原標(biāo)題：個人信息泄露　移動應(yīng)用成新“災(zāi)區(qū)”（經(jīng)濟(jì)聚焦）

　　5月27日,，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心在武漢發(fā)布了2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告。

　　報告顯示,，我國網(wǎng)絡(luò)安全狀況總體平穩(wěn),，但基礎(chǔ)網(wǎng)絡(luò)仍存在較多漏洞風(fēng)險,，來自境外針對政府部門和重要行業(yè)單位網(wǎng)站的網(wǎng)絡(luò)攻擊頻度,、烈度和復(fù)雜度不斷加??；網(wǎng)站數(shù)據(jù)和個人信息泄露現(xiàn)象依然嚴(yán)重，移動應(yīng)用程序成為數(shù)據(jù)泄露的新主體,。

　　安全漏洞風(fēng)險仍然較多

　　2014年,，國家信息安全漏洞共享平臺收錄并發(fā)布各類安全漏洞9163個，較2013年增長16.7%,；其中高危漏洞2394個,，占26.1%，可誘發(fā)零日攻擊的漏洞3266個（即披露時廠商未提供補(bǔ)?。?，占35.6%。在2014年收錄的漏洞中,，涉及電信行業(yè)的占9%,，涉及工控系統(tǒng)的占2.0%，涉及電子政務(wù)的占1.9%,。國家互聯(lián)網(wǎng)應(yīng)急中心全年向政府機(jī)構(gòu)和重要信息系統(tǒng)部門通報漏洞事件9068起,，較2013年增長3倍。

　　隨著信息化發(fā)展,，傳統(tǒng)廣播電視,、公共管理、社會服務(wù)等領(lǐng)域與互聯(lián)網(wǎng)緊密融合,，漏洞威脅也在演化跟進(jìn),。2014年，國家互聯(lián)網(wǎng)應(yīng)急中心處置多起公共服務(wù)管理系統(tǒng)存在漏洞風(fēng)險的事件,，涉及公共場所LED信息管理,、高速公路視頻監(jiān)控、區(qū)域車輛GPS調(diào)度監(jiān)控等,，這些漏洞一旦被利用,，將直接影響日常交通管理和公眾生活。

　　國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰表示,，2014年已經(jīng)發(fā)現(xiàn)一些智能監(jiān)控設(shè)備,、智能路由器、網(wǎng)絡(luò)攝像頭,、機(jī)頂盒等聯(lián)網(wǎng)智能設(shè)備被黑客控制發(fā)起網(wǎng)絡(luò)攻擊,，這些聯(lián)網(wǎng)智能設(shè)備普遍存在弱口令,、配置不當(dāng)?shù)劝踩珕栴},，很容易被攻擊者安裝木馬變成“肉雞”長期進(jìn)行控制。

　　1100余萬臺主機(jī)感染木馬僵尸網(wǎng)絡(luò)，1763個政府網(wǎng)站被篡改

　　據(jù)監(jiān)測,，2014年我國境內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)為1108.8萬余臺,，較2013年下降2.3%，境內(nèi)木馬僵尸控制服務(wù)器6.1萬余個,，較2013年大幅下降61.4%,。

　　隨著我國持續(xù)加大公共互聯(lián)網(wǎng)環(huán)境監(jiān)管和治理力度，大量僵尸網(wǎng)絡(luò)控制服務(wù)器向境外遷移,。2014年抽樣監(jiān)測發(fā)現(xiàn)境外4.2萬個控制服務(wù)器控制了我國境內(nèi)1081萬余個主機(jī),，境外控制服務(wù)器數(shù)量較2013年增長45.3%。

　　據(jù)抽樣監(jiān)測,，2014年針對我國域名系統(tǒng)的流量規(guī)模達(dá)每秒1GB以上的拒絕服務(wù)攻擊事件日均約187起,，約為2013年的3倍。針對政府部門和重要行業(yè)單位網(wǎng)站的網(wǎng)絡(luò)攻擊頻度,、烈度和復(fù)雜度加劇,。2014年我國境內(nèi)被篡改的政府網(wǎng)站1763個，被植入后門的政府網(wǎng)站1529個,，分別占全部被篡改網(wǎng)站的4.8%和全部被植入后門網(wǎng)站的3.8%,。

