在線交易系統安全成為黑客攻擊“重災區”�!督洕鷧⒖紙蟆酚浾呷涨皬2014中國計算機網絡安全年會上獲悉��,2013年銀行��、證券等行業聯網信息系統的安全漏洞����、網站后門����、網頁篡改等各類安全事件超過500起��,存在交易信息被篡改��、投資信息被泄露等諸多高危風險。
與此同時,地方政府網站也正面臨安全考驗��。據國家互聯網應急中心監測發現�,2013年��,我國境內被篡改網站數量為24034個����,其中政府網站被篡改數量為2430個�;我國境內被植入后門的網站數量為76160個,其中政府網站2425個��。
記者了解到��,當前我國網絡空間安全不容樂觀����,面臨大量來自境外地址的網站后門�、網絡釣魚、木馬和僵尸網絡等攻擊�。特別是國家級有組織網絡攻擊行為顯著增多����,給國家關鍵基礎設施和重要信息系統帶來嚴重威脅和挑戰。
在線交易系統面臨考驗
隨著互聯網和金融行業的深度融合,以余額寶��、現金寶����、理財通等為代表的互聯網金融產品市場持續升溫。這在給人們生活帶來便利的同時也引入新的安全風險。
國家互聯網應急中心監測發現����,2013年銀行�、證券等行業聯網信息系統的安全漏洞����、網站后門、網頁篡改等各類安全事件超過500起,存在交易信息被篡改����、投資信息被泄露等諸多高危風險。
2013年12月��,支付寶錢包客戶端IOS版被披露存在手勢密碼漏洞��,連續輸錯5次手勢密碼后可導致密碼失效��,使得攻擊者可以隨意進入手機支付寶賬戶,免密碼進行小額支付�。此外��,淘寶網也被披露存在認證漏洞,可登錄任意淘寶賬戶����,給用戶資金安全造成威脅��。
“此類互聯網公司通過所運營的在線交易信息系統,掌握大量用戶資金�、真實身份�、經濟狀況����、消費習慣等信息,系統一旦出現安全漏洞�,風險會隨之傳導到關聯銀行����、證券�、電商等其他行業,產生連鎖反應��!眹一ヂ摼W應急中心副主任云曉春說�。
與此同時,跨平臺釣魚攻擊也呈增長趨勢��。據悉�,2013年,黑客利用安卓系統的“簽名驗證繞過”高危漏洞��,制作散播大量仿冒國內主流銀行等金融機構的移動應用��,誘導用戶安裝�,盜取用戶銀行賬戶信息�。
“他們在盜取銀行賬號和密碼后����,在通過仿冒的相應手機銀行安全插件的惡意程序,截取用戶收到的短信驗證碼,使黑客進一步完成網銀支付、轉賬等交易操作�,從而牟利�����!眹一ヂ摼W應急中心何能強博士說。
數據顯示,去年釣魚網站數量繼續迅速增長,我國境內網站的釣魚頁面30199個,涉及IP地址4240個�,分別較2012年增長35.4%和64.6%�。
地方政府網站頻遭攻擊
在被篡改和植入后門的政府網站中�,九成以上是省市級以下的地方政府網站。其中一些部門面對預警通報只進行了簡單處理����,還有一些部門甚至置之不理����。
據國家互聯網應急中心監測��,2013年�,我國境內被篡改網站數量為24034個,較2012年增長46.7%�,其中政府網站被篡改數量為2430個��,較2012年增長34.9%;我國境內被植入后門的網站數量為76160個��,較2012年增長45.6%�,其中政府網站2425個。
“被篡改和植入后門的政府網站中��,超過90%是省市級以下的地方政府網站����,超過75%的篡改方式是網站首頁植入廣告黑鏈��!眹一ヂ摼W應急中心研發部負責人嚴寒冰對《經濟參考報》記者說�,由于地方政府存在技術和管理水平有限��,網絡安全防護能力薄弱�,人員和資金投入不足等問題�,其網站服務器成為黑客控制的資源節點。
“去年,我們通報了1600起涉及政府部門的網站漏洞,一些部門收到預警通報后卻置之不理��,導致安全威脅長期存在������!眹篮f�,另一些部門則只針對安全事件進行簡單清除,未對網站進行詳細檢測和加固處理,結果導致反復多次遭受攻擊�。
盡管國務院部委門戶網站安全狀況良好�,不過部分子站和業務系統仍然存在較多安全漏洞和風險點�,可能成為黑客進一步實施攻擊的跳板。
據了解,境外黑客組織攻擊我國政府網站日趨頻繁。2013年�,境外“匿名者”����、“阿爾及利亞黑客”等多個黑客組織先后篡改我國187個政府網站����。
2013年12月19日下午,央行宣布不認可比特幣,要求國內第三方支付機構停止為比特幣交易平臺提供充值和支付服務后��,央行官方網站和新浪官方微博遭到黑客攻擊����,出現間歇性訪問困難和大量異常評論。
