在線交易系統(tǒng)安全成為黑客攻擊“重災(zāi)區(qū)”。《經(jīng)濟(jì)參考報(bào)》記者日前從2014中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上獲悉,2013年銀行、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門(mén)、網(wǎng)頁(yè)篡改等各類(lèi)安全事件超過(guò)500起,存在交易信息被篡改、投資信息被泄露等諸多高危風(fēng)險(xiǎn)。
與此同時(shí),地方政府網(wǎng)站也正面臨安全考驗(yàn)。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn),2013年,我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為24034個(gè),其中政府網(wǎng)站被篡改數(shù)量為2430個(gè);我國(guó)境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量為76160個(gè),其中政府網(wǎng)站2425個(gè)。
記者了解到,當(dāng)前我國(guó)網(wǎng)絡(luò)空間安全不容樂(lè)觀,面臨大量來(lái)自境外地址的網(wǎng)站后門(mén)、網(wǎng)絡(luò)釣魚(yú)、木馬和僵尸網(wǎng)絡(luò)等攻擊。特別是國(guó)家級(jí)有組織網(wǎng)絡(luò)攻擊行為顯著增多,給國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)帶來(lái)嚴(yán)重威脅和挑戰(zhàn)。
在線交易系統(tǒng)面臨考驗(yàn)
隨著互聯(lián)網(wǎng)和金融行業(yè)的深度融合,以余額寶、現(xiàn)金寶、理財(cái)通等為代表的互聯(lián)網(wǎng)金融產(chǎn)品市場(chǎng)持續(xù)升溫。這在給人們生活帶來(lái)便利的同時(shí)也引入新的安全風(fēng)險(xiǎn)。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn),2013年銀行、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門(mén)、網(wǎng)頁(yè)篡改等各類(lèi)安全事件超過(guò)500起,存在交易信息被篡改、投資信息被泄露等諸多高危風(fēng)險(xiǎn)。
2013年12月,支付寶錢(qián)包客戶端IOS版被披露存在手勢(shì)密碼漏洞,連續(xù)輸錯(cuò)5次手勢(shì)密碼后可導(dǎo)致密碼失效,使得攻擊者可以隨意進(jìn)入手機(jī)支付寶賬戶,免密碼進(jìn)行小額支付。此外,淘寶網(wǎng)也被披露存在認(rèn)證漏洞,可登錄任意淘寶賬戶,給用戶資金安全造成威脅。
“此類(lèi)互聯(lián)網(wǎng)公司通過(guò)所運(yùn)營(yíng)的在線交易信息系統(tǒng),掌握大量用戶資金、真實(shí)身份、經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣等信息,系統(tǒng)一旦出現(xiàn)安全漏洞,風(fēng)險(xiǎn)會(huì)隨之傳導(dǎo)到關(guān)聯(lián)銀行、證券、電商等其他行業(yè),產(chǎn)生連鎖反應(yīng)。”國(guó)家互聯(lián)網(wǎng)應(yīng)急中心副主任云曉春說(shuō)。
與此同時(shí),跨平臺(tái)釣魚(yú)攻擊也呈增長(zhǎng)趨勢(shì)。據(jù)悉,2013年,黑客利用安卓系統(tǒng)的“簽名驗(yàn)證繞過(guò)”高危漏洞,制作散播大量仿冒國(guó)內(nèi)主流銀行等金融機(jī)構(gòu)的移動(dòng)應(yīng)用,誘導(dǎo)用戶安裝,盜取用戶銀行賬戶信息。
“他們?cè)诒I取銀行賬號(hào)和密碼后,在通過(guò)仿冒的相應(yīng)手機(jī)銀行安全插件的惡意程序,截取用戶收到的短信驗(yàn)證碼,使黑客進(jìn)一步完成網(wǎng)銀支付、轉(zhuǎn)賬等交易操作,從而牟利。”國(guó)家互聯(lián)網(wǎng)應(yīng)急中心何能強(qiáng)博士說(shuō)。
數(shù)據(jù)顯示,去年釣魚(yú)網(wǎng)站數(shù)量繼續(xù)迅速增長(zhǎng),我國(guó)境內(nèi)網(wǎng)站的釣魚(yú)頁(yè)面30199個(gè),涉及IP地址4240個(gè),分別較2012年增長(zhǎng)35.4%和64.6%。
