在线交易系统安全成为黑客攻击“重灾区”。《经济参考报》记者日前从2014中国计算机网络安全年会上获悉,2013年银行、证券等行业联网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500起,存在交易信息被篡改、投资信息被泄露等诸多高危风险。
与此同时,地方政府网站也正面临安全考验。据国家互联网应急中心监测发现,2013年,我国境内被篡改网站数量为24034个,其中政府网站被篡改数量为2430个;我国境内被植入后门的网站数量为76160个,其中政府网站2425个。
记者了解到,当前我国网络空间安全不容乐观,面临大量来自境外地址的网站后门、网络钓鱼、木马和僵尸网络等攻击。特别是国家级有组织网络攻击行为显著增多,给国家关键基础设施和重要信息系统带来严重威胁和挑战。
在线交易系统面临考验
随着互联网和金融行业的深度融合,以余额宝、现金宝、理财通等为代表的互联网金融产品市场持续升温。这在给人们生活带来便利的同时也引入新的安全风险。
国家互联网应急中心监测发现,2013年银行、证券等行业联网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500起,存在交易信息被篡改、投资信息被泄露等诸多高危风险。
2013年12月,支付宝钱包客户端IOS版被披露存在手势密码漏洞,连续输错5次手势密码后可导致密码失效,使得攻击者可以随意进入手机支付宝账户,免密码进行小额支付。此外,淘宝网也被披露存在认证漏洞,可登录任意淘宝账户,给用户资金安全造成威胁。
“此类互联网公司通过所运营的在线交易信息系统,掌握大量用户资金、真实身份、经济状况、消费习惯等信息,系统一旦出现安全漏洞,风险会随之传导到关联银行、证券、电商等其他行业,产生连锁反应。”国家互联网应急中心副主任云晓春说。
与此同时,跨平台钓鱼攻击也呈增长趋势。据悉,2013年,黑客利用安卓系统的“签名验证绕过”高危漏洞,制作散播大量仿冒国内主流银行等金融机构的移动应用,诱导用户安装,盗取用户银行账户信息。
“他们在盗取银行账号和密码后,在通过仿冒的相应手机银行安全插件的恶意程序,截取用户收到的短信验证码,使黑客进一步完成网银支付、转账等交易操作,从而牟利。”国家互联网应急中心何能强博士说。
数据显示,去年钓鱼网站数量继续迅速增长,我国境内网站的钓鱼页面30199个,涉及IP地址4240个,分别较2012年增长35.4%和64.6%。
地方政府网站频遭攻击
在被篡改和植入后门的政府网站中,九成以上是省市级以下的地方政府网站。其中一些部门面对预警通报只进行了简单处理,还有一些部门甚至置之不理。
据国家互联网应急中心监测,2013年,我国境内被篡改网站数量为24034个,较2012年增长46.7%,其中政府网站被篡改数量为2430个,较2012年增长34.9%;我国境内被植入后门的网站数量为76160个,较2012年增长45.6%,其中政府网站2425个。
“被篡改和植入后门的政府网站中,超过90%是省市级以下的地方政府网站,超过75%的篡改方式是网站首页植入广告黑链。”国家互联网应急中心研发部负责人严寒冰对《经济参考报》记者说,由于地方政府存在技术和管理水平有限,网络安全防护能力薄弱,人员和资金投入不足等问题,其网站服务器成为黑客控制的资源节点。
“去年,我们通报了1600起涉及政府部门的网站漏洞,一些部门收到预警通报后却置之不理,导致安全威胁长期存在。”严寒冰说,另一些部门则只针对安全事件进行简单清除,未对网站进行详细检测和加固处理,结果导致反复多次遭受攻击。
尽管国务院部委门户网站安全状况良好,不过部分子站和业务系统仍然存在较多安全漏洞和风险点,可能成为黑客进一步实施攻击的跳板。
据了解,境外黑客组织攻击我国政府网站日趋频繁。2013年,境外“匿名者”、“阿尔及利亚黑客”等多个黑客组织先后篡改我国187个政府网站。
