看现状@@ 互联网@@@@业务频现安全问题@@
2013年@@,我国基础网络安全防护水平有较@@大提升@@。这份报告显示@@,基础网络安全防护水平和防范意识进一步提高@@,三大电信运营商符合性评测达标率均在@@97%以上@@,并侧重加大对用户个@@人信息保护工作的检查力度@@,通过对安全隐患的测试和修复@@,有效降低了通信网络的安全风险@@。
然而@@,由于@@互联网@@@@与社会经济的融合度加深@@,经济信息尤其是信息消费@@领域面临更多@@的安全风险@@。去年@@@@,互联网@@@@与金融行业深度融合@@,以余额宝@@、现金宝@@、理财通等为代表的互联网@@@@金融产品市场火爆@@,在线经济活动日@@趋活跃@@。但与此同时@@@@,钓鱼攻击呈现跨平台@@发展趋势@@,在线交易系统防护稍有不慎即可能引发连锁效应@@,影响金融安全和信息消费@@@@。互联网@@@@公司通过所运营的在线交易信息系统@@,掌握大量用户资金@@、真实身份@@、经济状况@@、消费习惯等信息@@,系统出现安全问题后@@,风险也随之传导至关联的银行@@、证券@@、电商等其他行业@@,产生连锁反应@@。
基础信息网络承载的互联网@@@@业务频现安全问题@@@@。2013年@@,某@@OTT业务出现故障@@,全国多地有@@6000多万@@用户无法正常使用@@,用户感知强烈@@。部分互联网@@@@公司的网站域名在某@@些地区被劫持@@,甚至被强行插入广告窗口@@,某@@些宽带接入商在小区路由器上对部分网站进行劫持跳转等事件@@,严重影响用户体验@@,损害互联网@@@@企业和网民利益@@。可见@@,互联网@@@@业务的不断创新导致安全问题不断演化@@,如何及时@@、有效应对@@,需要互联网@@@@服务商和基础电信企业共同努力@@。
移动互联网@@@@恶意程序数量继续大幅增长@@,恶意程序的制作@@、发布@@、预装@@、传播等初步形成一条完整的利益链条@@,移动互联网@@@@生态系统环境呈恶化趋势@@。
这份报告显示@@,2013年@@CNCERT监测@@发现移动互联网@@@@恶意程序传播次@@数达到@@1296万@@余次@@@@,移动互联网@@@@恶意程序下载链接@@1207万@@个@@@@,用于传播移动互联网@@@@恶意程序的域名@@15247个@@、IP地址@@60976个@@。CNCERT认为@@,移动应用商店@@的审核机制不完善@@、安全检测能力差等问题@@,使得恶意程序得以发布@@和扩散@@。2013年@@发现某@@电商出售的行货手机@@,被第三方预置隐私窃取类手机病毒@@,能静默上传手机号@@@@、IMEI号@@、联网@@IP地址@@、位置信息@@、程序列表等@@,累计感染的手机数量超过@@@@200万@@。移动应用商店@@、手机经销商等移动互联网@@@@生态系统的上游环节被污染@@,导致下游用户感染恶意程序的速度加剧@@。
政府@@网站@@面临威胁依然严重@@,地方政府@@网站@@成为@@“重灾区@@”。据@@CNCERT监测@@,2013年@@,我国境内被篡改网站数量为@@24034个@@,较@@2012年@@增长@@46.7%,其中@@政府@@网站@@被篡改数量为@@2430个@@,较@@2012年@@增长@@34.9%;我国境内被植入后门的政府@@网站@@数量为@@2425个@@,较@@2012年@@下降@@19.6%。在被篡改和植入后门的政府@@网站@@中@@,超过@@90%是省市级以下的地方政府@@网站@@@@,超过@@75%的篡改方式是在网站首页@@植入广告链接@@。[page]
敲警钟@@ “扫一扫@@”背后藏风险@@
今年@@我国互联网@@@@面临的安全形势将更为复杂@@, 这份报告从应用层面上提出了以下值得关注@@的问题@@。
设备智能化促使网络安全威胁向物联网@@延伸@@。2013年@@,美国@@“黑帽子@@”大会展示@@10多项针对电网@@、智能家居@@、汽车等控制系统智能设备的攻击或监控技术@@,同时@@出现大规模@@“冰箱僵尸网络@@”等针对智能家电的恶意攻击事件@@,表明针对物联网@@中智能设备的攻击技术已取得突破@@。此外@@,由于@@安卓系统已成为智能设备的主流平台@@@@,针对安卓系统的攻击威胁也会迅速从移动互联网@@@@辐射至物联网@@@@。
社交网络成为黑客攻击和网络犯罪的新途径@@。2014年@@基于社交网络的恶意程序攻击将增多@@,甚至可能出现利用社交网络发布@@命令@@、实施控制的新型僵尸网络@@,社交网络免费开放的第三方应用接口将成为黑客进行违法犯罪活动的突破口@@。
云平台@@的应用普及加大信息泄露风险和事件处置难度@@。随着@@云平台@@的应用普及和大数据@@技术的发展@@,一方面@@,集成大量同类数据@@的云端如同@@“地下宝藏@@”,其一旦发生信息泄露@@,将对整个@@行业造成影响@@。另一方面@@@@,由于@@云平台@@使用方便@@、成本低廉@@,黑客将大量利用云平台@@进行钓鱼网站部署@@、恶意程序传播控制和网络攻击跳板@@,而云平台@@的使用给传统基于@@IP地址@@的追踪溯源带来困难@@,事件处置难度进而增大@@。