地方政府網(wǎng)站頻遭攻擊
在被篡改和植入后門(mén)的政府網(wǎng)站中,九成以上是省市級(jí)以下的地方政府網(wǎng)站。其中一些部門(mén)面對(duì)預(yù)警通報(bào)只進(jìn)行了簡(jiǎn)單處理,還有一些部門(mén)甚至置之不理。
據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè),2013年,我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為24034個(gè),較2012年增長(zhǎng)46.7%,其中政府網(wǎng)站被篡改數(shù)量為2430個(gè),較2012年增長(zhǎng)34.9%;我國(guó)境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量為76160個(gè),較2012年增長(zhǎng)45.6%,其中政府網(wǎng)站2425個(gè)。
“被篡改和植入后門(mén)的政府網(wǎng)站中,超過(guò)90%是省市級(jí)以下的地方政府網(wǎng)站,超過(guò)75%的篡改方式是網(wǎng)站首頁(yè)植入廣告黑鏈。”國(guó)家互聯(lián)網(wǎng)應(yīng)急中心研發(fā)部負(fù)責(zé)人嚴(yán)寒冰對(duì)《經(jīng)濟(jì)參考報(bào)》記者說(shuō),由于地方政府存在技術(shù)和管理水平有限,網(wǎng)絡(luò)安全防護(hù)能力薄弱,人員和資金投入不足等問(wèn)題,其網(wǎng)站服務(wù)器成為黑客控制的資源節(jié)點(diǎn)。
“去年,我們通報(bào)了1600起涉及政府部門(mén)的網(wǎng)站漏洞,一些部門(mén)收到預(yù)警通報(bào)后卻置之不理,導(dǎo)致安全威脅長(zhǎng)期存在。”嚴(yán)寒冰說(shuō),另一些部門(mén)則只針對(duì)安全事件進(jìn)行簡(jiǎn)單清除,未對(duì)網(wǎng)站進(jìn)行詳細(xì)檢測(cè)和加固處理,結(jié)果導(dǎo)致反復(fù)多次遭受攻擊。
盡管?chē)?guó)務(wù)院部委門(mén)戶網(wǎng)站安全狀況良好,不過(guò)部分子站和業(yè)務(wù)系統(tǒng)仍然存在較多安全漏洞和風(fēng)險(xiǎn)點(diǎn),可能成為黑客進(jìn)一步實(shí)施攻擊的跳板。
據(jù)了解,境外黑客組織攻擊我國(guó)政府網(wǎng)站日趨頻繁。2013年,境外“匿名者”、“阿爾及利亞黑客”等多個(gè)黑客組織先后篡改我國(guó)187個(gè)政府網(wǎng)站。
2013年12月19日下午,央行宣布不認(rèn)可比特幣,要求國(guó)內(nèi)第三方支付機(jī)構(gòu)停止為比特幣交易平臺(tái)提供充值和支付服務(wù)后,央行官方網(wǎng)站和新浪官方微博遭到黑客攻擊,出現(xiàn)間歇性訪問(wèn)困難和大量異常評(píng)論。
國(guó)家級(jí)有組織網(wǎng)絡(luò)攻擊增多
數(shù)據(jù)顯示,我國(guó)面臨大量來(lái)自境外地址的網(wǎng)站后門(mén)、網(wǎng)絡(luò)釣魚(yú)、木馬和僵尸網(wǎng)絡(luò)等攻擊。特別是國(guó)家級(jí)有組織網(wǎng)絡(luò)攻擊行為顯著增多,給國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)帶來(lái)嚴(yán)重威脅和挑戰(zhàn)。
2013年6月以來(lái),斯諾登曝光“棱鏡計(jì)劃“等多項(xiàng)美國(guó)國(guó)家安全局網(wǎng)絡(luò)監(jiān)控項(xiàng)目,披露美國(guó)情報(bào)機(jī)構(gòu)對(duì)多個(gè)國(guó)家和民眾長(zhǎng)期實(shí)施監(jiān)聽(tīng)和網(wǎng)絡(luò)滲透攻擊。根據(jù)曝光信息,美國(guó)分別通過(guò)互聯(lián)網(wǎng)、通信網(wǎng)、企業(yè)服務(wù)器等多種渠道以及采用網(wǎng)絡(luò)入侵手段,實(shí)施信息監(jiān)聽(tīng)和收集,監(jiān)控對(duì)象包括多國(guó)政要、外交系統(tǒng)、媒體網(wǎng)絡(luò)、大型企業(yè)網(wǎng)絡(luò)和國(guó)際組織等。我國(guó)屬于其重點(diǎn)監(jiān)聽(tīng)和攻擊目標(biāo)。
