前言

在新基建的七大領域中，工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能(以及5G網(wǎng)絡的應用)可以稱之為“數(shù)字新基建”，重點是通過數(shù)字技術的投入、積累與發(fā)展，激發(fā)傳統(tǒng)行業(yè)通過數(shù)字化改造升級實現(xiàn)價值的躍升。“新基建”的提出，打破了傳統(tǒng)的產(chǎn)業(yè)邊界，加速了產(chǎn)業(yè)間的融合創(chuàng)新，為眾多企業(yè)提供了數(shù)字化轉型搶先加速、彎道超車的窗口期。但是，“新基建”在助力產(chǎn)業(yè)新秩序重新建立的同時，也將面臨網(wǎng)絡安全帶來的新挑戰(zhàn)。網(wǎng)絡安全將成為提升企業(yè)數(shù)字化轉型核心競爭力的關鍵因素。為充分應對數(shù)字化轉型過程中面臨的網(wǎng)絡安全威脅，數(shù)字化轉型企業(yè)需要從戰(zhàn)略角度切入，改變過去被動防御的傳統(tǒng)思維，做好主動規(guī)劃和安全管理，從“情報—攻防—管理—規(guī)劃”四個維度構建企業(yè)安全免疫系統(tǒng)。

[[325153]]

而威脅情報作為企業(yè)網(wǎng)絡安全防護能力的重要差異化因素之一，對企業(yè)優(yōu)化風險應對策略，強化應急處置能力，完善企業(yè)縱深防御體系、提升企業(yè)整體安全防御能力，助推企業(yè)數(shù)字化轉型具有重要意義。為提升數(shù)字化轉型企業(yè)的網(wǎng)絡安全意識，鼓勵企業(yè)充分利用威脅情報應對層出不窮的網(wǎng)絡安全風險，督促數(shù)字化轉型企業(yè)履行網(wǎng)絡安全主體責任，中國信息通信研究院安全研究所產(chǎn)業(yè)互聯(lián)網(wǎng)安全實驗室聯(lián)合騰訊安全威脅情報中心從網(wǎng)絡安全、終端安全、云安全等維度對2019年的威脅情報現(xiàn)狀進行監(jiān)測匯總，同時對重點網(wǎng)絡安全威脅事件進行復盤說明，詳細分析威脅成因并給出了針對性的對策建議，供相關機構人員參考。

一、2019年威脅情報態(tài)勢總覽

就2019年全年網(wǎng)絡安全態(tài)勢而言，網(wǎng)絡安全事件數(shù)量仍然呈現(xiàn)上升趨勢。DDoS攻擊憑借其極低的技術門檻和成本位居網(wǎng)絡攻擊之首，大量 DDoS 黑產(chǎn)通過惡意流量擠占網(wǎng)絡帶寬，擾亂正常運營，尤其給企業(yè)服務(如通信服務、常用軟件工具等)、游戲、電商等領域帶來了不小困擾。

其次，2019年度針對企業(yè)終端的攻擊依然未有放緩。一方面，攻擊者通過漏洞利用、爆破攻擊、社工釣魚等主流攻擊方式攻陷企業(yè)服務器，進而通過內(nèi)網(wǎng)橫向滲透進一步攻陷更多辦公機器。另一方面，企業(yè)員工的不良上網(wǎng)習慣也同樣會給企業(yè)帶來一定的威脅，包括使用盜版系統(tǒng)、破解補丁、游戲外掛等。值得注意的是，近年來針對Linux平臺的攻擊活動也呈現(xiàn)逐漸上升趨勢，企業(yè)安全運營者需引起關注。

此外，針對云平臺傳統(tǒng)網(wǎng)絡架構的入侵、病毒等安全問題也逐漸呈常態(tài)化趨勢，針對云平臺架構的虛擬機逃逸、資源濫用、橫向穿透等新的安全問題層出不窮。而且由于云服務具有成本低、便捷性高、擴展性好的特點，利用云平臺提供服務或資源去攻擊其他目標也成為一種新的安全問題。

除了上述提到的網(wǎng)絡安全威脅，勒索病毒、挖礦木馬已成為近年主流的PC端惡意軟件，并形成了完整的產(chǎn)業(yè)鏈。通過垃圾郵件、釣魚郵件實現(xiàn)勒索病毒、挖礦木馬定向傳播，利用Office 高危漏洞構造攻擊文件、在 Office 文檔中嵌入惡意攻擊宏代碼、結合社會工程欺騙等手法成為常用技巧。

暗流涌動的網(wǎng)絡黑產(chǎn)、重新崛起的 DDoS 攻擊、層出不窮的各類木馬、趨于常態(tài)的病毒勒索，影響深遠的數(shù)據(jù)泄露都為企業(yè)的數(shù)字化轉型帶來了巨大的挑戰(zhàn)。頻發(fā)的網(wǎng)絡安全事件，加重了企業(yè)在數(shù)字化轉型過程中關于網(wǎng)絡安全的思考。

二、企業(yè)面臨的網(wǎng)絡安全威脅現(xiàn)狀

2.1網(wǎng)絡安全威脅

根據(jù) 2019 年威脅情報監(jiān)測數(shù)據(jù)顯示，在網(wǎng)絡攻擊方面，主要的網(wǎng)絡側攻擊為 DDoS攻擊和BGP劫持。

2.1.1 DDoS攻擊

在信息技術高速革新的背景下，網(wǎng)絡空間面臨的安全威脅不斷升級，越來越多的服務器、個人電腦以及IoT設備淪為黑客的攻擊目標。在企業(yè)面臨的網(wǎng)絡安全威脅中，DDoS攻擊憑借其技術門檻低、攻擊速度快等特點，成為了大量黑產(chǎn)的“核武器”，通過惡意流量擠占網(wǎng)絡資源，擾亂正常運營，給企業(yè)發(fā)展帶來極大威脅。

DDoS攻擊的歷史由來已久，同時在云生態(tài)環(huán)境下愈演愈烈。一方面，隨著云計算和物聯(lián)網(wǎng)技術的發(fā)展，越來越多的可利用設備暴露在公共網(wǎng)絡中;另一方面，某些國外用戶甚至以個人名義申請成為通信服務運營商，以此來獲取更多的帶寬資源以及自行配置路由器選項的權限。這都導致攻擊者對 DDoS 資源的獲取變得更加容易。同時，隨著云服務提供商對網(wǎng)絡外部資源的使用增加，DDoS攻擊對云服務提供商網(wǎng)絡級別上的威脅也同步增強。