國家級有組織網絡攻擊增多
數據顯示,我國面臨大量來自境外地址的網站后門、網絡釣魚、木馬和僵尸網絡等攻擊��。特別是國家級有組織網絡攻擊行為顯著增多�,給國家關鍵基礎設施和重要信息系統帶來嚴重威脅和挑戰。
2013年6月以來,斯諾登曝光“棱鏡計劃“等多項美國國家安全局網絡監控項目��,披露美國情報機構對多個國家和民眾長期實施監聽和網絡滲透攻擊��。根據曝光信息�,美國分別通過互聯網��、通信網、企業服務器等多種渠道以及采用網絡入侵手段��,實施信息監聽和收集��,監控對象包括多國政要�、外交系統����、媒體網絡、大型企業網絡和國際組織等����。我國屬于其重點監聽和攻擊目標�。
去年以來����,越來越多的有組織高級持續性威脅(APT)攻擊事件浮出水面,APT成為國家間網絡對抗的新型武器��。以去年美韓軍事演習為例�,其間韓國多家廣播電視臺和銀行等金融機構遭受歷史上最大規模的惡意代碼攻擊,導致系統癱瘓��,引發韓國社會一度混亂��。
“獲知信息后����,我們第一時間與韓國計算機應急相應組織聯系,并協助調查��,及時消除攻擊來自中國的誤會�。”何能強說��。
實際上����,我國同樣面臨嚴重的APT攻擊威脅����,一些國家利用信息化技術優勢,大力推動研發計算機病毒武器�,破解互聯網加密算法����,或直接在標準算法中放置后門�,持續對我國實施APT攻擊。我國政府機構�、基礎電信企業��、科研院所、大型商業機構的網絡信息系統遭受攻擊和滲透入侵����。據統計�,2013年我國境內有1.5萬臺主機被APT木馬控制��。
我國還面臨大量來自境外地址的攻擊威脅����。無論是在網絡釣魚攻擊��、植入后門�,還是木馬僵尸網絡��,美國均處于首位����。數據顯示�,美國通過6215臺主機植入后門對我國15349個網站實施遠程控制;通過2043臺主機承載我國12573個釣魚頁面�;通過8807個木馬或僵死服務器控制了我國境內448.5萬余臺主機��,由2012年的17.6%增長至30.2%。
相關專家表示����,網絡入侵已經從最開始的黑客之間的“互相問候”,演變為國與國之間的攻防戰爭�,進入了“大玩家”時代����。
| |
三記重拳開啟中國網絡安全元年 |
|
記者 彭勇 周強/廣州報道 |
近年來��,國際上屢次發生的網絡安全漏洞導致重大安全事件為我國敲響警鐘��,隨著我國網民數量躍居世界第一位,網絡安全對于國家安全的重要意義早已不亞于糧食安全和國防安全。
針對網絡和信息安全形勢不容樂觀的現狀�,我國已從完善頂層設計��、加強安全審查、加大網絡基礎設施建設力度等方面提升網絡與信息安全保障水平。外界普遍認為,2014年是中國網絡安全元年�,這一年中國動作頻頻��,效果明顯。
網絡信息安全小組架構頂層設計
2014年2月27日,中央網絡安全和信息化領導小組宣告成立����。習近平擔任組長�,在中央網信領導小組第一次會議上�,習近平提出“沒有網絡安全就沒有國家安全”,這標志著網絡安全上升至國家戰略高度。
我國網絡管理體制由于歷史原因����,造成“九龍治水”的管理格局�。面對互聯網技術和應用飛速發展�,現行管理體制存在明顯弊端,多頭管理、職能交叉�、權責不一����、效率不高�。同時,隨著互聯網媒體屬性越來越強,網上媒體管理和產業管理遠遠跟不上形勢發展變化。
放眼世界����,各國都在大力加強網絡安全建設和頂層設計�。據了解����,截至目前,已有40多個國家頒布了網絡空間國家安全戰略,僅美國就頒布了40多份與網絡安全有關的文件����。美國還在白宮設立“網絡辦公室”����,并任命首席網絡官�,直接對總統負責。2014年2月,總統奧巴馬又宣布啟動美國《網絡安全框架》����。德國總理默克爾2月19日與法國總統奧朗德探討建立歐洲獨立互聯網����,擬從戰略層面繞開美國以強化數據安全��。歐盟三大領導機構明確�,計劃在2014年底通過歐洲數據保護改革方案��。作為中國亞洲鄰國��,日本和印度也一直在積極行動。日本2013年6月出臺《網絡安全戰略》,明確提出“網絡安全立國”����。印度2013年5月出臺《國家網絡安全策略》�,目標是“安全可信的計算機環境”�。因此,接軌國際,建設堅固可靠的國家網絡安全體系,是中國必須作出的戰略選擇��。
