞，直接窃取业务数据。 2.3.钓鱼邮件攻击 该攻击类型占比14.6%，全年持续活跃的入侵起点。攻击者伪装成上级单位、同事、客户或公共服务，以“补贴通知”、“人员名单”、“工资申领”等为诱饵，诱导用户点击恶意链接或下载带毒附件，进而控制主机、窃取凭证或在内部通讯 群中二次传播。最新事件显示，钓鱼邮件结合恶意文档或链接跳转的技术更为娴熟。 2.4.漏洞利用与Web攻击 该攻击类型占比12.2%，攻击者积极扫描并利用公开漏洞，特别是未授权访问漏洞、反序列化漏洞和Webshell植入，获取服务器权限，并进一步部署内存马、代理工具进行持久化控制。 2.5.供应链与第三方风险 该攻击类型占比9.8%，多起事件暴露了因第三方运维人员设备接入、使用非受控的远程桌面软件或下载带毒的行业软件导致内网被入侵的风险。 2.6.勒索软件与破坏性攻击 该攻击类型占比4.9%，虽然直接勒索事件报告不多，但已出现完整攻击链：从VPN漏洞/弱口令突破，到内网横向移动，最终投递勒索软件加密文件并破坏存储链路，造成业务瘫痪。此类攻击影响极为严重，可直接导致业务中断。 3.攻击影响分析 通过分析2025年应急事件对业务造成的影响，攻击者对系统的主要攻击现象主要表现为数据泄露、主机失陷、系统资源占用及业务中断等。由于响应及时，有很大一部分攻击行为给用户业务系统造成的影响程度有限，未造成重大安全事件。 4.行业分布情况分析 2025年应急处置事件最多的行业TOP3分别为：政府