在攻擊目標方面，根據(jù) 2019 年威脅情報監(jiān)測數(shù)據(jù)顯示，約三分之二的 DDoS 攻擊事件以云平臺上的IP作為攻擊目標，云平臺已成為DDoS攻擊事件發(fā)生的重災區(qū);超過四分之一的目標IP是專門的IDC機房IP或高防機房IP，針對個人或單獨組織的相對較少。

當前 DDoS 的攻擊趨勢整體呈現(xiàn)攻擊目標所屬行業(yè)分布廣泛、超大流量規(guī)模性攻擊次數(shù)上升、整體攻擊次數(shù)降低、目標攻擊越發(fā)精準等趨勢。在攻擊目標所屬行業(yè)分布方面，DDoS對包含互聯(lián)網(wǎng)、游戲、電商、金融等多個行業(yè)都造成了極大的威脅，其中遭受DDoS攻擊最多的行業(yè)分別是行業(yè)工具、游戲、電商。

從全年的攻擊流量分布情況上看，98.8%以上的攻擊流量為小于100G的流量，99.6%以上的攻擊為小于200G流量。2019年度300-400G梯度的大流量攻擊與往年相比基本持平，而大于400G的超大型流量攻擊的次數(shù)明顯超過往年。

結合數(shù)據(jù)分析發(fā)現(xiàn)，雖然基于超大流量的規(guī)模性攻擊次數(shù)有所上升，但全年對云平臺的流量攻擊總次數(shù)有所減少。目前的 DDoS 攻擊呈現(xiàn)出高度集成管理的態(tài)勢，攻擊者通過不斷優(yōu)化手段，試圖以最小的攻擊成本達到最優(yōu)的攻擊效果。從結果來看，攻擊者的嘗試也確實取得了一定效果，全年總體的攻擊次數(shù)雖有所回落，但攻擊成效大大提升。據(jù)此可推斷，隨著云平臺的廣泛使用，攻擊者對云服務平臺防御手段和防御策略的研究投入了大量的精力。為實現(xiàn)以最小攻擊成本達到最佳效果，通過對 DDoS 攻擊策略實現(xiàn)個性化定制提升攻擊精準化水平將是今后DDoS攻擊的一大趨勢。

2.1.2 BGP劫持

BGP 劫持即偽造網(wǎng)絡層可達性信息，云服務提供商為了實現(xiàn)快速網(wǎng)絡查找目標，使得路由盡可能高效查找到目標 IP 并進行通信，會使用 BGP 協(xié)議，即邊界網(wǎng)關協(xié)議。在 BGP劫持的情況下，某個獨立運營的網(wǎng)絡或自治系統(tǒng)(AS)公告實際上不屬于其控制的自治系統(tǒng)地址空間，而此公告未被過濾，傳播到正常的 BGP 路由表中，從而引發(fā)全球性的路由查找錯誤。這種錯誤通常是由于配置錯誤而發(fā)生的，但一旦發(fā)生有很大可能影響云資源的可用性。

2.2終端安全威脅

2019 年威脅情報監(jiān)測數(shù)據(jù)顯示,2019 年針對企業(yè)網(wǎng)絡終端的攻擊依然未有放緩。企業(yè)的終端安全威脅主要來源于三方面，一是攻擊者通過漏洞利用、爆破攻擊、社工釣魚等方式攻陷企業(yè)服務器，通過內(nèi)網(wǎng)橫向滲透進一步攻陷更多辦公機器;二是企業(yè)員工不良的上網(wǎng)習慣也給企業(yè)帶來了巨大的安全威脅，比如使用盜版系統(tǒng)、破解補丁、游戲外掛等;三是針對Linux平臺的攻擊活動逐漸增加。

2.2.1終端安全性

根據(jù)2019年威脅情報監(jiān)測數(shù)據(jù)顯示，在平均每周都攔截到病毒木馬的終端中，約12%的機器為企業(yè)終端。全年內(nèi)攔截過病毒木馬攻擊的企業(yè)終端中，40%的機器平均每周攔截至少一次病毒木馬攻擊。在企業(yè)終端染毒類型分布方面，占比前兩位的分別是風險類軟件和后門遠控類木馬，占比分別為44%和21%。

從各行業(yè)的感染病毒類型分布情況來看，風險木馬類軟件在各行業(yè)的染毒事件中占比最高，均在 40%以上。風險木馬軟件感染主要是由不良的上網(wǎng)習慣及缺乏安全意識引起，如使用盜版軟件或外掛工具等。因此，相較于政府、金融、醫(yī)療和教育行業(yè)，科技行業(yè)感染風險木馬軟件的比例更小。后門遠控類木馬是除了風險軟件之外感染量最大的染毒類型，占比在 20%左右。后門遠控類木馬有著極高的隱蔽性，可接受遠程指令執(zhí)行信息竊取、截屏、文件上傳等操作，造成信息泄露等嚴重后果。

2.2.2終端脆弱性

當前，數(shù)量龐大且安全性薄弱的智能終端設備已然成為攻擊者的新目標。漏洞利用及端口爆破是攻陷終端設備的重要手段，攻擊者通過漏洞利用或爆破攻擊公網(wǎng)環(huán)境下的服務器，隨后進行內(nèi)網(wǎng)橫向滲透。

從企業(yè)終端漏洞修復角度來看，根據(jù)2019年威脅情報監(jiān)測數(shù)據(jù)顯示，截至2019年12月底，有 79%的企業(yè)終端上至少存在一個未修復的高危漏洞。在主要的高危漏洞中，LNK漏洞(CVE-2017-8464)補丁安裝比例最高，RTF漏洞(CVE-2017-0199)補丁安裝比例最低，仍有74%的機器未安裝該補丁。而RTF漏洞文檔常被攻擊者通過郵件釣魚的方式利用，進而發(fā)起APT攻擊，一旦機器失陷將會給企業(yè)造成極大的損失。

從常見服務器漏洞攻擊類型來看，如果企業(yè)、政府開放的服務器存在高危漏洞，可能導致災難性的后果，其實許多黑客攻擊和惡意軟件入侵是可以預防的。通過對暴露在公網(wǎng)的服務器做抽樣分析發(fā)現(xiàn)，常見的攻擊類型中，遠程代碼執(zhí)行(RCE)、SQL 注入、XSS 攻擊類型比例較高，探測性掃描(Probe Scan)發(fā)生的頻率也較高。