“由此可見�,伴隨著中央網絡安全與信息化領導小組的成立,我國的網絡安全與信息化管理體制機制正在發生深刻的變化,以往存在的一些明顯弊端有可能被克服����。”中國行政體制改革研究會副會長汪玉凱表示��,在這個新框架內�,不僅預示我國新的信息化戰略和網絡強國戰略會被提上重要議事日程,而且也預示中國在打一場信息技術和網絡技術的翻身仗方面��,也將迎來新的突破�。
“WIN8禁令”讓國產操作系統迎春天
政府采購計劃對WIN8說“不”的消息引發社會關注,業內普遍認為����,此舉主要出于安全考慮����,凸顯政府對信息安全的高度重視�。
中國工程院院士倪光南表示,WIN8操作系統采用了對于他國不安全的技術構架——它集成了殺毒軟件����,可以經常掃描用戶的電腦����,采用該系統的電腦面臨著被監控的風險�,進一步加劇了我國網絡安全不可控而導致的風險。
如此擔憂并非空穴來風��。4月8日����,微軟宣布停止對Windows XP系統的服務支持。這意味著XP系統將迎來“裸奔”的尷尬境地����,隨著漏洞問題凸顯����,我國XP用戶將遭遇黑客頻繁攻擊����。
多名網絡安全業內人士表示,美國眾多科技公司曾與美國政府合作����,幫助美國國家安全局獲得他國互聯網上的加密文件數據�,這讓多國政府更加認識到國家網絡信息安全的嚴重性和緊迫性����。
事實上,早在上世紀末��,我國就已開始了基于Linux核心的國產操作系統研發����,經過十多年的發展,其易用性和安全性獲得了明顯改善��。中科紅旗開發的紅旗Linux在多個重要部門使用�,而Ubuntu麒麟則在企業頗受認可。
安全專家�、安天實驗室首席架構師肖新光認為��,政府拒絕采購WIN8,對國產操作系統來說無疑是一聲春雷�。不少網民表示��,國產操作系統一旦構建起一個成熟的應用生態圈,取代“洋”系統指日可待�。
武漢深之度科技有限公司總經理劉文歡表示��,要形成生態圈的突破點在于實際使用占有率超過3%,一旦過線��,市場這只無形的手就能指揮起各家廠商共建生態系統�。因而,初期確實需要借政府“有形之手”獲得時間和空間����。
網絡安全審查倒逼企業加大安全投入
5月22日,國家互聯網信息辦公室發布消息稱,為維護國家網絡安全��、保障中國用戶合法利益��,我國即將推出網絡安全審查制度��。該制度規定,關系國家安全和公共利益的重要技術產品和服務,應通過網絡安全審查。
作為提供產品和服務的主體�,我國互聯網企業近期頻發大規模信息泄露事故����。5月14日��,國內手機廠商小米發生用戶信息泄露事故�,其中涉及800萬用戶的短信����、通訊錄、精確位置等私密信息�;今年3月����,攜程網大量用戶信用卡賬號��、姓名����、身份證號等敏感信息泄露��;2013年10月����,多家酒店的開房信息因系統漏洞發生泄露��,2000萬條開房信息在網上“裸奔”����。
隨著云計算�、大數據技術的廣泛應用��,企業保存的用戶數據量越來越大�,大規模數據泄露的風險也越來越大����,大規模信息泄露事故高發期已經到來。
“與現實不相稱的是�,國內互聯網企業普遍片面追求發展速度����,不愿加大安全投入,在黑客面前不堪一擊,與安全審查要求存在較大差距��������!鄙虾3炚鹪朴嬎憧萍加邢薰綜EO王琦認為�,網絡安全審查制度將倒逼企業加大安全投入。
實際上,根據2012年發布的《“十二五”國家政務信息化工程建設規劃》��,“基本建成國家網絡與信息安全基礎設施����,網絡與信息安全保障作用明顯增強”被列入“十二五”期末達成的時間表。由此可見,建立切實可行的網絡安全審查制度勢在必行����。
專家表示����,網絡安全審查制度直接針對的對象就是肩負筑起網絡安全框架的網絡信息安全基礎設施建設�,此次明確推進網絡安全審查制度瞄準產品和服務����,就是原本網絡審查更重內容審查而輕視基礎設施安全審查的終結,取而代之的����,則是針對網絡信息基礎設施以及產品內容和服務的全方位審查����。
北京天融信科技股份有限公司總裁于海波表示:“包括網絡信息安全基礎設施在內的硬件建設作為觸及國家網絡安全的最主要戰地��,在其地位不斷得以強化的同時�,建立切實可行的網絡安全審查制度����,從管理手段上強化并確保制度不打折扣地予以貫徹執行同樣十分重要�!
