95015网络安全应急响应分析报告（2025）

95015 网络安全应急响应 分析报告 奇安信安服团队 2026 年 2 月 主要观点  2025 年，奇安信集团安服团队共接到应急服务需求 575 起。政府部门、制造业、金融机构的业务专网是 2025 年攻击者攻击的主要目标。  网络安全基础设施建设的不完善，网络安全运营能力的缺失，是当前国内绝大多数政企机构的通病。一方面，永恒之蓝、弱口令等基础漏洞仍然普遍存在，高危端口大量暴露；另一方面，仅有 14.2%的政企机构能够通过安全巡检提前发现问题，避免损失，而绝大多数政企机构只能在重大损失发生之后，或被第三方机构通报之后才能发现安全问题。  安全意识问题依旧是制约政企机构安全生产的根本性问题。近三成左右的应急事件与弱口令有关；内部人员违规操作引发的应急响应事件占 2025 年 95015 服务平台接报事件总量的五分之一；而因员工安全意识不足导致的各类风险更是层出不穷，包括遭受黑客钓鱼攻击、私自下载携带恶意软件的应用程序、滥用 U 盘引发系统瘫痪，以及随意开放端口感染勒索病毒等。值得注意的是，钓鱼邮件的利用占比呈现显著增长态势，从 2024 年的 4.7%快速攀升至 2025 年的 13.6%，增幅接近两倍。这一趋势进一步凸显了大中型政企机构亟需加强内部员工网络安全防范意识培训的紧迫性。  2025 年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动，通过实际的攻击模拟和防御演练，企业可以更好地发现和识别可能存在的安全漏洞，能够尽早发现并修复潜在的威胁，防止实际攻击的发生，减少潜在的损失。 摘 要  2025 年，95015 服务平台共接到全国政企机构网络安全应急事件报告 575 起。奇安信安服团队累计投入工时 4170.5 小时处置相关事件，折合 521.3 人天，处置一起应急事件平均用时 7.3 小时。  从行业分布来看，2025 年 95015 服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，为 76 起，占比 13.2%；其次是制造业、金融机构，均占比 12.5%。此外，事业单位、IT 信息技术等行业也是网络安全应急响应事件高发行业。  59.5%的政企机构，是在系统已经出现了非常明显的入侵迹象后，拨打的 95015 网络安全服务热线；21.0%的政企机构，是在被攻击者勒索之后进行的报案求助。而真正能够通过安全运营巡检，提前发现问题的政企机构仅占比 14.2%。  从网络安全事件的影响范围来看，50.6%的事件主要影响业务专网，而主要影响办公网的事件占比 49.4%。从受影响的设备数量来看，失陷服务器为 10349 台，失陷办公终端为 1498 台。业务专网、服务器是网络攻击者攻击的主要目标。  从网络安全事件造成的损失来看，造成生产效率低下的事件 157 起，占比 27.3%；造成数据泄露的事件 92 起，占比 16.0%；造成数据丢失的事件 77 起，占比 13.4%；此外，造成政企机构声誉影响的事件 56 起，造成数据被篡改的事件 18 起。  内部人员为了方便工作等原因进行违规操作，进而导致系统出现故障或被入侵，触发应急响应的网络安全事件多达 115 起。这一数量仅次于黑产活动（201 起）、超过了窃取重要数据（99 起）和敲诈勒索（65 起）等为目的的外部网络攻击事件。  以恶意程序为主要手段的网络攻击最为常见，占比 35.5%；其次是漏洞利用，占比25.1%；钓鱼邮件排第三，占比 13.4%。Web 应用 CC 攻击、网页篡改、网络监听攻击、拒绝服务攻击等也比较常见。还有约 18.7%的安全事件，并非网络攻击事件。  应急事件分析显示，勒索病毒、银狐木马、挖矿木马是攻击者使用最多的恶意程序类型，分别占到恶意程序攻击事件的 11.3%、11.3%和 8.2%。此外，APT 专用木马、蠕虫病毒、DDOS 木马、网站木马等也都是经常出现的恶意程序类型。  在应急响应事件处置的勒索软件中，排名第一的是 Weaxor 勒索软件，全年触发大中型政企机构网络安全应急响应事件 9 次；其次是 Makop 勒索软件 5 次，RNTC 勒索软件和 Wannacry 勒索软件均为 3 次。这些流行的勒索病毒，十分值得警惕。  永恒之蓝漏洞是攻击者在 2025 年利用最多的网络安全漏洞，相关应急事件多达 145起，占比 25.2%。其次是弱口令，相关利用事件为 140 起，占比 24.3%。 关键词：95015、应急响应、安全服务、永恒之蓝、内部违规、敲诈勒索、漏洞利用 目 录 第一章 网络安全应急响应形势综述 .............................................................. 1 第二章 应急响应事件受害者分析 .................................................................. 2 一、 行业分布 ........................................................................................... 2 二、 事件发现 ........................................................................................... 2 三、 影响范围 ........................................................................................... 3 四、 事件损失 ........................................................................................... 4 第三章 应急响应事件攻击者分析 .................................................................. 5 一、 攻击意图 ........................................................................................... 5 二、 攻击手段 ........................................................................................... 6 三、 恶意程序 ..............................