從高危端口開放情況來看，我們將黑客攻擊頻次較高且較為常見的端口(如21、22、53 等端口)定義為高危端口，并對 Web 服務器等互聯(lián)網(wǎng)空間資產(chǎn)做抽樣空間測繪，發(fā)現(xiàn)有大量網(wǎng)絡資產(chǎn)開放了高危端口，存在較高的安全隱患。除了22、1900等端口之外，還有較大比例的郵件服務、數(shù)據(jù)庫服務等端口暴露在公共互聯(lián)網(wǎng)上。

2.2.3終端失陷后的橫向擴散

迄今為止，絕大多數(shù)企業(yè)都還是通過部署防火墻進行內(nèi)外網(wǎng)隔離構建安全體系。企業(yè)內(nèi)網(wǎng)被認為是可信區(qū)間，為了便于日常工作的開展，通常不會嚴格限制員工對內(nèi)網(wǎng)資源的訪問。因此，當病毒突破外圍防火墻進入內(nèi)網(wǎng)環(huán)境之后，將會在內(nèi)網(wǎng)肆意擴散。病毒為了讓其自身惡意行為實現(xiàn)效益最大化，首先會通過開機啟動實現(xiàn)用戶系統(tǒng)常駐，進而嘗試內(nèi)網(wǎng)橫向傳播。常見的攻擊形式主要包括漏洞利用傳播、弱口令爆破以及文件共享傳播等。

➢ 常見攻擊形式

(1) 漏洞利用傳播

從針對系統(tǒng)組件的漏洞攻擊情況來看，2019年發(fā)生頻率最高的內(nèi)網(wǎng)病毒傳播事件仍然是利用內(nèi)網(wǎng)SMB共享服務漏洞進行傳播的“永恒之藍”木馬下載器，該木馬通過多種方式在企業(yè)內(nèi)網(wǎng)攻擊傳播，以組建僵尸網(wǎng)絡挖礦為主要目的。有多個企業(yè)因未及時修補“永恒之藍漏洞”而被反復攻陷。

(2) 弱口令爆破攻擊

弱密碼爆破攻擊在入侵內(nèi)網(wǎng)以及作為橫向擴散的手段上效果顯著。對部分已檢測的服務器做抽樣分析發(fā)現(xiàn)，弱密碼爆破攻擊集中發(fā)生在凌晨12點到6點之間的非工作時段。實際上，黑客成功入侵局域網(wǎng)之后對內(nèi)網(wǎng)的爆破攻擊，使用的協(xié)議與外網(wǎng)有較大不同，SMB 攻擊最為常見，其次是遠程桌面連接爆破和SSH爆破。

(3) 文件共享傳播

根據(jù)企業(yè)的應急處置經(jīng)驗發(fā)現(xiàn)，文件共享目錄、可移動介質(zhì)是蠕蟲病毒、感染型病毒、Office文檔病毒在內(nèi)網(wǎng)的感染重災區(qū)。這三類病毒一般都以竊取敏感信息為主要目的。

➢ 企業(yè)終端失陷的后果

(1) 敲詐勒索

勒索病毒通過恐嚇、綁架用戶文件或破壞用戶計算機等方式，向用戶勒索數(shù)字貨幣。通過加密用戶系統(tǒng)內(nèi)的重要資料文檔，再結合虛擬貨幣交易實施犯罪依然為當前勒索病毒使用的最主要勒索形式。

(2) 挖礦木馬

根據(jù)監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，2019年3月份挖礦木馬感染處于峰值，隨后逐步下降，感染量基本穩(wěn)定持平。感染了挖礦木馬的機器會被消耗掉大量的系統(tǒng)資源，造成系統(tǒng)卡慢，此外還存在信息竊取、植入后門等潛在風險。

(3) 信息竊密

信息竊密類木馬其主要目的是獲取機器上的機密敏感信息，科研機構、高校、高科技企業(yè)及政府機關等最易受到這類木馬攻擊，竊取的信息包括失陷機器相關信息(MAC 及 IP地址、操作系統(tǒng)版本等)，個人或企業(yè)信息(如企業(yè)員工聯(lián)系方式，企業(yè)郵箱等)，重要機密文件等。

(4) 肉雞后門

攻擊者攻陷一臺主機獲得其控制權后，往往會在主機上植入后門，安裝木馬程序，以便下一次入侵時使用。后門木馬會長期駐留在受害機器上，接受遠控指令執(zhí)行定期更新、遠程下載執(zhí)行、鍵盤監(jiān)控、文件竊取上傳等功能。此外，隨著IoT物聯(lián)網(wǎng)設備的增加，針對IoT設備的攻擊也越來越頻繁，攻擊成功后通過植入后門、組建僵尸網(wǎng)絡、開展挖礦、DDoS攻擊等進行獲利。

(5) 刷量推廣

刷量推廣類病毒木馬主要是通過下載器、盜版 ghost 系統(tǒng)、流氓軟件推裝、游戲外掛等傳播，還會通過搜索引擎競價排名推廣以獲得更大的受眾面。為了誘導用戶下載，此類病毒木馬往往會偽裝成知名的第三方軟件，如flashplayer、photoshop等。其獲利渠道主要是主頁鎖定、軟件推裝、暗刷流量、廣告彈窗等。

2.3云安全威脅

隨著云計算解決方案優(yōu)勢逐漸顯現(xiàn)，越來越多的企業(yè)機構選擇將其業(yè)務上云，為云計算服務提供商提供了更為廣闊的市場。但與此同時，由于云技術本身共享的特性，內(nèi)部各層次有相互關聯(lián)，暴露在公共互聯(lián)網(wǎng)的資產(chǎn)、服務、接口更多，影響的用戶也更多，“云”的安全問題被提升到至關重要的位置。

2.3.1云安全威脅全景

在云平臺上，除了DDoS、入侵、病毒等傳統(tǒng)安全問題，針對云平臺架構的虛擬機逃逸、資源濫用、橫向穿透等新安全問題也層出不窮。此外，由于云服務具有成本低、便捷性高、擴展性好的特點，利用云提供的服務或資源去攻擊其他目標的也成為一種新的安全問題。

根據(jù)2019年威脅情報監(jiān)測數(shù)據(jù)顯示，云資源作為攻擊源的比例在所有國內(nèi)攻擊源中已接近一半。在云計算生態(tài)環(huán)境下，暴露給攻擊者的信息表面看與傳統(tǒng)架構中基本一致，但是由于云生態(tài)環(huán)境下虛擬化技術、共享資源、復雜的架構以及邏輯層次的增加，導致可利用的攻擊面增加，攻擊者可使用的攻擊路徑和復雜度也大大增加。