2013年12月19日下午,央行宣布不认可比特币,要求国内第三方支付机构停止为比特币交易平台提供充值和支付服务后,央行官方网站和新浪官方微博遭到黑客攻击,出现间歇性访问困难和大量异常评论。
国家级有组织网络攻击增多
数据显示,我国面临大量来自境外地址的网站后门、网络钓鱼、木马和僵尸网络等攻击。特别是国家级有组织网络攻击行为显著增多,给国家关键基础设施和重要信息系统带来严重威胁和挑战。
2013年6月以来,斯诺登曝光“棱镜计划“等多项美国国家安全局网络监控项目,披露美国情报机构对多个国家和民众长期实施监听和网络渗透攻击。根据曝光信息,美国分别通过互联网、通信网、企业服务器等多种渠道以及采用网络入侵手段,实施信息监听和收集,监控对象包括多国政要、外交系统、媒体网络、大型企业网络和国际组织等。我国属于其重点监听和攻击目标。
去年以来,越来越多的有组织高级持续性威胁(APT)攻击事件浮出水面,APT成为国家间网络对抗的新型武器。以去年美韩军事演习为例,其间韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击,导致系统瘫痪,引发韩国社会一度混乱。
“获知信息后,我们第一时间与韩国计算机应急相应组织联系,并协助调查,及时消除攻击来自中国的误会。”何能强说。
实际上,我国同样面临严重的APT攻击威胁,一些国家利用信息化技术优势,大力推动研发计算机病毒武器,破解互联网加密算法,或直接在标准算法中放置后门,持续对我国实施APT攻击。我国政府机构、基础电信企业、科研院所、大型商业机构的网络信息系统遭受攻击和渗透入侵。据统计,2013年我国境内有1.5万台主机被APT木马控制。
我国还面临大量来自境外地址的攻击威胁。无论是在网络钓鱼攻击、植入后门,还是木马僵尸网络,美国均处于首位。数据显示,美国通过6215台主机植入后门对我国15349个网站实施远程控制;通过2043台主机承载我国12573个钓鱼页面;通过8807个木马或僵死服务器控制了我国境内448.5万余台主机,由2012年的17.6%增长至30.2%。
相关专家表示,网络入侵已经从最开始的黑客之间的“互相问候”,演变为国与国之间的攻防战争,进入了“大玩家”时代。
| |
三记重拳开启中国网络安全元年 |
|
记者 彭勇 周强/广州报道 |
近年来,国际上屡次发生的网络安全漏洞导致重大安全事件为我国敲响警钟,随着我国网民数量跃居世界第一位,网络安全对于国家安全的重要意义早已不亚于粮食安全和国防安全。
针对网络和信息安全形势不容乐观的现状,我国已从完善顶层设计、加强安全审查、加大网络基础设施建设力度等方面提升网络与信息安全保障水平。外界普遍认为,2014年是中国网络安全元年,这一年中国动作频频,效果明显。
网络信息安全小组架构顶层设计
2014年2月27日,中央网络安全和信息化领导小组宣告成立。习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。
我国网络管理体制由于历史原因,造成“九龙治水”的管理格局。面对互联网技术和应用飞速发展,现行管理体制存在明显弊端,多头管理、职能交叉、权责不一、效率不高。同时,随着互联网媒体属性越来越强,网上媒体管理和产业管理远远跟不上形势发展变化。
放眼世界,各国都在大力加强网络安全建设和顶层设计。据了解,截至目前,已有40多个国家颁布了网络空间国家安全战略,仅美国就颁布了40多份与网络安全有关的文件。美国还在白宫设立“网络办公室”,并任命首席网络官,直接对总统负责。2014年2月,总统奥巴马又宣布启动美国《网络安全框架》。德国总理默克尔2月19日与法国总统奥朗德探讨建立欧洲独立互联网,拟从战略层面绕开美国以强化数据安全。欧盟三大领导机构明确,计划在2014年底通过欧洲数据保护改革方案。作为中国亚洲邻国,日本和印度也一直在积极行动。日本2013年6月出台《网络安全战略》,明确提出“网络安全立国”。印度2013年5月出台《国家网络安全策略》,目标是“安全可信的计算机环境”。因此,接轨国际,建设坚固可靠的国家网络安全体系,是中国必须作出的战略选择。