　　同時，針對重要網(wǎng)站的域名解析篡改事件頻發(fā),。在去年10月份期間測試的870萬余個域名中,，約有107萬余個域名被解析到境外IP地址，其中有2.9萬個域名的Web端口能夠訪問,，部分指向推廣游戲,、色情、賭博等內(nèi)容的異常頁面,，還有部分頁面被植入惡意代碼,。

　　移動APP成數(shù)據(jù)泄露新主體

　　2014年，數(shù)據(jù)信息泄露仍然呈高發(fā)態(tài)勢,，我國多家知名電商,、快遞公司、招聘網(wǎng)站,、考試報名網(wǎng)站等發(fā)生數(shù)據(jù)泄露事件,。5月中旬，某知名手機(jī)廠商論壇數(shù)據(jù)泄露,，導(dǎo)致800萬用戶信息外泄,；12月，國內(nèi)某著名交通購票網(wǎng)站遭受撞庫攻擊,，導(dǎo)致包括用戶賬號,、明文密碼、身份證號碼、手機(jī)號碼和電子郵箱等在內(nèi)的13萬多條用戶數(shù)據(jù)在互聯(lián)網(wǎng)上流傳,。

　　值得一提的是,，移動應(yīng)用程序成為數(shù)據(jù)泄露的新主體。2014年,，訂票,、社交、點(diǎn)評,、論壇,、瀏覽器等國內(nèi)多種知名移動應(yīng)用相繼發(fā)生用戶數(shù)據(jù)泄露事件。一些移動應(yīng)用開發(fā)者經(jīng)驗(yàn)不足,，安全意識和水平不夠,，網(wǎng)站服務(wù)器對移動端的訪問控制機(jī)制較弱。黑客利用這些接口漏洞,，對網(wǎng)站服務(wù)器發(fā)起攻擊,，能夠輕易獲得相應(yīng)服務(wù)器的地址和接口信息進(jìn)而導(dǎo)致信息泄露。

　　2014年,，國家信息安全漏洞共享平臺收錄1710個涉及移動互聯(lián)網(wǎng)終端設(shè)備或軟件產(chǎn)品的漏洞,，這都可能成為黑客攻擊獲取用戶信息新的入口。

　　金融及電信機(jī)構(gòu)網(wǎng)頁“李鬼”大幅增長

　　2014年,，針對金融,、電信行業(yè)的網(wǎng)頁仿冒事件大幅增長，大量釣魚站點(diǎn)向云平臺遷移,，加大事件處置難度,，影響用戶經(jīng)濟(jì)安全和信息消費(fèi)。

　　抽樣監(jiān)測數(shù)據(jù)表明,，針對我國境內(nèi)網(wǎng)站的仿冒頁面（URL鏈接）近10萬個,，較2013年增長2.3倍。這些釣魚站點(diǎn)中,，有89.4%位于境外,。

　　從被仿冒對象來看，針對第三方支付機(jī)構(gòu),、網(wǎng)上銀行等金融機(jī)構(gòu)的仿冒頁面占比超過80%,，主要是誘騙用戶提交銀行卡號、密碼,、身份證號等信息,；同時發(fā)現(xiàn)大量針對電信企業(yè)的仿冒頁面，主要是一些虛假的充值頁面,，占比達(dá)12%,。網(wǎng)頁仿冒與移動應(yīng)用結(jié)合日益緊密,，許多仿冒頁面僅能通過移動智能終端訪問，針對手機(jī)網(wǎng)銀,、微信等移動應(yīng)用的仿冒事件頻發(fā)。

　　此外,，由于云服務(wù)申請和使用方便,、成本低廉、安全審核不嚴(yán),，且傳統(tǒng)基于IP地址的追蹤處置手段難以適用,，云平臺日益成為釣魚網(wǎng)站棲息的溫床。從2014年處置的銀行類釣魚網(wǎng)站來看,，按所承載的釣魚網(wǎng)站數(shù)量（按域名統(tǒng)計）排序,，排名前十的IP地址有4個屬于云服務(wù)提供商。