在線交易系統(tǒng)安全成為黑客攻擊“重災區(qū)”,。《經(jīng)濟參考報》記者日前從2014中國計算機網(wǎng)絡安全年會上獲悉,,2013年銀行,、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門,、網(wǎng)頁篡改等各類安全事件超過500起,,存在交易信息被篡改、投資信息被泄露等諸多高危風險,。
與此同時,,地方政府網(wǎng)站也正面臨安全考驗。據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測發(fā)現(xiàn),,2013年,,我國境內(nèi)被篡改網(wǎng)站數(shù)量為24034個,其中政府網(wǎng)站被篡改數(shù)量為2430個,;我國境內(nèi)被植入后門的網(wǎng)站數(shù)量為76160個,,其中政府網(wǎng)站2425個。
記者了解到,,當前我國網(wǎng)絡空間安全不容樂觀,,面臨大量來自境外地址的網(wǎng)站后門、網(wǎng)絡釣魚,、木馬和僵尸網(wǎng)絡等攻擊,。特別是國家級有組織網(wǎng)絡攻擊行為顯著增多,給國家關鍵基礎設施和重要信息系統(tǒng)帶來嚴重威脅和挑戰(zhàn),。
在線交易系統(tǒng)面臨考驗
隨著互聯(lián)網(wǎng)和金融行業(yè)的深度融合,,以余額寶、現(xiàn)金寶,、理財通等為代表的互聯(lián)網(wǎng)金融產(chǎn)品市場持續(xù)升溫,。這在給人們生活帶來便利的同時也引入新的安全風險。
國家互聯(lián)網(wǎng)應急中心監(jiān)測發(fā)現(xiàn),,2013年銀行,、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞,、網(wǎng)站后門、網(wǎng)頁篡改等各類安全事件超過500起,,存在交易信息被篡改,、投資信息被泄露等諸多高危風險。
2013年12月,,支付寶錢包客戶端IOS版被披露存在手勢密碼漏洞,,連續(xù)輸錯5次手勢密碼后可導致密碼失效,使得攻擊者可以隨意進入手機支付寶賬戶,,免密碼進行小額支付,。此外,淘寶網(wǎng)也被披露存在認證漏洞,,可登錄任意淘寶賬戶,,給用戶資金安全造成威脅。
“此類互聯(lián)網(wǎng)公司通過所運營的在線交易信息系統(tǒng),,掌握大量用戶資金,、真實身份、經(jīng)濟狀況,、消費習慣等信息,,系統(tǒng)一旦出現(xiàn)安全漏洞,風險會隨之傳導到關聯(lián)銀行,、證券,、電商等其他行業(yè),產(chǎn)生連鎖反應,�,!眹一ヂ�(lián)網(wǎng)應急中心副主任云曉春說。
與此同時,,跨平臺釣魚攻擊也呈增長趨勢,。據(jù)悉,2013年,,黑客利用安卓系統(tǒng)的“簽名驗證繞過”高危漏洞,,制作散播大量仿冒國內(nèi)主流銀行等金融機構的移動應用,,誘導用戶安裝,,盜取用戶銀行賬戶信息。
“他們在盜取銀行賬號和密碼后,,在通過仿冒的相應手機銀行安全插件的惡意程序,,截取用戶收到的短信驗證碼,使黑客進一步完成網(wǎng)銀支付,、轉賬等交易操作,,從而牟利。”國家互聯(lián)網(wǎng)應急中心何能強博士說,。
數(shù)據(jù)顯示,,去年釣魚網(wǎng)站數(shù)量繼續(xù)迅速增長,我國境內(nèi)網(wǎng)站的釣魚頁面30199個,,涉及IP地址4240個,,分別較2012年增長35.4%和64.6%。
地方政府網(wǎng)站頻遭攻擊
在被篡改和植入后門的政府網(wǎng)站中,,九成以上是省市級以下的地方政府網(wǎng)站,。其中一些部門面對預警通報只進行了簡單處理,還有一些部門甚至置之不理,。
據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測,,2013年,我國境內(nèi)被篡改網(wǎng)站數(shù)量為24034個,,較2012年增長46.7%,,其中政府網(wǎng)站被篡改數(shù)量為2430個,較2012年增長34.9%,;我國境內(nèi)被植入后門的網(wǎng)站數(shù)量為76160個,,較2012年增長45.6%,其中政府網(wǎng)站2425個,。
