报告｜月度政企终端安全态势分析（2018.12）

360 终端安全实验室发布的监测数据显示：2018年12月在染毒终端中，“公检法”行业感染蠕虫病毒的比例明显高于其他行业，“政府”行业感染挖矿病毒的比例明显高于其他行业，“能源”行业感染漏洞利用的比例明显高于其他行业，“政府”行业感染勒索软件的比例明显高于其他行业。

第一章 终端病毒感染数量分析

360 终端安全实验室监测数据显示，12 月，感染病毒的政企单位的绝对数量和 11 月持平，而单日感染单类病毒的终端数仅为 1 - 4 台的政企单位比 11 月增加了 2.8 %，单日感染单类病毒的终端数超过 50 的政企单位比 11 月增加了 5.4 %。

12 月，病毒感染最高峰出现在 12 月 10 日（星期一），最低谷则出现在 12 月 15 日（星期六）。

第二章终端病毒感染占比分析

12 月，在受害政企终端中，蠕虫病毒依然是最大的毒瘤，攻击占比高达 77.1 %，比 11 月的 84.7 % 有所下降；漏洞利用的攻击占比为 20.4 %，比 11 月的 14.1 % 有一定程度上升；勒索软件的攻击占比为 2.5 %，比 11 月的 1.2 % 有较大幅度的上升；挖矿病毒的攻击占比为 0.1 %，和 11 月持平。

360天擎提醒： 12 月，勒索软件攻击有较大幅度上升，强烈建议政企单位使用 360 天擎提升自身对勒索软件的防护能力，依托于 360 对勒索软件的强大实时追踪与快速防御响应能力，以及独家推出的百万敲诈先赔保障，360天擎可以让您从容面对勒索软件攻击。

第三章终端病毒感染行业环比分析

12 月，病毒最喜欢攻击的行业依然是“能源”行业，占比为 20.0 %，比 11 月的 19.3 % 略有上升；其次是“政府”、“卫生”行业，占比分别是 19.0 %和 12.0 %，而这个比例在 11 月分别是 12.8 %、 15.8 %。

360天擎提醒：12 月，能源、政府、卫生行业是病毒泛滥的重灾区，建议继续加大安全建设，并适时建设高级威胁和智能威胁对抗能力，以防更多高级威胁与智能威胁入侵。

第四章不同行业病毒感染类型分析

需要特别注意的是，在染毒终端中，“公检法”行业感染蠕虫病毒的比例明显高于其他行业，“政府”行业感染挖矿病毒的比例明显高于其他行业，“能源”行业感染漏洞利用的比例明显高于其他行业，“政府”行业感染勒索软件的比例明显高于其他行业。

从行业维度看，各行业中，不同类型病毒的感染状况如图所示。

360天擎提醒：建议各行业用户在整体提升病毒防范能力的同时，也加强针对性的防范，以免给病毒可趁之机。

第五章不同类型病毒感染行业分析

12 月，勒索软件最喜欢攻击的行业由“能源”行业变为“政府”行业，攻击占比高达61.5 %，比 11 月的 12.7 % 有较大幅度上升；其次是“电信”行业，攻击占比为 11.2 %，比 11 月的15.1 %有所下降。

漏洞利用最喜欢攻击的行业则由“政府”行业变成“能源”行业，攻击占比高达 33.1%，比 11 月的 10.4 % 有较大幅度上升；其次是“政府”行业，攻击占比为 16.9 %，比 11 月的 18.8 %略有下降。

挖矿病毒最喜欢攻击的行业依然是“政府”行业，攻击占比高达 64.3 %，比 11 月的83.9 % 有较大幅度的下降。

蠕虫病毒最喜欢攻击的行业由“能源”行业变为“政府”行业，攻击占比高达 18.1%，比 11 月的 11.7 % 有一定幅度上升；其次是“能源”行业，攻击占比为 17.1 %，比 11 月的20.8 % 有所下降。

从病毒类型维度看，各行业感染不同类型的病毒状况如图所示。

第六章政企安全防护建议

360终端安全实验室提醒广大政企单位注意以下事项：

及时更新最新的补丁库

根据360企业安全集团终端安全多年的运营经验，病毒大规模爆发的原因或多或少都与补丁安装不及时有关，因此及时更新补丁是安全运维工作的重中之重。不过，很多政企单位由于业务的特殊性，对打补丁要求非常严格。

360终端安全产品已经集成了先进的补丁管理功能，基于业界最佳的补丁管理实践，能够进行补丁编排，对补丁按照场景进行灰度发布，并且对微软更新的补丁进行了二次运营，解决了很多的兼容性问题，能够最大程度上解决补丁难打问题，帮助政企单位提升网络的安全基线。