惡意攻擊者從互聯(lián)網(wǎng)環(huán)境下攻擊云租戶和平臺(包括云平臺的底層資源、管理軟件、管理界面、服務器集群等)的攻擊路徑包括如下幾類：

⚫ 裸金屬服務器管理接口：潛在攻擊者利用裸金屬服務開放的IPMI等管理接口存在的漏洞和缺陷，控制服務器底層硬件，并進一步利用帶外管理網(wǎng)絡橫向擴展，作為跳板訪問云管理和控制平臺的內(nèi)部接口，嘗試對平臺和其他租戶發(fā)起攻擊;

⚫ 租戶虛擬機逃逸：潛在攻擊者通過租戶應用的數(shù)據(jù)庫、Web 等應用程序漏洞，進入云服務使用者(IaaS 平臺的租戶所擁有的虛擬機實例)的操作系統(tǒng)，并進一步通過潛在的虛擬化逃逸漏洞進入云資源底層的 Hypervisor，進而控制云平臺底層資源并進行橫向擴展;

⚫ 獨立租戶 VPC 實例模式的容器和微服務網(wǎng)絡攻擊：潛在攻擊者通過微服務管理系統(tǒng)的脆弱性或容器安全漏洞，進入云服務提供商所使用的虛擬機實例操作系統(tǒng)，隨后進一步通過潛在的虛擬化逃逸漏洞進入云資源底層的 Hypervisor，進而控制云平臺底層資源并進行橫向擴展;

⚫ 共享集群模式容器和微服務網(wǎng)絡攻擊：潛在攻擊者通過容器逃逸或微服務組件漏洞，直接控制物理服務器執(zhí)行惡意操作或進行橫向擴展;

⚫ SaaS 服務共享集群模式攻擊：潛在攻擊者通過云服務提供商所提供的 SaaS 類服務能夠使用的API、中間件、數(shù)據(jù)庫等漏洞，直接逃逸或越權訪問進入提供服務的底層服務器集群，執(zhí)行惡意操作，竊取數(shù)據(jù)或進行橫向擴展;

⚫ 惡意攻擊者針對云服務平臺業(yè)務互聯(lián)網(wǎng)絡的旁路攻擊：惡意攻擊者通過對于云平臺業(yè)務連接的相關企業(yè)內(nèi)部網(wǎng)絡進行APT攻擊，并進一步迂回橫向擴展返回攻擊云平臺業(yè)務、運維或管理網(wǎng)絡;

⚫ 惡意攻擊者針對云服務平臺開發(fā)/運營網(wǎng)絡的旁路攻擊：惡意攻擊者通過對于云平臺連接的運維或管理內(nèi)部網(wǎng)絡進行 APT 攻擊，并進一步迂回橫向擴展返回攻擊云平臺業(yè)務、運維或管理網(wǎng)絡;

⚫ 針對云用戶控制臺界面或開放式 API 的攻擊：潛在攻擊者通過云服務提供商提供的控制臺或開放式API，利用控制臺應用漏洞或API漏洞訪問，對租戶資源或平臺進行攻擊。

此外，在攻擊路徑圖中還存在一系列橫向擴展路徑。橫向擴展指當攻擊者成功獲取到租戶或平臺系統(tǒng)的一定權限后，利用網(wǎng)絡或共享資源進行橫向遷移，進一步擴大攻擊范圍，獲取其他租戶和系統(tǒng)的資源、數(shù)據(jù)或訪問權限的情況，具體路徑包括：

⚫ 利用租戶資源和訪問權限，在 VPC 內(nèi)進行橫向遷移攻擊，或作為跳板攻擊其他用戶;

⚫ 利用微服務不同功能組件間共享資源或權限的橫向遷移;

⚫ 利用共享數(shù)據(jù)庫集群間的資源或數(shù)據(jù)進行橫向遷移;

⚫ 當成功實現(xiàn)虛擬機逃逸后，利用Hypervisor和硬件層面的控制面網(wǎng)絡和接口進行橫向遷移;

⚫ 利用網(wǎng)絡虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡進行橫向遷移;

⚫ 利用存儲虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡進行橫向遷移;

⚫ 利用云平臺管理面/控制面和業(yè)務面間的接口進行橫向遷移;

⚫ BMC 等固件破壞后獲取進行物理機層面的潛伏，或利用底層硬件權限反向獲取Hypervisor OS或租戶虛擬機OS的數(shù)據(jù)和系統(tǒng)訪問權限。

2.3.2基礎攻擊面

➢ 云主機安全

云主機是云服務提供商為客戶提供的海量虛擬化服務器，企業(yè)可根據(jù)實際業(yè)務需求在云主機實現(xiàn)資源的靈活配置。企業(yè)租用的云主機與企業(yè)自有終端在管理維護上具有一定的相似性，因此云主機同樣會面臨傳統(tǒng)終端可能遭遇的威脅。

為了在黑客入侵前發(fā)現(xiàn)系統(tǒng)風險點，安全管理人員通常通過專業(yè)的風險評估工具，對網(wǎng)絡風險進行檢測、移除和控制，以此來減小攻擊面。

(1) 風險來源

常見的云主機安全風險主要源自安全補丁、漏洞、弱密碼、應用風險、賬號風險等。

⚫ 云主機高危端口開放

在對Web服務器等互聯(lián)網(wǎng)空間資產(chǎn)做空間測繪后發(fā)現(xiàn)，有大量的資產(chǎn)開放了高危端口，存在較高的安全隱患。除了22、1900等端口之外，還有較大比重的郵件服務、數(shù)據(jù)庫服務等端口暴露在公網(wǎng)上。

⚫ 云主機軟件弱密碼

不同服務都具有各自服務特色的弱口令，比如MySQL數(shù)據(jù)庫的默認密碼為空。通過分析發(fā)現(xiàn)，主機軟件弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上，其中MySQL和SSH超過云主機弱密碼風險總數(shù)的30%。

⚫ 高風險主機賬號普遍存在

主機系統(tǒng)賬號普遍存在各類風險，尤其是那些擁有Root權限的高風險賬號，更需要實時進行監(jiān)控。根據(jù)風險賬號檢測結果，刪除主機中無用的賬號，按照權限最小化原則限制主機中可疑賬號的權限。通過對主機賬號分析發(fā)現(xiàn)，超過 95%的賬號都屬于高危賬號，這些高危賬號通常都存在不合規(guī)的配置問題。