“被篡改和植入后門的政府網(wǎng)站中,,超過90%是省市級以下的地方政府網(wǎng)站,超過75%的篡改方式是網(wǎng)站首頁植入廣告黑鏈,�,!眹一ヂ�(lián)網(wǎng)應急中心研發(fā)部負責人嚴寒冰對《經(jīng)濟參考報》記者說,由于地方政府存在技術和管理水平有限,,網(wǎng)絡安全防護能力薄弱,,人員和資金投入不足等問題,其網(wǎng)站服務器成為黑客控制的資源節(jié)點,。
“去年,,我們通報了1600起涉及政府部門的網(wǎng)站漏洞,一些部門收到預警通報后卻置之不理,,導致安全威脅長期存在,。”嚴寒冰說,,另一些部門則只針對安全事件進行簡單清除,,未對網(wǎng)站進行詳細檢測和加固處理,結果導致反復多次遭受攻擊,。
盡管國務院部委門戶網(wǎng)站安全狀況良好,,不過部分子站和業(yè)務系統(tǒng)仍然存在較多安全漏洞和風險點,,可能成為黑客進一步實施攻擊的跳板。
據(jù)了解,,境外黑客組織攻擊我國政府網(wǎng)站日趨頻繁,。2013年,境外“匿名者”,、“阿爾及利亞黑客”等多個黑客組織先后篡改我國187個政府網(wǎng)站,。
2013年12月19日下午,央行宣布不認可比特幣,,要求國內(nèi)第三方支付機構停止為比特幣交易平臺提供充值和支付服務后,,央行官方網(wǎng)站和新浪官方微博遭到黑客攻擊,出現(xiàn)間歇性訪問困難和大量異常評論,。
國家級有組織網(wǎng)絡攻擊增多
數(shù)據(jù)顯示,,我國面臨大量來自境外地址的網(wǎng)站后門、網(wǎng)絡釣魚,、木馬和僵尸網(wǎng)絡等攻擊,。特別是國家級有組織網(wǎng)絡攻擊行為顯著增多,給國家關鍵基礎設施和重要信息系統(tǒng)帶來嚴重威脅和挑戰(zhàn),。
2013年6月以來,,斯諾登曝光“棱鏡計劃“等多項美國國家安全局網(wǎng)絡監(jiān)控項目,披露美國情報機構對多個國家和民眾長期實施監(jiān)聽和網(wǎng)絡滲透攻擊,。根據(jù)曝光信息,,美國分別通過互聯(lián)網(wǎng)、通信網(wǎng),、企業(yè)服務器等多種渠道以及采用網(wǎng)絡入侵手段,,實施信息監(jiān)聽和收集,監(jiān)控對象包括多國政要,、外交系統(tǒng),、媒體網(wǎng)絡、大型企業(yè)網(wǎng)絡和國際組織等,。我國屬于其重點監(jiān)聽和攻擊目標,。
去年以來,越來越多的有組織高級持續(xù)性威脅(APT)攻擊事件浮出水面,,APT成為國家間網(wǎng)絡對抗的新型武器,。以去年美韓軍事演習為例,其間韓國多家廣播電視臺和銀行等金融機構遭受歷史上最大規(guī)模的惡意代碼攻擊,,導致系統(tǒng)癱瘓,,引發(fā)韓國社會一度混亂。
“獲知信息后,,我們第一時間與韓國計算機應急相應組織聯(lián)系,,并協(xié)助調(diào)查,及時消除攻擊來自中國的誤會,�,!焙文軓娬f。
實際上,,我國同樣面臨嚴重的APT攻擊威脅,,一些國家利用信息化技術優(yōu)勢,大力推動研發(fā)計算機病毒武器,,破解互聯(lián)網(wǎng)加密算法,,或直接在標準算法中放置后門,持續(xù)對我國實施APT攻擊,。我國政府機構,、基礎電信企業(yè)、科研院所,、大型商業(yè)機構的網(wǎng)絡信息系統(tǒng)遭受攻擊和滲透入侵,。據(jù)統(tǒng)計,2013年我國境內(nèi)有1.5萬臺主機被APT木馬控制,。
我國還面臨大量來自境外地址的攻擊威脅,。無論是在網(wǎng)絡釣魚攻擊、植入后門,,還是木馬僵尸網(wǎng)絡,,美國均處于首位。數(shù)據(jù)顯示,,美國通過6215臺主機植入后門對我國15349個網(wǎng)站實施遠程控制,;通過2043臺主機承載我國12573個釣魚頁面;通過8807個木馬或僵死服務器控制了我國境內(nèi)448.5萬余臺主機,,由2012年的17.6%增長至30.2%,。