移动支付安全和移动终端漏洞成为移动互联网@@@@发展的新挑战@@。2014年@@,4G网络的大面积商用将进一步推动各类金融@@、证券@@、电商等移动应用的普及@@,这也将导致针对移动互联网@@@@应用的仿冒@@App和恶意插件增多@@。此外@@,针对智能终端设备硬件@@、操作系统@@、应用程序等的安全漏洞挖掘将增多@@,这将导致针对移动互联网@@@@和智能终端的攻击增多@@。大量智能终端设备通过家用无线路由器@@、公用@@WiFi等接入互联网@@@@@@,通过这些设备进行网络劫持和网络钓鱼等事件的曝光@@,暴露出诸多安全隐患@@。
微软停止对@@Windows XP系统的服务支持可能导致零日@@漏洞攻击增多@@。2014年@@4月@@8日@@,微软将正式停止对@@Windows XP系统的技术支持@@与更新@@。由于@@Windows XP系统市场占有份额高@@,据@@统计在我国@@安装和使用该系统的计算机将近@@2亿台@@,一旦系统支持与更新停止@@,这些计算机将面临严重安全风险@@,黑客可能会加强对该系统的零日@@漏洞挖掘@@,用于对高价值目标计算机攻击或控制@@,造成信息泄露@@、系统瘫痪@@、经济损失等严重后果@@。
传统短信验证和新兴二维码@@扫描方式背后均面临安全风险@@。2014年@@通过手机木马劫持支付验证码短信@@,窃取用户账户信息的活动将呈高发态势@@。黑客利用手机木马拦截验证码短信@@,并进一步套取用户网络支付账号@@和密码@@。此外@@,二维码@@隐蔽性高@@,制作成本低@@,其背后未经安全认证的网站链接和应用程序逐步成为黑客的青睐对象@@。
开药方@@ 制定国家级网络信息安全战略@@
没有网络安全@@,就没有国家安全@@。以互联网@@@@为核心的网络空间@@已成为第五大战略空间@@@@,各国均高度重视网络空间@@的安全问题@@。2013年@@,斯诺登披露的@@“棱镜门@@”事件如同重磅炸弹@@,更是引发了国际社会和公众对网络安全的空前关注@@@@。
在我国@@,随着@@“宽带中国@@”战略推进实施@@,互联网@@@@升级全面提速@@,用户规模快速增长@@,移动互联网@@@@新型应用层出不穷@@,4G网络正式启动商用@@,虚拟运营商牌照陆续发放@@,网络化和信息化水平显着提高@@,极大促进传统产业转型升级@@,带动信息消费@@稳步增长@@。
维护互联网@@@@网络安全@@,是保障各领域信息化工作持续稳定发展的先决条件@@。我国政府@@相关部门@@、互联网@@@@服务机构@@、网络安全企业和广大网民对网络安全的重视程度日@@益提高@@,不断加强自身防护水平@@,加大网络安全威胁治理力度@@,积极参与网络安全国际合作@@,以期建立安全可信的网络环境@@,确保基础网络和重要信息系统安全运行@@,促进产业经济稳定发展@@。对此@@,这份报告对我国互联网@@@@网络信息安全提出了下述建议@@。
加快推动制定网络安全战略和相关政策@@,统筹规划网络安全保障能力@@。报告建议@@,尽快制定我国国家级网络信息安全战略@@,同时@@制定相关的配套法规政策@@,明确相关主体@@工作内容和责任义务@@。此外@@,建议加强网络安全保障工作的顶层设计@@,继续健全跨部门@@、跨行业@@、跨地域的网络安全保障协作机制@@,实现国家全局网络安全能力的协同联动和专业支撑@@。
加大网络安全工作投入@@,提高网络安全防护意识@@。报告建议@@相关行业@@、企业和政府@@部门@@,加大在网络设备和技术研发方面的投入@@,强化安全防护和管理@@,提高自身应对网络安全新风险的能力@@,以减少技术不断发展引起的网络安全隐患@@。同时@@,进一步加强对网络安全的重视程度和安全意识@@。
加强网络安全技术手段建设@@,提高对网络攻击主体@@的追溯能力@@。建议加强实现网络安全技术手段的研究和建设@@,提高对网络攻击的威胁监测@@@@、全局感知@@、预警防护@@、应急处置@@、协同联动等能力@@,并进一步提高对网络攻击的追踪溯源能力@@。
提高核心设备国产化水平@@,加快完善信息安全审查制度@@。建议加强网络关键设备和核心技术的研发与推广@@,提高重点行业和重要信息系统中联网@@设备软硬件的国产化水平@@,提升软硬件产品和服务的自主可控能力@@。这份报告也认为@@@@,在较@@长一段时间内@@,我国各部门仍然不可避免地要使用国外主流网络设备和互联网@@@@服务@@,建议加强对联网@@系统的安全防护检查和动态监测@@能力@@,提高对系统漏洞的发现能力@@,并尽快完善信息安全审查制度框架@@。
加强移动互联网@@@@恶意程序治理@@,维护良性的移动生态环境@@。这份报告建议@@政府@@主管部门加大移动互联网@@@@监管力度@@,从制作@@、发布@@、传播环节加大对恶意程序的打击力度@@,在源头上遏制移动互联网@@@@地下黑色产业链的蔓延@@。同时@@,建议通信行业@@、互联网@@@@行业@@、软硬件厂商等充分发挥优势@@,加强行业联动和信息技术共享@@,提升对移动互联网@@@@恶意程序的监测@@能力@@,提高处置效率@@。
