2015年我国网络与信息安全发展报告

 

 

　　我国互联网仍然存在较多网络攻击和安全威胁，2015年我国信息安全领域的现状不容乐观：

 

 

　　在大数据时代，网站数据和个人信息利益价值凸显，海量数据既是企业和用户的核心资产，也成为网络攻击瞄准的目标，以窃取数据为主要目的的攻击事件将越来越多，云平台自身的网络安全防护特别是对海量数据安全的防护将面临挑战。

 

　　在移动互联网应用方面，多款打车软件存在信息泄露风险。互联网漏洞曝光平台——乌云网2015年5月向《消费者报道》提供的数据显示，自2014年1月份到2015年5月上旬，共发布59个关于打车软件的安全漏洞，涉及厂商多达9家，其中快的、滴滴、Uber等行业领先企业赫然在列。在网络第三方支付平台方面，财付通、Apple Pay等被曝存在“灾难级”漏洞，该漏洞可致远程任意代码执行，对用户电脑安全造成极大危害。

 

 

　　随着信息产业各个领域的自主可控深入推进，国产软硬件产品应用增多，其安全问题将受到更多重视。移动互联网与传统产业结合催生智能硬件新业态，智能手环、智能手表等可穿戴设备、互联网电视等产品成为市场热点，随着终端设备的功能和性能大幅提升，面临的安全威胁增大。

 

　　智能手机成为感染病毒与木马的重灾区。研究人员表示六成安卓设备存安全风险、安卓平台媒体诞生近5000款恶意程序；操作系统方面，谷歌再次披露win8.1未修复漏洞。该漏洞存在潜在的可能让黑客攻击谷歌Chrome、Adobe Reader等其他产品的沙盒；可穿戴设备方面，苹果Apple Watch智能手表在上市不久就先后曝出了不少问题，纹身将影响手表的传感器，安全性能缺失，付款无需支付密码。而最新消息显示，Apple Watch可以被轻松重置，被黑客利用犹如探囊取物，存在一定安全隐患。

 

　　云计算爆发式发展,挑战现有监管制度。根据数据显示，2014年，中国网民手机商务应用发展大爆发，手机网购、手机支付、手机银行等手机商务应用用户年增长分别为63.5%、73.2%和69.2%，远超其他手机应用增长幅度。高速增长的数字，也给人们的生产、生活带来了严峻的安全威胁，而现有的安全机制如权限许可和审查机制等还存在诸多弊端。

 

　　2015年7月13日windows平台爆出Evernote安全漏洞，这些漏洞可能会导致执行代码。10月19日下午，乌云宣布发现新漏洞，此漏洞将导致网易163/126邮箱过亿数据泄漏，涉及邮箱账号、密码、用户密保等。我国需加强自主可控云计算安全技术的研发，杜绝云计算安全技术和应用尤其是电子政务云建设依赖国外主流公司的情况，这是解决我国云计算安全问题以及云中数据安全问题的关键点之一。

 

　　此外，涉及重要行业和政府部门的高危漏洞事件增多，网络边防保障仍需加强。“乌云网”日前发布报告称，上海住房公积金网存在漏洞，大量单位和居民信息存在被泄露的风险。上海移动所有用户实名制信息被曝可任意查询，只需你的手机号，就能直接窃取你的实名、住址等信息。包括此前12306网站用户信息在互联网上疯传一事都可以窥探出，重要企事业单位信息系统安全问题日益严峻。

 

　　有组织攻击频发，我国面临大量境外攻击威胁。2015年4月19日《新西兰先驱报》爆料斯诺登发布的绝密文件，称新西兰通信安全局与美国国家安全局合作监控中国领馆，此事引发中国高度关注。且多年来美国国家安全局（NSA）一直在对中国电信巨头华为采取秘密行动，行动内容包括入侵华为总部的服务器，监视华为高层的通信等等。据称这次行动代号为“狙击巨人”（Shotgaint），早在2007年就已经开始。

 

 

 

　　2015年2月，国家网信办发布《互联网用户账号名称管理规定》，重拳整治互联网用户账号乱象，主要对公众使用微博、微信等上网的账号名称（包括头像和简介）进行规范，明确提出网上昵称不准违反法律、危害国家安全、破坏民族团结、侮辱诽谤他人等“九不准”

 

　　6月，《中国互联网协会漏洞信息披露和处置自律公约》在京签署，公约提出漏洞信息披露的“客观、适时、适度”三原则；

 

　　6月，国务院办公厅发布《关于运用大数据加强对市场主体服务和监管的若干意见》。加大网络和信息安全技术研发和资金投入，建立健全信息安全保障体系。采取必要的管理和技术手段，切实保护国信息安全以及公民、法人和其他组织信息安全；

 

　　7月，新的国家安全法实施。新法要求建设网络与信息安全保障体系，提升网络与信息安全保护能力，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；

 

　　6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。现将《中华人民共和国网络安全法（草案）》在中国人大网公布，向社会公开征求意见；

 

　　8月，人大正式通过中华人民共和国刑法修正案（九）。明确了网络服务提供者履行信息网络安全管理的义务，加大了对信息网络犯罪的刑罚力度，进一步加强了对公民个人信息的保护，对增加编造和传播虚假信息犯罪设立了明确条文；

