总体状况

　　攻击组织严密化。网络黑客逐步形成了较为严密的组织，并在组织内部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按照计划有组织地进行，致使网络攻击的效率有明显提高。

　　攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争对手的攻击和用于窃取用户账号、密码等敏感数据的网络攻击逐步增多，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越来越多地落在获取具体的经济利益上。

　　攻击目标直接化。网络黑客针对攻击目标的特点，设计特定的攻击代码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更大的威胁和破坏性。

　　安全形势仍然严峻

　　根据美国CERT/CC统计(有关数据来自于CERT/CC的网站，http://www.cert.org)，自1995年以来漏洞累计达到24313个，2006年第一季度共报告漏洞1597个，平均每天超过17个，超过去年同期2个。CNCERT/CC 2005年共整理发布漏洞公告75个，CNCERT/CC 2006年上半年共整理发布漏洞公告34个。从统计情况来看，2006年上半年漏洞报告数量仍处较高水平，大量漏洞的存在使得网络安全总体形势仍然严峻。

　　安全事件广东居首

　　CNCERT/CC获得的数据表明，2006年上半年我国大陆地区发生扫描事件最多的省市为广东和浙江，分别占扫描源总量的44％和26％。当前互联网上最容易受到攻击的端口为TCP 445，即SMB(Server Message Block)协议，其次是用于Windows远程方法调用的TCP 135端口和运行Microsoft SQL Server 的TCP 1433端口。

　　2006年上半年未出现大规模传播的蠕虫，分析其原因主要有三方面。首先，2006年上半年发现的Windows系统漏洞难以被利用，无法实现大规模、自动化的攻击；其次，由于WinXP SP2的DEP/NX保护技术，使得许多常规的缓冲区溢出无法被利用，因而限制了一些利用系统漏洞蠕虫的传播；再者，由于黑客更多地开始追逐经济利益，蠕虫的针对性、隐蔽性和可控性得到了进一步加强。

　　CNCERT/CC获得的数据表明，2006年上半年约有14万多台中国大陆主机感染过Beagle和Slammer蠕虫，主要分布在广东(29%)，上海(12％)和北京(9％)。

　　在蠕虫类代码中，“网络天空”（Worm_Netsky）及变种是当前最容易感染的蠕虫之一。该蠕虫主要通过电子邮件的附件进行传播，运行附件后系统就会受到感染。“爱之门”（Worm_Lovegate）及变种蠕虫在3月出现后排名不断上升，该蠕虫主要通过局域网进行传播，可导致局域网内所有计算机受到控制。同时，该蠕虫还会回复Microsoft Outlook和Outlook Express中收到的邮件，自动向外发送带毒邮件，与其他通过电子邮件传播的蠕虫相比，该蠕虫更具欺骗性和迷惑性。常见的Worm_Mytob和“贝革热”（Worm_Bbeagle.J）蠕虫同样是通过电子邮件的附件进行传播，用户运行附件后系统就会受到感染。可见发送垃圾邮件仍然是蠕虫传播的一个重要手段。

　　2006年上半年，CNCERT/CC对一些常见木马程序的活动状况进行了抽样监测，发现我国大陆地区2万3千3百多个IP地址的主机被植入木马，我国大陆地区木马活动最多的地区分别为广东省（16%）、上海（15%）和北京(15%)。

　　2006年上半年, CNCERT/CC累计发现中国大陆地区有七百多万个IP地址的主机被僵尸网络控制，其中节点数大于5000的僵尸网络有199个。根据监测，最大的Toxbot僵尸网络累计感染180多万个客户端（不区分动态IP），该僵尸网络至少已经持续活动9个月，并不断进行扫描扩张、键盘记录等活动。

　　中国大陆感染僵尸程序的主机较2005年有增多趋势。这些僵尸网络的控制服务器多数位于美国(68%)、韩国(7%)和巴西(4%)。

　　僵尸网络的规模总体上趋于小型化、局部化和专业化，有些僵尸网络专门关注特定类型的用户系统。2006年上半年监测到僵尸网络节点累计数量分布情况如图1所示。

　　5781个网站被篡改

　　根据CNCERT/CC监测，2006年上半年发现我国大陆地区被篡改网站总数达到5781个，其中政府网站1592个，1～5月份大陆地区厅局级及其以上级别被篡改的政府网站事件总数达125件。

　　2006年上半年，CNCERT/CC共收到国内外通过应急热线、网站、电子邮件等报告的非扫描类网络安全事件6765件，平均每月1100多件。按类型统计如图2所示，报告较多的是网页篡改（5781件）、垃圾邮件（341件）和网络仿冒（266件）。

　　CNCERT/CC协助用户进行事件处理，以便尽快消除网络安全事件对用户造成的各方面危害，帮助用户尽量减少损失。同时，按照国际惯例，在事件处理的过程中，帮助用户保存必要的证据，以便用户需要寻求司法协助时参考使用。2006年上半年，CNCERT/CC共处理网络安全事件近200件，大部分事件是CNCERT/CC国家中心根据事件涉及主机所属地区，协调当地分中心进行处理。

　　CNCERT/CC上半年共接到网络仿冒事件报告266件，其中协调CNCERT/CC各省分中心具体处理了58件。这些网络仿冒类事件全部是国际应急组织和安全小组报告并要求协助处理的，被仿冒的网站大都是国外的著名金融机构。表2列出了报告网络仿冒事件数量较多的组织机构。

本文选自：《中国教育网络》2006年9月刊