“由此可见,伴随着中央网络安全与信息化领导小组的成立,我国的网络安全与信息化管理体制机制正在发生深刻的变化,以往存在的一些明显弊端有可能被克服。”中国行政体制改革研究会副会长汪玉凯表示,在这个新框架内,不仅预示我国新的信息化战略和网络强国战略会被提上重要议事日程,而且也预示中国在打一场信息技术和网络技术的翻身仗方面,也将迎来新的突破。
“WIN8禁令”让国产操作系统迎春天
政府采购计划对WIN8说“不”的消息引发社会关注,业内普遍认为,此举主要出于安全考虑,凸显政府对信息安全的高度重视。
中国工程院院士倪光南表示,WIN8操作系统采用了对于他国不安全的技术构架——它集成了杀毒软件,可以经常扫描用户的电脑,采用该系统的电脑面临着被监控的风险,进一步加剧了我国网络安全不可控而导致的风险。
如此担忧并非空穴来风。4月8日,微软宣布停止对Windows XP系统的服务支持。这意味着XP系统将迎来“裸奔”的尴尬境地,随着漏洞问题凸显,我国XP用户将遭遇黑客频繁攻击。
多名网络安全业内人士表示,美国众多科技公司曾与美国政府合作,帮助美国国家安全局获得他国互联网上的加密文件数据,这让多国政府更加认识到国家网络信息安全的严重性和紧迫性。
事实上,早在上世纪末,我国就已开始了基于Linux核心的国产操作系统研发,经过十多年的发展,其易用性和安全性获得了明显改善。中科红旗开发的红旗Linux在多个重要部门使用,而Ubuntu麒麟则在企业颇受认可。
安全专家、安天实验室首席架构师肖新光认为,政府拒绝采购WIN8,对国产操作系统来说无疑是一声春雷。不少网民表示,国产操作系统一旦构建起一个成熟的应用生态圈,取代“洋”系统指日可待。
武汉深之度科技有限公司总经理刘文欢表示,要形成生态圈的突破点在于实际使用占有率超过3%,一旦过线,市场这只无形的手就能指挥起各家厂商共建生态系统。因而,初期确实需要借政府“有形之手”获得时间和空间。
网络安全审查倒逼企业加大安全投入
5月22日,国家互联网信息办公室发布消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。
作为提供产品和服务的主体,我国互联网企业近期频发大规模信息泄露事故。5月14日,国内手机厂商小米发生用户信息泄露事故,其中涉及800万用户的短信、通讯录、精确位置等私密信息;今年3月,携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露;2013年10月,多家酒店的开房信息因系统漏洞发生泄露,2000万条开房信息在网上“裸奔”。
随着云计算、大数据技术的广泛应用,企业保存的用户数据量越来越大,大规模数据泄露的风险也越来越大,大规模信息泄露事故高发期已经到来。
“与现实不相称的是,国内互联网企业普遍片面追求发展速度,不愿加大安全投入,在黑客面前不堪一击,与安全审查要求存在较大差距。”上海碁震云计算科技有限公司CEO王琦认为,网络安全审查制度将倒逼企业加大安全投入。
实际上,根据2012年发布的《“十二五”国家政务信息化工程建设规划》,“基本建成国家网络与信息安全基础设施,网络与信息安全保障作用明显增强”被列入“十二五”期末达成的时间表。由此可见,建立切实可行的网络安全审查制度势在必行。
专家表示,网络安全审查制度直接针对的对象就是肩负筑起网络安全框架的网络信息安全基础设施建设,此次明确推进网络安全审查制度瞄准产品和服务,就是原本网络审查更重内容审查而轻视基础设施安全审查的终结,取而代之的,则是针对网络信息基础设施以及产品内容和服务的全方位审查。
北京天融信科技股份有限公司总裁于海波表示:“包括网络信息安全基础设施在内的硬件建设作为触及国家网络安全的最主要战地,在其地位不断得以强化的同时,建立切实可行的网络安全审查制度,从管理手段上强化并确保制度不打折扣地予以贯彻执行同样十分重要。”