去年以來(lái),越來(lái)越多的有組織高級(jí)持續(xù)性威脅(APT)攻擊事件浮出水面,APT成為國(guó)家間網(wǎng)絡(luò)對(duì)抗的新型武器。以去年美韓軍事演習(xí)為例,其間韓國(guó)多家廣播電視臺(tái)和銀行等金融機(jī)構(gòu)遭受歷史上最大規(guī)模的惡意代碼攻擊,導(dǎo)致系統(tǒng)癱瘓,引發(fā)韓國(guó)社會(huì)一度混亂。
“獲知信息后,我們第一時(shí)間與韓國(guó)計(jì)算機(jī)應(yīng)急相應(yīng)組織聯(lián)系,并協(xié)助調(diào)查,及時(shí)消除攻擊來(lái)自中國(guó)的誤會(huì)。”何能強(qiáng)說(shuō)。
實(shí)際上,我國(guó)同樣面臨嚴(yán)重的APT攻擊威脅,一些國(guó)家利用信息化技術(shù)優(yōu)勢(shì),大力推動(dòng)研發(fā)計(jì)算機(jī)病毒武器,破解互聯(lián)網(wǎng)加密算法,或直接在標(biāo)準(zhǔn)算法中放置后門(mén),持續(xù)對(duì)我國(guó)實(shí)施APT攻擊。我國(guó)政府機(jī)構(gòu)、基礎(chǔ)電信企業(yè)、科研院所、大型商業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)遭受攻擊和滲透入侵。據(jù)統(tǒng)計(jì),2013年我國(guó)境內(nèi)有1.5萬(wàn)臺(tái)主機(jī)被APT木馬控制。
我國(guó)還面臨大量來(lái)自境外地址的攻擊威脅。無(wú)論是在網(wǎng)絡(luò)釣魚(yú)攻擊、植入后門(mén),還是木馬僵尸網(wǎng)絡(luò),美國(guó)均處于首位。數(shù)據(jù)顯示,美國(guó)通過(guò)6215臺(tái)主機(jī)植入后門(mén)對(duì)我國(guó)15349個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制;通過(guò)2043臺(tái)主機(jī)承載我國(guó)12573個(gè)釣魚(yú)頁(yè)面;通過(guò)8807個(gè)木馬或僵死服務(wù)器控制了我國(guó)境內(nèi)448.5萬(wàn)余臺(tái)主機(jī),由2012年的17.6%增長(zhǎng)至30.2%。
相關(guān)專(zhuān)家表示,網(wǎng)絡(luò)入侵已經(jīng)從最開(kāi)始的黑客之間的“互相問(wèn)候”,演變?yōu)閲?guó)與國(guó)之間的攻防戰(zhàn)爭(zhēng),進(jìn)入了“大玩家”時(shí)代。
| |
三記重拳開(kāi)啟中國(guó)網(wǎng)絡(luò)安全元年 |
|
記者 彭勇 周強(qiáng)/廣州報(bào)道 |
近年來(lái),國(guó)際上屢次發(fā)生的網(wǎng)絡(luò)安全漏洞導(dǎo)致重大安全事件為我國(guó)敲響警鐘,隨著我國(guó)網(wǎng)民數(shù)量躍居世界第一位,網(wǎng)絡(luò)安全對(duì)于國(guó)家安全的重要意義早已不亞于糧食安全和國(guó)防安全。
針對(duì)網(wǎng)絡(luò)和信息安全形勢(shì)不容樂(lè)觀的現(xiàn)狀,我國(guó)已從完善頂層設(shè)計(jì)、加強(qiáng)安全審查、加大網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)力度等方面提升網(wǎng)絡(luò)與信息安全保障水平。外界普遍認(rèn)為,2014年是中國(guó)網(wǎng)絡(luò)安全元年,這一年中國(guó)動(dòng)作頻頻,效果明顯。
網(wǎng)絡(luò)信息安全小組架構(gòu)頂層設(shè)計(jì)
2014年2月27日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立。習(xí)近平擔(dān)任組長(zhǎng),在中央網(wǎng)信領(lǐng)導(dǎo)小組第一次會(huì)議上,習(xí)近平提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,這標(biāo)志著網(wǎng)絡(luò)安全上升至國(guó)家戰(zhàn)略高度。
我國(guó)網(wǎng)絡(luò)管理體制由于歷史原因,造成“九龍治水”的管理格局。面對(duì)互聯(lián)網(wǎng)技術(shù)和應(yīng)用飛速發(fā)展,現(xiàn)行管理體制存在明顯弊端,多頭管理、職能交叉、權(quán)責(zé)不一、效率不高。同時(shí),隨著互聯(lián)網(wǎng)媒體屬性越來(lái)越強(qiáng),網(wǎng)上媒體管理和產(chǎn)業(yè)管理遠(yuǎn)遠(yuǎn)跟不上形勢(shì)發(fā)展變化。