⚫ 中高危漏洞修復不及時

各種軟件的漏洞修復不及時已經(jīng)成為大規(guī)模網(wǎng)絡與信息安全事件、重大信息泄露事件發(fā)生的主要原因之一。從漏洞等級上來說，漏洞可分為高危、中危、低危三大類。根據(jù)樣本數(shù)據(jù)分析發(fā)現(xiàn)，未修復的漏洞大部分是高?；蛘咧形５模渲形葱迯偷母呶Ｂ┒幢壤歉哌_45.77%。在 2019年基于漏洞所影響的主機數(shù)量排名TOP10漏洞數(shù)據(jù)中，這些漏洞均已在2016年至2018年爆出，漏洞的不及時修復為企業(yè)帶來了嚴重的安全威脅。

(2) 入侵分析

通過對暴露在公網(wǎng)的服務器做抽樣分析發(fā)現(xiàn)，在常見的攻擊類型中，遠程代碼執(zhí)行(RCE)、SQL 注入、XSS 攻擊類型比例較高，同時黑客為了獲取服務器、網(wǎng)站的基本信息，常見的探測性掃描(Probe Scan)量同樣非常高。

⚫ 全國主機感染病毒木馬的情況

2019 年，全國企業(yè)用戶服務器病毒木馬感染事件超百萬起。其中，Webshell 惡意程序感染事件近80萬起，占73.27%;Windows惡意程序感染事件占18.05%;Linux惡意程序感染事件占8.68?？梢奧ebshell是攻擊者針對服務器攻擊的重要手段。

從感染主機中共發(fā)現(xiàn)超1萬種木馬病毒，其中Webshel木馬病毒l約占27%，Windows木馬病毒約占61%，Linux木馬病毒約占12%。Webshell是一類專門針對服務器攻擊的惡意程序，隨著云服務器的大量增長，Webshell的種類也在快速增加。值得注意的是，Linux平臺的木馬病毒也隨著云時代的到來而快速增長。

單從感染 Webshell 的服務器操作系統(tǒng)看，約 44%的 Windows 服務器曾經(jīng)感染過Webshell，而 Linux服務器感染過Webshell的僅0.2%。從感染的Webshell語言類型來看，PHP類型的Webshell最多，其次是ASP語言。

⚫ 暴力破解目標

攻擊者利用軟件對那些暴露在公網(wǎng)上的RDP、SSH、Telnet、FTP等服務進行掃描，然后進行暴力破解，進而以存在弱口令的主機為基本立足點，借此攻陷整個系統(tǒng)?；ヂ?lián)網(wǎng)中存在大量的掃描系統(tǒng)會對云主機是否存在弱密碼進行掃描。據(jù)有關報告顯示，端口暴露的單個Linux 系統(tǒng)，平均遭受超過 40000 次/天的網(wǎng)絡攻擊，攻擊頻率約 5 次/秒。存在弱口令的Linux系統(tǒng)，每月約有17000次被入侵成功。

⚫ 云上挖礦

根據(jù)不同操作系統(tǒng)樣本數(shù)據(jù)進行分析，總共發(fā)現(xiàn)超過3000臺Windows服務器感染了挖礦木馬，超2000臺Linux服務器感染了挖礦木馬。通過對被感染的主機進行分析，發(fā)現(xiàn)挖礦木馬主要挖比特幣與門羅幣。Windows 平臺挖礦事件主要發(fā)生在夜晚23 點以及3 點到8點之間，Linux平臺挖礦事件主要發(fā)生在凌晨2點到6點之間。

(3) 合規(guī)分析

所有企事業(yè)單位的網(wǎng)絡安全建設都需要滿足國家或監(jiān)管單位的安全標準，如等保2.0、CIS安全標準等，網(wǎng)絡安全管理的合規(guī)化建設是企事業(yè)單位需首要履行的義務。

⚫ 主機賬號的合規(guī)分析

在樣本分析過程中，我們發(fā)現(xiàn)很多賬號存在不合規(guī)情況，例如未設置密碼嘗試次數(shù)鎖定、未設置密碼復雜度限制等，這不符合國家等級保護相關要求。

⚫ 主機系統(tǒng)配置合規(guī)分析

缺乏對主機底層的操作系統(tǒng)的適當配置，可能引發(fā)許多安全問題。通過研究分析樣本數(shù)據(jù)，發(fā)現(xiàn)GRUB密碼設置、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統(tǒng)風險中所占比例最多的三類。

⚫ 主機應用合規(guī)分析

主機服務器承載了非常多的應用，如果應用中存在不合規(guī)的情況，例如配置錯誤、安全漏洞未及時修復等。黑客就可能通過主機中的非合規(guī)應用進入主機系統(tǒng)內(nèi)部，進而產(chǎn)生安全風險。

➢ 云上數(shù)據(jù)安全

對于任何企業(yè)而言，數(shù)據(jù)都是最寶貴的資產(chǎn)，尤其是業(yè)務數(shù)據(jù)和用戶數(shù)據(jù)，更是關乎其企業(yè)存亡的關鍵信息，企業(yè)上云后的數(shù)據(jù)安全一直是在云存儲數(shù)據(jù)的主要問題之一。隨著越來越多的企業(yè)將業(yè)務遷移到云上，部分敏感數(shù)據(jù)也將存儲在云上，數(shù)據(jù)安全已經(jīng)成為所有企業(yè)在產(chǎn)業(yè)互聯(lián)網(wǎng)時代必須直面的挑戰(zhàn)。

(1) 數(shù)據(jù)泄露

云服務使用方可以在數(shù)據(jù)庫使用之初進行完善的配置和良好的身份驗證訪問和管理機制，使用云服務提供商提供的多重身份認證以及密鑰管理服務進行數(shù)據(jù)庫訪問的相關操作，對流程中的數(shù)據(jù)使用加密傳輸和加密存儲;同時加強內(nèi)部員工的安全意識培訓，防止在內(nèi)部出現(xiàn)數(shù)據(jù)泄露。

(2) 數(shù)據(jù)丟失

數(shù)據(jù)丟失的可能原因包括：文件意外刪除、惡意軟件(勒索軟件)、硬盤故障、電源故障、賬號劫持/入侵等情況。

三、重點網(wǎng)絡安全威脅說明

根據(jù) 2019 年威脅情報監(jiān)測數(shù)據(jù)顯示，2019 年勒索病毒主要呈現(xiàn)出傳統(tǒng)勒索家族轉向精準化、勒索病毒定制個性化、勒索病毒與僵尸網(wǎng)絡融合化、中文定制化等趨勢。