杜绝弱口令问题

弱口令是目前主机安全入侵的第一大安全隐患，大部分大规模泛滥的病毒都内置了弱口令字典，能够轻松侵入使用弱口令的设备，应该坚决杜绝弱口令。

360终端安全实验室建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构，且口令位数应足够长，并在登陆安全策略里限制登录失败次数、定期更换登录口令等。多台机器不使用相同或相似的口令，不使用默认的管理员名称如admin，不使用默认密码如admin、不使用简单密码如：admin123、12345678、666666等。

重要资料定期隔离备份

政企单位应尽量建立单独的文件服务器进行重要文件的存储备份，即使条件不允许也应对重要的文件进行定期隔离备份。

提高网络安全基线

掌握日常的安全配置技巧，如对共享文件夹设置访问权限，尽量采用云协作或内部搭建的wiki系统实现资料共享；尽量关闭3389、445、139、135等不用的高危端口，禁用Office宏等。

如果没有这类安全经验，也可以使用360终端威胁评估产品（ETA）来对终端安全进行整体风险评估，360终端威胁评估产品（ETA）同时采用中国安全基本标准（CGDCC）和美国安全基线标准（USGCB），拥有数百种安全基线的检测能力和终端的深度安全检测能力，可以很好地帮助政企单位评估内部终端的安全。

保持软件使用的可信

平时要养成良好的安全习惯，不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描并确认安全性，尽量从官网等可信渠道下载软件，目前通过软件捆绑来传播的病毒也在逐渐增多，尤其是移动应用环境，被恶意程序二次打包的APP在普通的软件市场里非常常见。

360终端安全产品家族中的软件管家，基于多年的安全软件运营经验，能够为政企单位量身定做一个可信的安全软件使用环境，避免员工任意安装软件而带来的病毒入侵风险。

选择正确的反病毒软件

随着威胁的发展，威胁开始了海量化和智能化趋势。对于海量化的威胁，需要利用云计算的能力来对抗威胁海量化的趋势，因此在选择反病毒软件时，需要选择具备云查杀能力的反病毒软件。

360终端安全的天擎基于云查杀技术和多年来威胁样本运营经验，已经具备150亿威胁样本的查杀能力，而且还首创了白名单技术，并拥有10亿量级的白名单库，而且内置云查杀、QVM、AVE、QEX、主动防御等多种引擎，能够深度解决政企网络的病毒威胁。

建立高级威胁深度分析与对抗能力

对于威胁的智能化趋势，很多智能威胁通过多种手段来躲避传统反病毒软件的查杀，这时就需要政企单位具备高级威胁深度分析和对抗能力。

360终端安全响应系统基于业内公认的EDR思想，能够以终端的维度、事件的维度和时间的维度来分析网络中出现的高级威胁事件，能够为客户提供三维的立体威胁分析能力。后端利用大数据技术，能够监控终端上的所有灰文件的行为，内置AI模型，能够有效地识别传统反病毒软件识别不了的高级威胁入侵事件，帮助客户发现APT、流量、挖矿、勒索等新型威胁。

月度报告简介

本报告是“360终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。

报告数据来自 360 企业安全公有云安全监测数据，从蠕虫病毒、漏洞利用、勒索软件、挖矿病毒四类主流风险入手，以每日感染病毒的终端为基本单位，通过对政企终端感染病毒情况的分析，帮助客户更清晰地看见风险态势，为安全决策提供更有力的参考依据。

监测数据表示360 企业级终端安全产品对特定威胁的云查杀主动请求数量，对于本地已经可以查杀的病毒，不在统计之列。这些数据可以在一定程度上反映出相关机构遭到特定类型活跃恶意程序攻击的数量和强度。

本期报告的监测时间为2018 年 12 月 1 日 ~ 12 月 31 日。

360终端安全实验室

360终端安全实验室由多名经验丰富的恶意代码研究专家组成，重点着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究，致力为中国政企客户提供快速的恶意代码预警和处置服务，在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异，受到政企客户的广泛好评。

依托360在互联网为13亿用户提供终端安全防护的经验积累，360终端安全实验室以360天擎新一代终端安全管理系统为依托，为客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助广大政企客户解决内网安全与管理问题，保障政企终端安全。

360天擎新一代终端安全管理系统

360天擎新一代终端安全管理系统是360企业安全集团为解决政企机构终端安全问题而推出的一体化解决方案，是中国政企客户3300万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念，以安全防护为核心，以运维管控为重点，以可视化管理为支撑，以可靠服务为保障，能够帮助政企客户构建终端防病毒、入侵防御、安全管理、软件分发、补丁管理、安全U盘、服务器加固、安全准入、非法外联、运维管控、主机审计、移动设备管理、资产发现、身份认证、数据加密、数据防泄露等十六大基础安全能力，帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力，为政企客户提供安全规划、战略分析和安全决策等终端安全治理能力。