放眼世界,各國(guó)都在大力加強(qiáng)網(wǎng)絡(luò)安全建設(shè)和頂層設(shè)計(jì)。據(jù)了解,截至目前,已有40多個(gè)國(guó)家頒布了網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略,僅美國(guó)就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件。美國(guó)還在白宮設(shè)立“網(wǎng)絡(luò)辦公室”,并任命首席網(wǎng)絡(luò)官,直接對(duì)總統(tǒng)負(fù)責(zé)。2014年2月,總統(tǒng)奧巴馬又宣布啟動(dòng)美國(guó)《網(wǎng)絡(luò)安全框架》。德國(guó)總理默克爾2月19日與法國(guó)總統(tǒng)奧朗德探討建立歐洲獨(dú)立互聯(lián)網(wǎng),擬從戰(zhàn)略層面繞開(kāi)美國(guó)以強(qiáng)化數(shù)據(jù)安全。歐盟三大領(lǐng)導(dǎo)機(jī)構(gòu)明確,計(jì)劃在2014年底通過(guò)歐洲數(shù)據(jù)保護(hù)改革方案。作為中國(guó)亞洲鄰國(guó),日本和印度也一直在積極行動(dòng)。日本2013年6月出臺(tái)《網(wǎng)絡(luò)安全戰(zhàn)略》,明確提出“網(wǎng)絡(luò)安全立國(guó)”。印度2013年5月出臺(tái)《國(guó)家網(wǎng)絡(luò)安全策略》,目標(biāo)是“安全可信的計(jì)算機(jī)環(huán)境”。因此,接軌國(guó)際,建設(shè)堅(jiān)固可靠的國(guó)家網(wǎng)絡(luò)安全體系,是中國(guó)必須作出的戰(zhàn)略選擇。
“由此可見(jiàn),伴隨著中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的成立,我國(guó)的網(wǎng)絡(luò)安全與信息化管理體制機(jī)制正在發(fā)生深刻的變化,以往存在的一些明顯弊端有可能被克服。”中國(guó)行政體制改革研究會(huì)副會(huì)長(zhǎng)汪玉凱表示,在這個(gè)新框架內(nèi),不僅預(yù)示我國(guó)新的信息化戰(zhàn)略和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略會(huì)被提上重要議事日程,而且也預(yù)示中國(guó)在打一場(chǎng)信息技術(shù)和網(wǎng)絡(luò)技術(shù)的翻身仗方面,也將迎來(lái)新的突破。
“WIN8禁令”讓國(guó)產(chǎn)操作系統(tǒng)迎春天
政府采購(gòu)計(jì)劃對(duì)WIN8說(shuō)“不”的消息引發(fā)社會(huì)關(guān)注,業(yè)內(nèi)普遍認(rèn)為,此舉主要出于安全考慮,凸顯政府對(duì)信息安全的高度重視。
中國(guó)工程院院士倪光南表示,WIN8操作系統(tǒng)采用了對(duì)于他國(guó)不安全的技術(shù)構(gòu)架——它集成了殺毒軟件,可以經(jīng)常掃描用戶的電腦,采用該系統(tǒng)的電腦面臨著被監(jiān)控的風(fēng)險(xiǎn),進(jìn)一步加劇了我國(guó)網(wǎng)絡(luò)安全不可控而導(dǎo)致的風(fēng)險(xiǎn)。
如此擔(dān)憂并非空穴來(lái)風(fēng)。4月8日,微軟宣布停止對(duì)Windows XP系統(tǒng)的服務(wù)支持。這意味著XP系統(tǒng)將迎來(lái)“裸奔”的尷尬境地,隨著漏洞問(wèn)題凸顯,我國(guó)XP用戶將遭遇黑客頻繁攻擊。
多名網(wǎng)絡(luò)安全業(yè)內(nèi)人士表示,美國(guó)眾多科技公司曾與美國(guó)政府合作,幫助美國(guó)國(guó)家安全局獲得他國(guó)互聯(lián)網(wǎng)上的加密文件數(shù)據(jù),這讓多國(guó)政府更加認(rèn)識(shí)到國(guó)家網(wǎng)絡(luò)信息安全的嚴(yán)重性和緊迫性。
事實(shí)上,早在上世紀(jì)末,我國(guó)就已開(kāi)始了基于Linux核心的國(guó)產(chǎn)操作系統(tǒng)研發(fā),經(jīng)過(guò)十多年的發(fā)展,其易用性和安全性獲得了明顯改善。中科紅旗開(kāi)發(fā)的紅旗Linux在多個(gè)重要部門(mén)使用,而Ubuntu麒麟則在企業(yè)頗受認(rèn)可。