3.1 勒索病毒攻擊情況

從2019年的勒索病毒攻擊事件來看，勒索病毒的主要攻擊方式是通過加密用戶系統(tǒng)內(nèi)的重要資料文檔、數(shù)據(jù)，來進行虛擬貨幣勒索。當加密數(shù)據(jù)勒索不成功時，再以泄露數(shù)據(jù)脅迫企業(yè)進行盈利(Maze 和 Sodinokibi 已使用)。此外，使用群發(fā)勒索恐嚇郵件，命中收件人隱私信息后，再利用收件人的恐慌心理，實施欺詐勒索的方式也較為流行。

2019年國內(nèi)遭受勒索病毒攻擊最為嚴重的省市分別為廣東、北京、江蘇、上海、河北、山東，其它省份也遭受到不同程度攻擊。從勒索病毒入侵行業(yè)方面看，傳統(tǒng)企業(yè)、教育、政府機構遭受攻擊最為嚴重，互聯(lián)網(wǎng)、醫(yī)療、金融、能源緊隨其后。而在勒索病毒攻擊方式方面，以弱口令爆破為主，其次為通過海量的垃圾郵件傳播以及借助僵尸網(wǎng)絡傳播。

3.2 挖礦木馬活動情況

黑客入侵控制大量計算機并植入礦機程序后，利用計算機的 CPU 或 GPU 資源完成大量運算，從而獲得數(shù)字加密貨幣。同時，黑產(chǎn)在暗網(wǎng)進行非法數(shù)據(jù)或數(shù)字武器售賣時大部分采用比特幣作為交易貨幣，數(shù)字加密貨幣成為黑灰產(chǎn)業(yè)的流通媒介，進而推動了挖礦產(chǎn)業(yè)的持續(xù)繁榮。從2017年爆發(fā)之后，挖礦木馬逐漸成為網(wǎng)絡世界主要的威脅之一。

2019 年威脅情報監(jiān)測數(shù)據(jù)顯示，2019 年挖礦木馬攻擊呈“上升—下降—保持平穩(wěn)”的趨勢。2019年上半年挖礦木馬非?；钴S，高峰時檢出攻擊樣本超過10萬個/日;5月之后攻擊趨勢有所減緩，下降到了 6 萬個/日。從地區(qū)分布情況上來看，2019 年挖礦木馬在全國各地均有分布，其中感染最嚴重的省市分別為廣東、浙江、北京以及江蘇。受到挖礦木馬影響最為嚴重的行業(yè)分別為互聯(lián)網(wǎng)、制造業(yè)、科研和技術服務以及房地產(chǎn)業(yè)。

3.2.1 挖礦木馬活躍家族

根據(jù) 2019 年威脅情報監(jiān)測數(shù)據(jù)顯示，2019 年挖礦木馬最活躍的三個家族分別為WannaMiner、MyKings、DTLMiner(永恒之藍下載器木馬)。其中 MyKings 是老牌的僵尸網(wǎng)絡家族，而WannaMiner 和DTLMiner 分別在 2018 年初和年底出現(xiàn)。在 2019年這幾個家族都有超過 2 萬用戶的感染量，他們的共同特點為利用“永恒之藍”漏洞進行蠕蟲式傳播，使用多種類的持久化攻擊技術，難以被徹底清除。

3.2.2主要入侵方式

2019年排名前三的挖礦木馬入侵方式分別是漏洞攻擊、弱口令爆破和借助僵尸網(wǎng)絡。由于挖礦木馬需要獲取更多的計算資源，所以利用普遍存在的漏洞和弱口令，或者是控制大量機器的僵尸網(wǎng)絡進行大規(guī)模傳播成為挖礦木馬的主要手段。

3.2.3挖礦木馬技術特點

(1) 供應鏈感染

2018年底出現(xiàn)的DTLMiner是利用現(xiàn)有軟件的升級功能進行木馬分發(fā)，屬于供應鏈感染的典型案例。黑客在后臺配置文件中插入木馬下載鏈接，導致軟件在升級時下載木馬文件。由于軟件本身擁有巨大的用戶量，導致木馬在短時間內(nèi)感染了大量的機器。

(2) 跨平臺攻擊和多種手段混合攻擊

挖礦木馬經(jīng)歷了從以控制普通電腦為主到以控制企業(yè)主機為主，從只控制 Windows挖礦到混合感染多個平臺的變化。我們監(jiān)測發(fā)現(xiàn)了“Agwl”、“蘿莉幫”、WannaMine、Satan等多個針對linux的挖礦木馬。黑產(chǎn)為了實現(xiàn)的利益最大化，還會將挖礦木馬與勒索軟件、遠控后門、剪貼板大盜、DDoS等木馬打包進行混合攻擊。

(3) 社交網(wǎng)絡

根據(jù)監(jiān)測，研究團隊在2019年12月發(fā)現(xiàn)了通過社會工程騙術傳播的“老虎”挖礦木馬(LaofuMiner)。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“色情內(nèi)容”、“隱私

資料”、“詐騙技巧”等文件名，通過社交網(wǎng)絡發(fā)送到目標電腦，當受害者雙擊查看文件，會立刻被安裝“大灰狼”遠控木馬。然后，攻擊者通過遠控木馬控制中毒電腦下載挖礦木馬，中毒電腦隨即淪為礦工。

(4) VNC爆破

2019 年 3 月，Phorpiex 僵尸網(wǎng)絡針對被廣泛使用的遠程管理工具“VNC”默認端口5900進行爆破攻擊，在高價值服務器上下載運行GandCrab 5.2勒索病毒，加密重要系統(tǒng)資料實施敲詐勒索;若攻破有數(shù)字貨幣交易的電腦，則運行數(shù)字貨幣錢包劫持木馬搶錢;若被攻擊的只是普通電腦，則植入門羅幣挖礦木馬，將之變成Phorpiex控制的礦工電腦。

(5) 惡意代碼檢測難度提升

⚫ “無文件”攻擊

2019年4月3日，DTLMiner在Powershell中反射加載PE映像，達到“無文件”形式執(zhí)行挖礦程序。這種方法直接在 Powershell.exe 進程中運行惡意代碼，注入“白進程”執(zhí)行的方式可能造成難以檢測和清除挖礦代碼的后果。這也是被首次發(fā)現(xiàn)的大規(guī)模利用“無文件”形式執(zhí)行的挖礦木馬。