相關專家表示,網(wǎng)絡入侵已經(jīng)從最開始的黑客之間的“互相問候”,,演變?yōu)閲c國之間的攻防戰(zhàn)爭,,進入了“大玩家”時代。
| |
三記重拳開啟中國網(wǎng)絡安全元年 |
|
記者 彭勇 周強/廣州報道 |
近年來,,國際上屢次發(fā)生的網(wǎng)絡安全漏洞導致重大安全事件為我國敲響警鐘,,隨著我國網(wǎng)民數(shù)量躍居世界第一位,網(wǎng)絡安全對于國家安全的重要意義早已不亞于糧食安全和國防安全,。
針對網(wǎng)絡和信息安全形勢不容樂觀的現(xiàn)狀,,我國已從完善頂層設計、加強安全審查,、加大網(wǎng)絡基礎設施建設力度等方面提升網(wǎng)絡與信息安全保障水平,。外界普遍認為,,2014年是中國網(wǎng)絡安全元年,這一年中國動作頻頻,,效果明顯,。
網(wǎng)絡信息安全小組架構頂層設計
2014年2月27日,中央網(wǎng)絡安全和信息化領導小組宣告成立,。習近平擔任組長,,在中央網(wǎng)信領導小組第一次會議上,習近平提出“沒有網(wǎng)絡安全就沒有國家安全”,,這標志著網(wǎng)絡安全上升至國家戰(zhàn)略高度,。
我國網(wǎng)絡管理體制由于歷史原因,造成“九龍治水”的管理格局,。面對互聯(lián)網(wǎng)技術和應用飛速發(fā)展,,現(xiàn)行管理體制存在明顯弊端,多頭管理,、職能交叉,、權責不一、效率不高,。同時,,隨著互聯(lián)網(wǎng)媒體屬性越來越強,網(wǎng)上媒體管理和產(chǎn)業(yè)管理遠遠跟不上形勢發(fā)展變化,。
放眼世界,,各國都在大力加強網(wǎng)絡安全建設和頂層設計。據(jù)了解,,截至目前,,已有40多個國家頒布了網(wǎng)絡空間國家安全戰(zhàn)略,僅美國就頒布了40多份與網(wǎng)絡安全有關的文件,。美國還在白宮設立“網(wǎng)絡辦公室”,,并任命首席網(wǎng)絡官,直接對總統(tǒng)負責,。2014年2月,,總統(tǒng)奧巴馬又宣布啟動美國《網(wǎng)絡安全框架》。德國總理默克爾2月19日與法國總統(tǒng)奧朗德探討建立歐洲獨立互聯(lián)網(wǎng),,擬從戰(zhàn)略層面繞開美國以強化數(shù)據(jù)安全,。歐盟三大領導機構明確,計劃在2014年底通過歐洲數(shù)據(jù)保護改革方案,。作為中國亞洲鄰國,,日本和印度也一直在積極行動。日本2013年6月出臺《網(wǎng)絡安全戰(zhàn)略》,明確提出“網(wǎng)絡安全立國”,。印度2013年5月出臺《國家網(wǎng)絡安全策略》,,目標是“安全可信的計算機環(huán)境”。因此,,接軌國際,,建設堅固可靠的國家網(wǎng)絡安全體系,,是中國必須作出的戰(zhàn)略選擇,。
“由此可見,伴隨著中央網(wǎng)絡安全與信息化領導小組的成立,,我國的網(wǎng)絡安全與信息化管理體制機制正在發(fā)生深刻的變化,,以往存在的一些明顯弊端有可能被克服�,!敝袊姓w制改革研究會副會長汪玉凱表示,,在這個新框架內(nèi),不僅預示我國新的信息化戰(zhàn)略和網(wǎng)絡強國戰(zhàn)略會被提上重要議事日程,,而且也預示中國在打一場信息技術和網(wǎng)絡技術的翻身仗方面,,也將迎來新的突破。
“WIN8禁令”讓國產(chǎn)操作系統(tǒng)迎春天
政府采購計劃對WIN8說“不”的消息引發(fā)社會關注,,業(yè)內(nèi)普遍認為,,此舉主要出于安全考慮,凸顯政府對信息安全的高度重視,。
中國工程院院士倪光南表示,,WIN8操作系統(tǒng)采用了對于他國不安全的技術構架——它集成了殺毒軟件,可以經(jīng)常掃描用戶的電腦,,采用該系統(tǒng)的電腦面臨著被監(jiān)控的風險,,進一步加劇了我國網(wǎng)絡安全不可控而導致的風險。
如此擔憂并非空穴來風,。4月8日,,微軟宣布停止對Windows XP系統(tǒng)的服務支持。這意味著XP系統(tǒng)將迎來“裸奔”的尷尬境地,,隨著漏洞問題凸顯,,我國XP用戶將遭遇黑客頻繁攻擊。
