2020 年网络安全威胁信息 研究报告 （2021 年） 中国信息通信研究院安全研究所 北京微步在线科技有限公司 2021 年 12 月 版权声明 本报告版权属于中国信息通信研究院和北京微步在线 科技有限公司，并受法律保护。转载、摘编或利用其它方式 使用本报告文字或者观点的，应注明“来源：中国信息通信 研究院和北京微步在线科技有限公司”。违反上述声明者， 编者将追究其相关法律责任。 前 言 2021 年 3 月 12 日，《中华人民共和国国民经济和社会发展第 十四个五年规划和 2035 年远景目标纲要》正式发布，明确提出将“加 强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协 同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力” 作为发展规划之一，对国家网络空间安全提出了更高的发展要求。 网络安全威胁信息作为发现网络威胁、抵御网络攻击的重要依托， 助力信息安全防御手段向主动化、自动化、精准化转型，对于维护 国家网络空间安全、建设数字中国具有重要意义。 2020 年新冠肺炎疫情爆发后，线上办公的广泛普及加剧了信息 传递对网络的依赖，催生了愈加频繁的网络攻击行为。网络攻击的 产业化发展趋势使得攻击工具和手法变得愈加复杂多样，传统的防 火墙、入侵检测技术、恶意代码扫描、网络监控等被动防御手段显 得捉襟见肘疲于应付。面对日益严峻的网络空间安全威胁，研究网 络安全威胁信息有助于企业更好“知己”“知彼”，了解自身的网 络安全脆弱点，掌握已知、未知的网络安全风险点，不断提升自身 在实战中的检测与响应能力，筑牢网络安全防御城墙。 本报告从定义内涵、应用价值、标准化进展、政策和产业支撑 等多个方面阐述了网络安全威胁信息的概念和发展现状。结合 2020 年全球网络安全威胁信息，从网络环境安全现状、常见网络攻击手 法、受攻击行业和地域分布、国内较严重网络威胁及攻击事件等多 维度系统性分析了 2020 年国内外网络安全形势。阶段性梳理了网络 安全威胁信息在国内重点行业的典型应用案例。最后，围绕发展中 存在的标准化落地不足、共享机制缺失、产业成熟度较低等诸多问 题进行了探索性思考，结合产业现状提出了针对性的意见和建议。 对于本报告中的局限与不足，恳请各方同仁批评指正。 目 录 一、网络安全威胁信息概念及现状............................................................................1 (一) 网络安全威胁信息的概念.......................................................................... 1 (二) 网络安全威胁信息能力层级模型.............................................................. 5 (三) 网络安全威胁信息的应用价值.................................................................. 7 (四) 网络安全威胁信息领域发展现状............................................................ 10 二、2020 年国内外网络安全威胁信息分析.............................................................14 (一) 2020 年国内外网络威胁情况概览............................................................ 15 (二) 2020 年国内外网络攻击手法概览............................................................ 17 (三) 2020 年国内外网络受攻击情况分析........................................................ 28 (四) 2020 年国内较严重网络威胁盘点............................................................ 32 三、网络安全威胁信息典型应用实践......................................................................34 (一) 电子信息制造商实践案例........................................................................ 35 (二) 基础电信企业实践案例............................................................................ 36 (三) 网络视频平台实践案例............................................................................ 37 (四) 云计算服务商实践案例............................................................................ 38 四、网络安全威胁信息应用建议..............................................................................40 (一) 推进标准体系建设 完善行业共享机制.................................................. 40 (二) 坚持效果评估导向 构建联动协同业态.................................................. 41 (三) 强化主体责任意识 筑牢安全防御体系.................................................. 42 (四) 完善从业培训机制 提高人才培养水平.................................................. 43 图 目 录 图 1 威胁信息能力层级模型......................................................................................6 图 2 网络安全威胁信息表达模型示意图................................................................12 图 3 近年已通报的 CVE 漏洞数量..........................................................................24 图 4 国内各行业受攻击情况占比............................................................................29 图 5 2020 年国内失陷主机最多省份.......................................................................30 图 6 2020 年国内失陷主机最多城市.......................................................................31 图 7 综合危害程度最强的 20 种高级威胁..............................................................33 图 8 应急响应维度占比分析....................................................................................34 图 9 电子信息制造商威胁信息管理部署................................................................36 图 10 基础电信企业威胁信息管理部署..................................................................37 图 11 网络视频平台威胁信息管理部署.................................................................. 38 图 12 云计算服务商威胁信息管理部署..................................................................40 表 目 录 表 1 攻击者攻击活动平台分布.................................................................................26 表 2 国外网络攻击受害行业分析与对比.................................................................28 2020 年网络安全威胁信息研究报告（2021 年） 一、网络安全威胁信息概念及现状 本章详细阐述了网络安全威胁信息的定义内涵、层级模型和应 用价值，并从国内政策导向、产业支撑情况和标准化进展等方面对 网络安全威胁信息的发展现状展开说明。 (一) 网络安全威胁信息的概念 近年来，威胁信息逐渐成为网络安全行业的关注焦点，受到业 界广泛讨论，如今已成为守护网络安全的重要手段。本节将从网络 安全威胁信息的概念、意义和研发过程着手，对其技术理念、网络 安全防护优势和研发工作特征展开介绍。 1.网络安全威胁信息的定义与内涵 综合国内外相关研究，我们归纳分析了多方定义后认为，网络 安全威胁信息的核心内涵如下： 第一，网络安全威胁信息来源于对既往网络安全威胁的研究、 归纳、总结，并作用于已知网络威胁或即将出现的未知网络威胁； 第二，网络安全威胁信息的价值是为受相关网络威胁影响的企 业或对象提供可机读或人读的战术战略数据并辅助其决策，因此网 络安全威胁信息需要包含背景、机制、指标等能够辅助决策的各项 内容。 网络安全威胁信息的研究对象是“威胁”，包含已知的和即将出 现的未知网络威胁，其内容既包括单一的木马样本、远控域