⚫ DLL側加載

為逃避殺軟檢測，KingMiner啟動挖礦木馬時采用DLL側加載(DLL Side-Loading)技術，也就是“白+黑”技術，利用正常的有數(shù)字簽名的白文件來調(diào)用惡意DLL。其使用到的有微軟系統(tǒng)文件“Credential Backup and Restore Wizard(憑據(jù)備份和還原向?qū)?”和多個知名公司的數(shù)字簽名的文件。

(6) 阻斷其他木馬入侵，獨占挖礦資源

挖礦木馬會修改設置禁止其他機器通過遠程桌面服務訪問本機，以此來阻止其他木馬進入系統(tǒng)，從而達到獨占挖礦資源的目的。

3.3郵件安全威脅

本節(jié)我們將通過監(jiān)測到的實際案例總結2019年惡意郵件的影響情況。

3.3.1垃圾郵件

根據(jù)2019年威脅情報監(jiān)測數(shù)據(jù)，每天有大量垃圾郵件通過摻雜成語釋義、敏感詞混淆等手段與各類郵箱反過濾機制的對抗。

3.3.2惡意郵件

從惡意行為的角度來看，惡意郵件可以分為如下幾種：誘導回復敏感信息、誘導打開釣魚頁面鏈接、誘導打開帶毒附件。企業(yè)用戶日常容易遇到后兩種案例，典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對特定人員或特定公司的員工進行定向傳播攻擊的惡意郵件。網(wǎng)絡犯罪分子首先會精心收集目標對象的信息，使“誘餌”更具誘惑力。然后結合目標對象信息，制作相應主題的郵件和內(nèi)容，騙取目標運行惡意附件。

如下圖與“訂單”相關的郵件，通過將帶有精心構造的“CVE-2017-8570”漏洞利用代碼的word文檔偽裝為附件“訂單列表”，誘使用戶打開文檔以觸發(fā)漏洞代碼邏輯，最終實現(xiàn)投放“NetWiredRC”遠控木馬。在2017年爆發(fā)了WannaCry(永恒之藍)勒索病毒后，很多變形后的勒索軟件通過空白主題的郵件進行廣泛傳播。

3.3.3郵件安全案例

魚叉郵件主要以投遞“竊密”、“遠控”、“勒索”木馬為目的。近年來，為了快速變現(xiàn)，投遞勒索病毒的趨勢日益加劇。其中，最受攻擊者青睞的是 Office 漏洞CVE-2017-11882。利用Office軟件的公式編輯器漏洞CVE-2017-11882實現(xiàn)隱秘遠程下載的惡意郵件是十分常見的。由于郵件來源和內(nèi)容被高度偽裝，用戶很容易放下防備心打開文檔，進而釋放病毒。雖然該漏洞的補丁早在2017年11 月已被公布以供修復，但實際上Office安全漏洞的修復率比系統(tǒng)補丁修復率要低得多，導致該漏洞被廣泛利用。

四、網(wǎng)絡安全威脅成因分析

隨著“新基建”的持續(xù)推進，企業(yè)的數(shù)字化轉型步伐將逐步加快，未知的網(wǎng)絡安全風險持續(xù)攀升，面臨的網(wǎng)絡安全形勢日趨嚴峻。當前，企業(yè)在數(shù)字化轉型過程中面臨的網(wǎng)絡安全問題主要包括安全意識淡薄、管理制度不健全、教育培訓缺失、防護體系不完善等。加快提升企業(yè)網(wǎng)絡安全防護水平，助推企業(yè)數(shù)字化轉型迫在眉睫。

4.1安全意識淡薄，重視程度不足

當攻擊者無法通過傳統(tǒng)技術手段對企業(yè)資產(chǎn)進行攻擊時，由于企業(yè)員工的網(wǎng)絡安全意識淡薄，使得人員管理上的漏洞成為攻擊者的突破口。例如源代碼不小心上傳到了開源的網(wǎng)站、應用設置了簡單的密碼口令、個人密碼企業(yè)密碼共用、隨意設置共享目錄、防毒軟件更新不及時等問題，降低了企業(yè)的網(wǎng)絡安全防護水平。企業(yè)需充分認識到提高員工網(wǎng)絡安全意識的重要性，對內(nèi)部員工進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施，幫助企業(yè)內(nèi)部員工成為企業(yè)數(shù)據(jù)安全的優(yōu)秀屏障。

4.2管理制度不健全，責任落實不到位

健全的網(wǎng)絡安全管理制度是落實網(wǎng)絡安全主體責任的重要前提。網(wǎng)絡安全管理是一項系統(tǒng)化的工作，當前大部分企業(yè)均在管理制度規(guī)范建設、安全崗位人員配備、網(wǎng)絡技術力量投入等方面做了大量基礎工作，但整體還存在一些不容忽視的共性問題，如管理制度不健全，缺乏配套的考核和獎懲機制，網(wǎng)絡安全責任人、安全管理人員職責分工不明確，未建立企業(yè)內(nèi)部跨部門的網(wǎng)絡安全聯(lián)動機制，未制定企業(yè)網(wǎng)絡安全應急處置預案等。這使得企業(yè)內(nèi)部的網(wǎng)絡安全管理工作無法做到有章可循，網(wǎng)絡安全主體責任落實不到位，企業(yè)整體網(wǎng)絡安全管理水平不高。

4.3教育培訓缺失，實戰(zhàn)能力不足

網(wǎng)絡安全是企業(yè)實現(xiàn)數(shù)字化轉型的重要保障和前提，而網(wǎng)絡安全人才作為網(wǎng)絡安全的根本，是提升企業(yè)數(shù)字化轉型核心競爭力的關鍵。隨著網(wǎng)絡安全人才需求迅速增長，人才供應缺口巨大是各國各行業(yè)亟待解決的重要問題。當前企業(yè)網(wǎng)絡安全人才主要來源是高等教育院校畢業(yè)生和非科班人員轉化。高等教育院校畢業(yè)生存在著重理論、輕實踐，與企業(yè)實際需求脫節(jié)等問題，短期內(nèi)無法滿足企業(yè)實際的網(wǎng)絡安全人才需求。而職業(yè)教育培訓周期短、針對性強是提升網(wǎng)絡安全從業(yè)人員專業(yè)技能的理想方式。但是目前大多企業(yè)都未對網(wǎng)絡安全從業(yè)人員和準從業(yè)人員開展專業(yè)培訓，導致網(wǎng)絡安全從業(yè)人員的實戰(zhàn)能力不強，企業(yè)的網(wǎng)絡安全防護能力出現(xiàn)“木桶效應”。

