原標題：個人信息泄露　移動應用成新“災區(qū)”（經濟聚焦）

　　5月27日，國家計算機網絡應急技術處理協(xié)調中心在武漢發(fā)布了2014年中國互聯(lián)網網絡安全報告。

　　報告顯示，我國網絡安全狀況總體平穩(wěn)，但基礎網絡仍存在較多漏洞風險，來自境外針對政府部門和重要行業(yè)單位網站的網絡攻擊頻度、烈度和復雜度不斷加劇；網站數據和個人信息泄露現象依然嚴重，移動應用程序成為數據泄露的新主體。

　　安全漏洞風險仍然較多

　　2014年，國家信息安全漏洞共享平臺收錄并發(fā)布各類安全漏洞9163個，較2013年增長16.7%；其中高危漏洞2394個，占26.1%，可誘發(fā)零日攻擊的漏洞3266個（即披露時廠商未提供補丁），占35.6%。在2014年收錄的漏洞中，涉及電信行業(yè)的占9%，涉及工控系統(tǒng)的占2.0%，涉及電子政務的占1.9%。國家互聯(lián)網應急中心全年向政府機構和重要信息系統(tǒng)部門通報漏洞事件9068起，較2013年增長3倍。

　　隨著信息化發(fā)展，傳統(tǒng)廣播電視、公共管理、社會服務等領域與互聯(lián)網緊密融合，漏洞威脅也在演化跟進。2014年，國家互聯(lián)網應急中心處置多起公共服務管理系統(tǒng)存在漏洞風險的事件，涉及公共場所LED信息管理、高速公路視頻監(jiān)控、區(qū)域車輛GPS調度監(jiān)控等，這些漏洞一旦被利用，將直接影響日常交通管理和公眾生活。

　　國家互聯(lián)網應急中心運行部副主任嚴寒冰表示，2014年已經發(fā)現一些智能監(jiān)控設備、智能路由器、網絡攝像頭、機頂盒等聯(lián)網智能設備被黑客控制發(fā)起網絡攻擊，這些聯(lián)網智能設備普遍存在弱口令、配置不當等安全問題，很容易被攻擊者安裝木馬變成“肉雞”長期進行控制。

　　1100余萬臺主機感染木馬僵尸網絡，1763個政府網站被篡改

　　據監(jiān)測，2014年我國境內感染木馬僵尸網絡的主機為1108.8萬余臺，較2013年下降2.3%，境內木馬僵尸控制服務器6.1萬余個，較2013年大幅下降61.4%。

　　隨著我國持續(xù)加大公共互聯(lián)網環(huán)境監(jiān)管和治理力度，大量僵尸網絡控制服務器向境外遷移。2014年抽樣監(jiān)測發(fā)現境外4.2萬個控制服務器控制了我國境內1081萬余個主機，境外控制服務器數量較2013年增長45.3%。

　　據抽樣監(jiān)測，2014年針對我國域名系統(tǒng)的流量規(guī)模達每秒1GB以上的拒絕服務攻擊事件日均約187起，約為2013年的3倍。針對政府部門和重要行業(yè)單位網站的網絡攻擊頻度、烈度和復雜度加劇。2014年我國境內被篡改的政府網站1763個，被植入后門的政府網站1529個，分別占全部被篡改網站的4.8%和全部被植入后門網站的3.8%。

　　同時，針對重要網站的域名解析篡改事件頻發(fā)。在去年10月份期間測試的870萬余個域名中，約有107萬余個域名被解析到境外IP地址，其中有2.9萬個域名的Web端口能夠訪問，部分指向推廣游戲、色情、賭博等內容的異常頁面，還有部分頁面被植入惡意代碼。

　　移動APP成數據泄露新主體

　　2014年，數據信息泄露仍然呈高發(fā)態(tài)勢，我國多家知名電商、快遞公司、招聘網站、考試報名網站等發(fā)生數據泄露事件。5月中旬，某知名手機廠商論壇數據泄露，導致800萬用戶信息外泄；12月，國內某著名交通購票網站遭受撞庫攻擊，導致包括用戶賬號、明文密碼、身份證號碼、手機號碼和電子郵箱等在內的13萬多條用戶數據在互聯(lián)網上流傳。

　　值得一提的是，移動應用程序成為數據泄露的新主體。2014年，訂票、社交、點評、論壇、瀏覽器等國內多種知名移動應用相繼發(fā)生用戶數據泄露事件。一些移動應用開發(fā)者經驗不足，安全意識和水平不夠，網站服務器對移動端的訪問控制機制較弱。黑客利用這些接口漏洞，對網站服務器發(fā)起攻擊，能夠輕易獲得相應服務器的地址和接口信息進而導致信息泄露。

　　2014年，國家信息安全漏洞共享平臺收錄1710個涉及移動互聯(lián)網終端設備或軟件產品的漏洞，這都可能成為黑客攻擊獲取用戶信息新的入口。

　　金融及電信機構網頁“李鬼”大幅增長

　　2014年，針對金融、電信行業(yè)的網頁仿冒事件大幅增長，大量釣魚站點向云平臺遷移，加大事件處置難度，影響用戶經濟安全和信息消費。

　　抽樣監(jiān)測數據表明，針對我國境內網站的仿冒頁面（URL鏈接）近10萬個，較2013年增長2.3倍。這些釣魚站點中，有89.4%位于境外。

　　從被仿冒對象來看，針對第三方支付機構、網上銀行等金融機構的仿冒頁面占比超過80%，主要是誘騙用戶提交銀行卡號、密碼、身份證號等信息；同時發(fā)現大量針對電信企業(yè)的仿冒頁面，主要是一些虛假的充值頁面，占比達12%。網頁仿冒與移動應用結合日益緊密，許多仿冒頁面僅能通過移動智能終端訪問，針對手機網銀、微信等移動應用的仿冒事件頻發(fā)。

　　此外，由于云服務申請和使用方便、成本低廉、安全審核不嚴，且傳統(tǒng)基于IP地址的追蹤處置手段難以適用，云平臺日益成為釣魚網站棲息的溫床。從2014年處置的銀行類釣魚網站來看，按所承載的釣魚網站數量（按域名統(tǒng)計）排序，排名前十的IP地址有4個屬于云服務提供商。