多名網(wǎng)絡安全業(yè)內(nèi)人士表示,,美國眾多科技公司曾與美國政府合作,,幫助美國國家安全局獲得他國互聯(lián)網(wǎng)上的加密文件數(shù)據(jù),這讓多國政府更加認識到國家網(wǎng)絡信息安全的嚴重性和緊迫性,。
事實上,,早在上世紀末,我國就已開始了基于Linux核心的國產(chǎn)操作系統(tǒng)研發(fā),,經(jīng)過十多年的發(fā)展,,其易用性和安全性獲得了明顯改善,。中科紅旗開發(fā)的紅旗Linux在多個重要部門使用,而Ubuntu麒麟則在企業(yè)頗受認可,。
安全專家,、安天實驗室首席架構師肖新光認為,政府拒絕采購WIN8,,對國產(chǎn)操作系統(tǒng)來說無疑是一聲春雷,。不少網(wǎng)民表示,國產(chǎn)操作系統(tǒng)一旦構建起一個成熟的應用生態(tài)圈,,取代“洋”系統(tǒng)指日可待,。
武漢深之度科技有限公司總經(jīng)理劉文歡表示,要形成生態(tài)圈的突破點在于實際使用占有率超過3%,,一旦過線,,市場這只無形的手就能指揮起各家廠商共建生態(tài)系統(tǒng)。因而,,初期確實需要借政府“有形之手”獲得時間和空間,。
網(wǎng)絡安全審查倒逼企業(yè)加大安全投入
5月22日,,國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱,,為維護國家網(wǎng)絡安全、保障中國用戶合法利益,,我國即將推出網(wǎng)絡安全審查制度,。該制度規(guī)定,關系國家安全和公共利益的重要技術產(chǎn)品和服務,,應通過網(wǎng)絡安全審查,。
作為提供產(chǎn)品和服務的主體,我國互聯(lián)網(wǎng)企業(yè)近期頻發(fā)大規(guī)模信息泄露事故,。5月14日,,國內(nèi)手機廠商小米發(fā)生用戶信息泄露事故,其中涉及800萬用戶的短信,、通訊錄,、精確位置等私密信息;今年3月,,攜程網(wǎng)大量用戶信用卡賬號,、姓名、身份證號等敏感信息泄露,;2013年10月,,多家酒店的開房信息因系統(tǒng)漏洞發(fā)生泄露,2000萬條開房信息在網(wǎng)上“裸奔”。
隨著云計算,、大數(shù)據(jù)技術的廣泛應用,,企業(yè)保存的用戶數(shù)據(jù)量越來越大,大規(guī)模數(shù)據(jù)泄露的風險也越來越大,,大規(guī)模信息泄露事故高發(fā)期已經(jīng)到來,。
“與現(xiàn)實不相稱的是,國內(nèi)互聯(lián)網(wǎng)企業(yè)普遍片面追求發(fā)展速度,,不愿加大安全投入,,在黑客面前不堪一擊,與安全審查要求存在較大差距,�,!鄙虾3炚鹪朴嬎憧萍加邢薰綜EO王琦認為,,網(wǎng)絡安全審查制度將倒逼企業(yè)加大安全投入,。
實際上,根據(jù)2012年發(fā)布的《“十二五”國家政務信息化工程建設規(guī)劃》,,“基本建成國家網(wǎng)絡與信息安全基礎設施,,網(wǎng)絡與信息安全保障作用明顯增強”被列入“十二五”期末達成的時間表。由此可見,,建立切實可行的網(wǎng)絡安全審查制度勢在必行,。
專家表示,網(wǎng)絡安全審查制度直接針對的對象就是肩負筑起網(wǎng)絡安全框架的網(wǎng)絡信息安全基礎設施建設,,此次明確推進網(wǎng)絡安全審查制度瞄準產(chǎn)品和服務,,就是原本網(wǎng)絡審查更重內(nèi)容審查而輕視基礎設施安全審查的終結,取而代之的,,則是針對網(wǎng)絡信息基礎設施以及產(chǎn)品內(nèi)容和服務的全方位審查,。
北京天融信科技股份有限公司總裁于海波表示:“包括網(wǎng)絡信息安全基礎設施在內(nèi)的硬件建設作為觸及國家網(wǎng)絡安全的最主要戰(zhàn)地,在其地位不斷得以強化的同時,,建立切實可行的網(wǎng)絡安全審查制度,,從管理手段上強化并確保制度不打折扣地予以貫徹執(zhí)行同樣十分重要�,!�
