本篇文章2016字,读完约5分钟

5月27日,国家计算机网络应急技术处理协调中心在武汉发布了《2014年中国互联网网络安全报告》。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

报告显示,中国网络安全形势总体稳定,但基础网络仍存在诸多脆弱性风险。海外网站针对政府部门和重要行业单位的网络攻击的频率、强度和复杂性都在增加;网站数据和个人信息的泄露依然严重,移动应用已经成为数据泄露的新课题。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

仍然存在许多安全漏洞的风险

2014年,国家信息安全漏洞共享平台收录并发布了9163个安全漏洞,比2013年增长16.7%;其中,高风险漏洞2394个,占26.1%,可引发零日攻击的漏洞3266个(即制造商在披露时未提供补丁),占35.6%。在2014年记录的漏洞中,9%涉及电信行业,2.0%涉及工业控制系统,1.9%涉及电子政务。国家互联网应急中心全年向政府机构和重要信息系统部门报告了9068起漏洞事件,比2013年增加了三倍。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

随着信息技术的发展,传统的广播电视、公共管理、社会服务等领域都与互联网紧密结合,脆弱性威胁也在不断演变和跟进。2014年,国家互联网应急中心处理了多起公共服务管理系统存在漏洞风险的事件,涉及公共场所领导信息管理、高速公路视频监控、区域车辆gps调度监控等。一旦这些漏洞被利用,它们将直接影响日常交通管理和公共生活。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

国家互联网应急中心运行部副主任闫表示,2014年,一些网络智能设备,如智能监控设备、智能路由器、网络摄像头和机顶盒等,被黑客控制,发起网络攻击。这些网络化的智能设备普遍存在密码弱、配置不当等安全问题,容易被攻击者安装木马,变成长期控制的“肉鸡”。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

超过1100万主机感染了木马僵尸网络,1763个政府网站被篡改

据监测,2014年中国感染木马僵尸网络的主机超过1108.8万台,比2013年下降2.3%;中国木马僵尸网络控制服务器超过6.1万台,比2013年下降61.4%。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

随着我国公共互联网环境监管和治理的不断加强,大量僵尸网络控制服务器已经向海外迁移。2014年抽样监测发现,4.2万台海外控制服务器控制了中国1081万台主机,海外控制服务器数量比2013年增长45.3%。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

根据抽样监测,2014年,中国域名系统遭到约187次拒绝服务攻击,流量规模超过每秒1gb,约为2013年的三倍。针对政府部门和重要行业单位网站的网络攻击的频率、强度和复杂性都有所增加。2014年,中国有1763个政府网站被篡改,1529个政府网站被植入后门,分别占所有被篡改网站的4.8%和植入后门网站的3.8%。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

同时,针对重要网站的域名解析和篡改事件频繁发生。在去年10月测试的870多万个域名中,约有107万个域名被解析为海外ip地址,其中有2.9万个域名可以通过网络端口访问,其中一些指向宣扬游戏、色情、赌博等内容的异常页面,还有一些页面植入了恶意代码。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

移动应用成为数据泄露的新主题

2014年,数据和信息泄露事件仍呈高发态势,许多知名电子商务、快递公司、招聘网站、考试报名网站等数据泄露事件在中国发生。5月中旬,一家知名手机制造商论坛的数据泄露,导致800万用户信息泄露;去年12月,中国一家著名的交通票务网站遭到数据库碰撞攻击,导致13万多条用户数据在互联网上流传,包括用户账户、明文密码、身份证号码、手机号码和电子邮件地址。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

值得一提的是,移动应用已经成为数据泄露的新主题。2014年,中国许多知名的移动应用,如预订、社交网络、评论、论坛和浏览器,相继遭遇用户数据泄露事件。一些移动应用开发者经验不足,缺乏安全意识和水平,网站服务器对移动终端的访问控制机制薄弱。黑客利用这些接口漏洞攻击网站服务器,并能轻易获取相应服务器的地址和接口信息,导致信息泄露。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

2014年,国家信息安全漏洞共享平台记录了1710个涉及移动互联网终端设备或软件产品的漏洞,这可能成为黑客获取用户信息的新入口。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

金融和电信机构的“李鬼”网站大幅增长

2014年,金融和电信行业的网络钓鱼事件大幅增加,大量网络钓鱼网站迁移到云平台,使得事件处理更加困难,影响了用户的经济安全和信息消费。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

抽样监测数据显示,中国网站有近10万个假冒网页(网址链接),是2013年的2.3倍。在这些渔场中,89.4%位于国外。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

从仿冒对象来看,第三方支付机构、网上银行等金融机构的仿冒页面占到80%以上,主要是为了诱骗用户提交银行卡号码、密码、身份证号码等信息;同时,我们发现了大量电信企业的假冒页面,主要是一些假冒充值页面,占12%。网络钓鱼与移动应用的结合越来越紧密,许多网络钓鱼页面只能通过移动智能终端访问,针对手机网银、微信等移动应用的网络钓鱼事件时有发生。

安全漏洞风险多 移动应用成个人信息泄露新“灾区”

此外,由于云服务申请和使用方便、成本低、安全审计不严,以及传统的基于ip地址的跟踪和处置方法难以应用,云平台正日益成为网络钓鱼网站的温床。根据2014年处置的银行钓鱼网站,根据钓鱼网站的数量(根据域名统计),前10个ip地址中有4个属于云服务提供商。

标题:安全漏洞风险多 移动应用成个人信息泄露新“灾区”

地址:http://www.3mta.com/xlxw/11516.html