看现状 互联网业务频现安全问题
2013年,我国基础网络安全防护水平有较大提升。这份报告显示,基础网络安全防护水平和防范意识进一步提高,三大电信运营商符合性评测达标率均在97%以上,并侧重加大对用户个人信息保护工作的检查力度,通过对安全隐患的测试和修复,有效降低了通信网络的安全风险。
然而,由于互联网与社会经济的融合度加深,经济信息尤其是信息消费领域面临更多的安全风险。去年,互联网与金融行业深度融合,以余额宝、现金宝、理财通等为代表的互联网金融产品市场火爆,在线经济活动日趋活跃。但与此同时,钓鱼攻击呈现跨平台发展趋势,在线交易系统防护稍有不慎即可能引发连锁效应,影响金融安全和信息消费。互联网公司通过所运营的在线交易信息系统,掌握大量用户资金、真实身份、经济状况、消费习惯等信息,系统出现安全问题后,风险也随之传导至关联的银行、证券、电商等其他行业,产生连锁反应。
基础信息网络承载的互联网业务频现安全问题。2013年,某OTT业务出现故障,全国多地有6000多万用户无法正常使用,用户感知强烈。部分互联网公司的网站域名在某些地区被劫持,甚至被强行插入广告窗口,某些宽带接入商在小区路由器上对部分网站进行劫持跳转等事件,严重影响用户体验,损害互联网企业和网民利益。可见,互联网业务的不断创新导致安全问题不断演化,如何及时、有效应对,需要互联网服务商和基础电信企业共同努力。
移动互联网恶意程序数量继续大幅增长,恶意程序的制作、发布、预装、传播等初步形成一条完整的利益链条,移动互联网生态系统环境呈恶化趋势。
这份报告显示,2013年CNCERT监测发现移动互联网恶意程序传播次数达到1296万余次,移动互联网恶意程序下载链接1207万个,用于传播移动互联网恶意程序的域名15247个、IP地址60976个。CNCERT认为,移动应用商店的审核机制不完善、安全检测能力差等问题,使得恶意程序得以发布和扩散。2013年发现某电商出售的行货手机,被第三方预置隐私窃取类手机病毒,能静默上传手机号、IMEI号、联网IP地址、位置信息、程序列表等,累计感染的手机数量超过200万。移动应用商店、手机经销商等移动互联网生态系统的上游环节被污染,导致下游用户感染恶意程序的速度加剧。
政府网站面临威胁依然严重,地方政府网站成为“重灾区”。据CNCERT监测,2013年,我国境内被篡改网站数量为24034个,较2012年增长46.7%,其中政府网站被篡改数量为2430个,较2012年增长34.9%;我国境内被植入后门的政府网站数量为2425个,较2012年下降19.6%。在被篡改和植入后门的政府网站中,超过90%是省市级以下的地方政府网站,超过75%的篡改方式是在网站首页植入广告链接。
敲警钟 “扫一扫”背后藏风险
今年我国互联网面临的安全形势将更为复杂, 这份报告从应用层面上提出了以下值得关注的问题。
设备智能化促使网络安全威胁向物联网延伸。2013年,美国“黑帽子”大会展示10多项针对电网、智能家居、汽车等控制系统智能设备的攻击或监控技术,同时出现大规模“冰箱僵尸网络”等针对智能家电的恶意攻击事件,表明针对物联网中智能设备的攻击技术已取得突破。此外,由于安卓系统已成为智能设备的主流平台,针对安卓系统的攻击威胁也会迅速从移动互联网辐射至物联网。
社交网络成为黑客攻击和网络犯罪的新途径。2014年基于社交网络的恶意程序攻击将增多,甚至可能出现利用社交网络发布命令、实施控制的新型僵尸网络,社交网络免费开放的第三方应用接口将成为黑客进行违法犯罪活动的突破口。
云平台的应用普及加大信息泄露风险和事件处置难度。随着云平台的应用普及和大数据技术的发展,一方面,集成大量同类数据的云端如同“地下宝藏”,其一旦发生信息泄露,将对整个行业造成影响。另一方面,由于云平台使用方便、成本低廉,黑客将大量利用云平台进行钓鱼网站部署、恶意程序传播控制和网络攻击跳板,而云平台的使用给传统基于IP地址的追踪溯源带来困难,事件处置难度进而增大。
移动支付安全和移动终端漏洞成为移动互联网发展的新挑战。2014年,4G网络的大面积商用将进一步推动各类金融、证券、电商等移动应用的普及,这也将导致针对移动互联网应用的仿冒App和恶意插件增多。此外,针对智能终端设备硬件、操作系统、应用程序等的安全漏洞挖掘将增多,这将导致针对移动互联网和智能终端的攻击增多。大量智能终端设备通过家用无线路由器、公用WiFi等接入互联网,通过这些设备进行网络劫持和网络钓鱼等事件的曝光,暴露出诸多安全隐患。
微软停止对Windows XP系统的服务支持可能导致零日漏洞攻击增多。2014年4月8日,微软将正式停止对Windows XP系统的技术支持与更新。由于Windows XP系统市场占有份额高,据统计在我国安装和使用该系统的计算机将近2亿台,一旦系统支持与更新停止,这些计算机将面临严重安全风险,黑客可能会加强对该系统的零日漏洞挖掘,用于对高价值目标计算机攻击或控制,造成信息泄露、系统瘫痪、经济损失等严重后果。
传统短信验证和新兴二维码扫描方式背后均面临安全风险。2014年通过手机木马劫持支付验证码短信,窃取用户账户信息的活动将呈高发态势。黑客利用手机木马拦截验证码短信,并进一步套取用户网络支付账号和密码。此外,二维码隐蔽性高,制作成本低,其背后未经安全认证的网站链接和应用程序逐步成为黑客的青睐对象。
开药方 制定国家级网络信息安全战略
没有网络安全,就没有国家安全。以互联网为核心的网络空间已成为第五大战略空间,各国均高度重视网络空间的安全问题。2013年,斯诺登披露的“棱镜门”事件如同重磅炸弹,更是引发了国际社会和公众对网络安全的空前关注。
在我国,随着“宽带中国”战略推进实施,互联网升级全面提速,用户规模快速增长,移动互联网新型应用层出不穷,4G网络正式启动商用,虚拟运营商牌照陆续发放,网络化和信息化水平显著提高,极大促进传统产业转型升级,带动信息消费稳步增长。
维护互联网网络安全,是保障各领域信息化工作持续稳定发展的先决条件。我国政府相关部门、互联网服务机构、网络安全企业和广大网民对网络安全的重视程度日益提高,不断加强自身防护水平,加大网络安全威胁治理力度,积极参与网络安全国际合作,以期建立安全可信的网络环境,确保基础网络和重要信息系统安全运行,促进产业经济稳定发展。对此,这份报告对我国互联网网络信息安全提出了下述建议。
加快推动制定网络安全战略和相关政策,统筹规划网络安全保障能力。报告建议,尽快制定我国国家级网络信息安全战略,同时制定相关的配套法规政策,明确相关主体工作内容和责任义务。此外,建议加强网络安全保障工作的顶层设计,继续健全跨部门、跨行业、跨地域的网络安全保障协作机制,实现国家全局网络安全能力的协同联动和专业支撑。
加大网络安全工作投入,提高网络安全防护意识。报告建议相关行业、企业和政府部门,加大在网络设备和技术研发方面的投入,强化安全防护和管理,提高自身应对网络安全新风险的能力,以减少技术不断发展引起的网络安全隐患。同时,进一步加强对网络安全的重视程度和安全意识。
加强网络安全技术手段建设,提高对网络攻击主体的追溯能力。建议加强实现网络安全技术手段的研究和建设,提高对网络攻击的威胁监测、全局感知、预警防护、应急处置、协同联动等能力,并进一步提高对网络攻击的追踪溯源能力。
提高核心设备国产化水平,加快完善信息安全审查制度。建议加强网络关键设备和核心技术的研发与推广,提高重点行业和重要信息系统中联网设备软硬件的国产化水平,提升软硬件产品和服务的自主可控能力。这份报告也认为,在较长一段时间内,我国各部门仍然不可避免地要使用国外主流网络设备和互联网服务,建议加强对联网系统的安全防护检查和动态监测能力,提高对系统漏洞的发现能力,并尽快完善信息安全审查制度框架。
加强移动互联网恶意程序治理,维护良性的移动生态环境。这份报告建议政府主管部门加大移动互联网监管力度,从制作、发布、传播环节加大对恶意程序的打击力度,在源头上遏制移动互联网地下黑色产业链的蔓延。同时,建议通信行业、互联网行业、软硬件厂商等充分发挥优势,加强行业联动和信息技术共享,提升对移动互联网恶意程序的监测能力,提高处置效率。