安全專(zhuān)家、安天實(shí)驗(yàn)室首席架構(gòu)師肖新光認(rèn)為,政府拒絕采購(gòu)WIN8,對(duì)國(guó)產(chǎn)操作系統(tǒng)來(lái)說(shuō)無(wú)疑是一聲春雷。不少網(wǎng)民表示,國(guó)產(chǎn)操作系統(tǒng)一旦構(gòu)建起一個(gè)成熟的應(yīng)用生態(tài)圈,取代“洋”系統(tǒng)指日可待。
武漢深之度科技有限公司總經(jīng)理劉文歡表示,要形成生態(tài)圈的突破點(diǎn)在于實(shí)際使用占有率超過(guò)3%,一旦過(guò)線,市場(chǎng)這只無(wú)形的手就能指揮起各家廠商共建生態(tài)系統(tǒng)。因而,初期確實(shí)需要借政府“有形之手”獲得時(shí)間和空間。
網(wǎng)絡(luò)安全審查倒逼企業(yè)加大安全投入
5月22日,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱(chēng),為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益,我國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該制度規(guī)定,關(guān)系國(guó)家安全和公共利益的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。
作為提供產(chǎn)品和服務(wù)的主體,我國(guó)互聯(lián)網(wǎng)企業(yè)近期頻發(fā)大規(guī)模信息泄露事故。5月14日,國(guó)內(nèi)手機(jī)廠商小米發(fā)生用戶信息泄露事故,其中涉及800萬(wàn)用戶的短信、通訊錄、精確位置等私密信息;今年3月,攜程網(wǎng)大量用戶信用卡賬號(hào)、姓名、身份證號(hào)等敏感信息泄露;2013年10月,多家酒店的開(kāi)房信息因系統(tǒng)漏洞發(fā)生泄露,2000萬(wàn)條開(kāi)房信息在網(wǎng)上“裸奔”。
隨著云計(jì)算、大數(shù)據(jù)技術(shù)的廣泛應(yīng)用,企業(yè)保存的用戶數(shù)據(jù)量越來(lái)越大,大規(guī)模數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大,大規(guī)模信息泄露事故高發(fā)期已經(jīng)到來(lái)。
“與現(xiàn)實(shí)不相稱(chēng)的是,國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)普遍片面追求發(fā)展速度,不愿加大安全投入,在黑客面前不堪一擊,與安全審查要求存在較大差距。”上海碁震云計(jì)算科技有限公司CEO王琦認(rèn)為,網(wǎng)絡(luò)安全審查制度將倒逼企業(yè)加大安全投入。
實(shí)際上,根據(jù)2012年發(fā)布的《“十二五”國(guó)家政務(wù)信息化工程建設(shè)規(guī)劃》,“基本建成國(guó)家網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施,網(wǎng)絡(luò)與信息安全保障作用明顯增強(qiáng)”被列入“十二五”期末達(dá)成的時(shí)間表。由此可見(jiàn),建立切實(shí)可行的網(wǎng)絡(luò)安全審查制度勢(shì)在必行。
專(zhuān)家表示,網(wǎng)絡(luò)安全審查制度直接針對(duì)的對(duì)象就是肩負(fù)筑起網(wǎng)絡(luò)安全框架的網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施建設(shè),此次明確推進(jìn)網(wǎng)絡(luò)安全審查制度瞄準(zhǔn)產(chǎn)品和服務(wù),就是原本網(wǎng)絡(luò)審查更重內(nèi)容審查而輕視基礎(chǔ)設(shè)施安全審查的終結(jié),取而代之的,則是針對(duì)網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施以及產(chǎn)品內(nèi)容和服務(wù)的全方位審查。
北京天融信科技股份有限公司總裁于海波表示:“包括網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施在內(nèi)的硬件建設(shè)作為觸及國(guó)家網(wǎng)絡(luò)安全的最主要戰(zhàn)地,在其地位不斷得以強(qiáng)化的同時(shí),建立切實(shí)可行的網(wǎng)絡(luò)安全審查制度,從管理手段上強(qiáng)化并確保制度不打折扣地予以貫徹執(zhí)行同樣十分重要。”