4.4防護體系不完善，威脅應對不足

為充分應對企業(yè)數(shù)字化轉型過程中層出不窮的網(wǎng)絡安全威脅，做好企業(yè)的網(wǎng)絡安全防護部署，需充分發(fā)揮先進網(wǎng)絡安全技術優(yōu)勢，利用專業(yè)網(wǎng)絡安全解決方案，為企業(yè)的數(shù)字化轉型保駕護航。但是，通過上述的分析可見，當前仍有部分企業(yè)的網(wǎng)絡安全防護體系并不完善，仍然存在網(wǎng)絡安全產(chǎn)品和技術支撐不足，專業(yè)技術解決方案的缺失;安全操作配置不當;安全漏洞未及時修復等問題，無法建立從“專業(yè)設備安全配置—邊界安全防護—網(wǎng)絡安全態(tài)勢感知”的閉環(huán)管控，成為企業(yè)實現(xiàn)業(yè)務數(shù)字化、智能化升級的關鍵風險點。

五、建議舉措

5.1強化網(wǎng)絡安全意識，筑牢網(wǎng)絡安全防線

我國相繼出臺《中華人民共和國國家安全法》《中華人民共和國反恐怖主義法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》等法律法規(guī)。隨著網(wǎng)絡安全法律的不斷完善，全面規(guī)范網(wǎng)絡空間安全管理已邁入法治化軌道。“網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民”維護網(wǎng)絡安全既是我們的權利也是我們的義務。構建網(wǎng)絡安全網(wǎng)，是全社會共同的愿景，也是全社會的共同責任。相關企業(yè)從全面貫徹落實總體國家安全觀的高度，深刻把握信息化發(fā)展大勢，強化網(wǎng)絡風險意識，踐行網(wǎng)絡安全主體責任和義務，以高度的責任感和歷史使命感構筑網(wǎng)絡安全防線，捍衛(wèi)國家網(wǎng)絡安全。

5.2健全安全管理制度，強化主體責任擔當

企業(yè)應充分認識網(wǎng)絡安全工作的極端重要性，以國家網(wǎng)絡安全部署、行業(yè)網(wǎng)絡安全發(fā)展規(guī)劃為指導，結合企業(yè)實際建立和完善相應的管理制度和工作流程，制定網(wǎng)絡安全責任制實施方案，從制度層面體現(xiàn)網(wǎng)絡安全工作人人有責、人人盡責的工作要求，認真落實網(wǎng)絡安全工作責任制。將網(wǎng)絡安全責任明確細化落實到具體部門、具體崗位、具體人員，不斷強化全體職工網(wǎng)絡安全責任意識。此外，不斷強化企業(yè)網(wǎng)絡安全責任監(jiān)督考核制度，完善健全考核機制，明確考核內(nèi)容、方法、程序并將考核結果作為對相關領導干部及相關共工作人員綜合考核評價的重要內(nèi)容，不斷推進網(wǎng)絡安全責任制落實，確保國家網(wǎng)絡安全法律法規(guī)和黨中央、國務院等決策部署不打折扣地落實到位。嚴肅網(wǎng)絡安全監(jiān)督考核，強化制度執(zhí)行，細化考核內(nèi)容，把網(wǎng)絡安全責任考核嚴起來。

5.3加強人才能力建設，激發(fā)人才資源活力

網(wǎng)絡安全人才是網(wǎng)絡安全建設的核心資源，網(wǎng)絡安全人才隊伍建設情況直接影響到企業(yè)網(wǎng)絡安全保障能力的強弱。為提高企業(yè)的網(wǎng)絡安全實戰(zhàn)能力，建設具有攻防實戰(zhàn)技能的網(wǎng)絡安全人才隊伍相關企業(yè)應注重強化網(wǎng)絡安全教育培訓工作，充分發(fā)揮網(wǎng)絡安全教育培訓的重大作用。面向企業(yè)網(wǎng)絡安全負責人、安全管理人員及相關人員開展網(wǎng)絡安全教育培訓，讓企業(yè)員工深入了解國家網(wǎng)絡安全面臨的嚴峻形勢，并通過剖析國內(nèi)外網(wǎng)絡安全事件，提升公司員工網(wǎng)絡安全意識，普及網(wǎng)絡安全基礎知識和基本技能，鞏固公司網(wǎng)絡空間安全構筑，讓“網(wǎng)絡安全為人民、網(wǎng)絡安全靠人民”的思想深入人心，切實提升網(wǎng)絡安全教育培訓質(zhì)量。在培訓模式方面，不斷探索新思路、新方法，積極探索培訓內(nèi)容的時效性、針對性和可操作性，補齊企業(yè)網(wǎng)絡安全教育培訓短板，實現(xiàn)網(wǎng)絡安全培訓規(guī)范化和常態(tài)化發(fā)展。此外，要嚴格落實網(wǎng)絡安全教育培訓管理，將企業(yè)網(wǎng)絡安全教育培訓納入企業(yè)網(wǎng)絡安全從業(yè)人員的日常考評中。

5.4強化技術防護措施，提升安全防護能力

強化網(wǎng)絡安全技術防護是提升企業(yè)網(wǎng)絡安全防護能力的重要途徑。相關企業(yè)應不斷貫徹落實網(wǎng)絡安全等級保護、關鍵信息基礎設施保護等相關制度，定期開展網(wǎng)絡安全風險評估工作，通過引進先進產(chǎn)品及技術對網(wǎng)絡安全防護體系不斷修正，打造涵蓋威脅情報、態(tài)勢感知、動態(tài)防御、體系聯(lián)動、安全閉環(huán)等能力在內(nèi)的多層次立體防御體系。此外，需不斷建立健全常態(tài)化的網(wǎng)絡安全事件應急演練工作機制，積極探索企業(yè)內(nèi)部跨部門上下貫通、左右協(xié)同的網(wǎng)絡安全應急指揮調(diào)度和多方協(xié)同配合機制。不斷強化網(wǎng)絡安全事件應急演練，通過開展跨部門的網(wǎng)絡安全應急演練模擬網(wǎng)絡安全事件應急處置流程，不斷完善應急響應預案，持續(xù)優(yōu)化網(wǎng)絡安全技術防護措施，提高網(wǎng)絡安全突發(fā)事件應急處置能力。