 

　　9月，国务院印发《促进大数据发展行动纲要》，在网络和大数据安全方面要求，在涉及国家安全稳定的领域采用安全可靠的产品和服务，到2020年，实现关键部门的关键设备安全可靠；

 

　　11月，工商总局印发《关于加强网络市场监管的意见》，全面加强网络市场监管。推进“依法管网”、“以网管网”、“信用管网”和“协同管网”4。

 

 

　　今年以来，政府部门开展的集中打击整治网络违法犯罪专项行动：例如成都“铁帚净网”行动，处理违法信息56万条；浙江特大跨国网络赌博案，浙江特大跨国网络赌博案；中移动配合公安机关破获仿冒10086特大诈骗团伙等等。目前我国已经初步形成了以国家信息化工作领导小组为核心的监管机构，并在实践中发挥了重要作用。

 

　　然而从我国互联网络监管实际情况来看，各行政机关、职能部门的管理职责既有交叉重复，也有管理真空。同时，由于我国互联网起步较晚，监管体系不够完善和全面，因此在网络安全的防范上存在着滞后现象，甚至有“心有余而力不足”之感。

 

 

　　“一体两翼的双轮驱动观”是习近平在中央网络安全和信息化领导小组第一次会议上提出的新论断和新要求，强调“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。”这一新论断阐述了信息化对网络安全的重要影响以及网络安全对于信息化的驱动作用之间的辩证关系。

 

　　同时，信息化对网络安全具有重要影响，两者之间具有紧密的关联性、互动性和协同性。我们应当在社会信息化深入发展顺势而为之时，同时对信息安全做到因势而谋，对网络安全做到未雨绸缪，将信息安全和网络安全放到更加重要的全局性高度来认识，将其作为经济健康发展的前提，将其作为城市安全发展的基础，将其作为人民安全的不可或缺的保障。

 

　　截止2015年6月底，我国已有6.32亿网民，占世界网民数量的五分之一，是名副其实的互联网大国，但互联网大国并非就是互联网强国。“没有网络安全就没有国家的安全，没有信息化就没有现代化”。党的十八大以来，党和国家采取了一系列措施加强互联网的发展与管理。

 

　　第二届世界互联网大会于2015年16日至18日在浙江乌镇举行，主题为“互联互通·共享共治——构建网络空间命运共同体”。大会展示了中外互联网前沿技术和最新成果，展示了中国互联网20年发展历程，发布了20多项倡议、报告、宣言等成果。会议发布的《乌镇倡议》提出，“维护网络和平安全。尊重网络空间国家主权，保护网络空间及关键信息基础设施免受威胁、干扰、攻击和破坏，保护个人隐私和知识产权，共同打击网络犯罪和恐怖活动”，表明了中国政府对网络安全认识的新高度。

 

 

　　2015年5月8日，习近平主席访问俄罗斯期间，中俄外长在两国元首见证下签署了《中华人民共和国政府和俄罗斯联邦政府关于在保障国际信息安全领域合作协定》。

 

　　9月，习近平主席访美，与网络议题相关的领域达成六点共识。包括网络安全审查、商业领域加强信息通讯技术网络安全的一般措施、恶意网络活动提供信息及协助、反对网络窃取知识产权、制定和推动国际社会网络空间国家行为准则，以及建立两国打击网络犯罪及相关事项高级别联合对话机制。

 

　　虽然与美国达成了一定程度上的共识，但背后的网络空间的较量仍在继续，并且形势非常严峻，中国要建设网络强国，必须要制定国家信息网络安全战略，注重自主可控技术的研发，才能在国际上打破美国对整个网络的话语霸权。

 

 

　　1、对云和虚拟化基础设施发起攻击。今年被披露出的“毒液”漏洞向我们证明了攻击者和恶意软件是能够从Hypervisor中逃逸，并且在虚拟化环境中访问宿主机操作系统。对虚拟化技术以及私有云和混合云的信任，将会给网络攻击和犯罪带来更便利的条件。同时，由于大量的应用能够访问云系统，移动设备运行有问题的应用，也为攻击者开启了另一个攻击维度，能够让企业网络、公有云和私有云都遭受安全威胁。

 

　　2、漏洞奖励、众测服务持续升温。第三方漏洞平台的作用不可小觑。相比于厂商自己的SRC，其优势在于更加公开、中立和范围广。始源于漏洞奖励基础之上的众测服务业开始逐渐被行业认可。预测明年，在一些在线服务应用比较广泛的重点行业如金融、支付领域会有更大的动作。而另外一些尚未实施过众测服务的行业则可能进行试探性的尝试。

 

　　3、全球网络攻击的战场上将出现更多新的参与者。目前，全球范围的网络战争层出不穷，这些网络战争中所采用的技术和策略基本上是成功的。这无疑将会引导更多的新成员加入到全球网络战争中，网络攻击的广度将会进一步扩大。此外，与传统的间谍战成本相比，进行网络攻击的门槛是最低的，未来或许将会出现更多松散的网络恐怖分子或网络战发起者，开展更为国际化的网络攻击。

 

　　（作者：马明明）