警惕網(wǎng)絡(luò)安全：App平均收集20項(xiàng)個(gè)人信息

　　在目前下載量較大的千余款移動App中，每款應(yīng)用平均申請 25 項(xiàng)權(quán)限，其中申請了與業(yè)務(wù)無關(guān)的撥打電話權(quán)限的 App量占比超過 30%。

　　隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)承載信息變多的同時(shí)，信息保護(hù)也存在更大的安全風(fēng)險(xiǎn)。

　　國家互聯(lián)網(wǎng)應(yīng)急中心(下稱“CNCERT ”)13日發(fā)布的《2019 年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》(下稱“報(bào)告”)顯示，盡管2019年上半年我國基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，未發(fā)生較大規(guī)模以上網(wǎng)絡(luò)安全事件。但數(shù)據(jù)泄露事件及風(fēng)險(xiǎn)、有組織的分布式拒絕服務(wù)攻擊干擾我國重要網(wǎng)站正常運(yùn)行、魚叉釣魚郵件攻擊事件頻發(fā)，多個(gè)高危漏洞被曝出，我國網(wǎng)絡(luò)空間仍面臨諸多風(fēng)險(xiǎn)與挑戰(zhàn)。

　　監(jiān)測數(shù)據(jù)顯示，與2018年上半年數(shù)據(jù)比較，2019年上半年我國境內(nèi)通用型“零日”漏洞收錄數(shù)量，涉及關(guān)鍵信息基礎(chǔ)設(shè)施的事件型漏洞通報(bào)數(shù)量，遭篡改、 植入后門、仿冒網(wǎng)站數(shù)量等有所上升，其他各類監(jiān)測數(shù)據(jù)有所降低或基本持平。

　　在云平臺安全方面，2019年上半年，云平臺上的網(wǎng)絡(luò)安全事件或威脅情況相比2018年進(jìn)一步加劇。發(fā)生在我國主流云平臺上的各類網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高。

　　而在工業(yè)互聯(lián)網(wǎng)安全方面，累計(jì)監(jiān)測發(fā)現(xiàn)我國境內(nèi)暴露的聯(lián)網(wǎng)工業(yè)設(shè)備數(shù)量共計(jì)6814個(gè)，涉及西門子、韋益可自控、羅克韋爾等 37 家國內(nèi)外廠商的 50 種設(shè)備類型。其中，存在高危漏洞隱患的設(shè)備占比約 34%，這些設(shè)備的廠商、型號、版本、參數(shù)等信息長期遭惡意嗅探，僅在2019年上半年嗅探事件就高達(dá)5151萬起。另外，CNCERT發(fā)現(xiàn)境內(nèi)具有一定用戶規(guī)模的大型工業(yè)云平臺40余家，業(yè)務(wù)涉及能源、金融、物流、智能制造、 智慧城市、醫(yī)療健康等方面，并監(jiān)測到根云、航天云網(wǎng)、 COSMOPlat、OneNET、OceanConnect 等大型工業(yè)云平臺持續(xù)遭受漏洞利用、拒絕服務(wù)、暴力破解等網(wǎng)絡(luò)攻擊，工業(yè)云平臺已經(jīng)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。

　　報(bào)告還顯示，在重點(diǎn)行業(yè)安全方面。涉及國計(jì)民生的重點(diǎn)行業(yè)監(jiān)控管理系統(tǒng)因存在網(wǎng)絡(luò)配置疏漏等問題，可能會直接暴露在互聯(lián)網(wǎng)上。上半年CNCERT對水電和醫(yī)療健康兩個(gè)行業(yè)的聯(lián)網(wǎng)監(jiān)控或管理系統(tǒng)開展了網(wǎng)絡(luò)安全監(jiān)測與分析，發(fā)現(xiàn)水電行業(yè)暴露相關(guān)監(jiān)控管理系統(tǒng)139個(gè)，涉及生產(chǎn)管理和生產(chǎn)監(jiān)控2大類;醫(yī)療健康行業(yè)暴露相關(guān)數(shù)據(jù)管理系統(tǒng)709個(gè)，涉及醫(yī)學(xué)信息和基因檢測2大類。

　　中國信通院華東分院首席規(guī)劃師賀仁龍告訴第一財(cái)經(jīng)記者，工業(yè)互聯(lián)網(wǎng)的生產(chǎn)能力是需要接到互聯(lián)網(wǎng)，一旦受到攻擊，生產(chǎn)能力有可能被摧毀。所以不僅僅是網(wǎng)絡(luò)安全、數(shù)據(jù)安全，另外的設(shè)備安全、控制安全、應(yīng)用安全這幾大方面都應(yīng)該關(guān)注。“比如控制安全要接受指令，指令錯亂或者丟失的話也會導(dǎo)致問題。”他建議，除了基本的防護(hù)，用戶應(yīng)該采取更多的安全系統(tǒng)，要針對不同行業(yè)，對平臺網(wǎng)絡(luò)架構(gòu)、感知端接入合法性、云平臺架構(gòu)數(shù)據(jù)流轉(zhuǎn)、設(shè)備終端合法性等多個(gè)方面做監(jiān)測。“例如有的醫(yī)院并沒有進(jìn)行多項(xiàng)測試就接入了終端，存在很多隱患。”

　　電子科技大學(xué)教授周濤對記者表示，對于工業(yè)互聯(lián)網(wǎng)來說，工控是一個(gè)很大問題，目前主要有本地部署和接入工業(yè)互聯(lián)網(wǎng)兩種。大企業(yè)很多都是采取本地部署，“這種就是在生產(chǎn)線加算法，不安全性較小”。但是中小企業(yè)由于面臨資金壓力，所以一般都會采取云服務(wù)，包括一些大企業(yè)也會采用云服務(wù)，這樣就涉及工控安全問題。遭到攻擊會造成大的生產(chǎn)癱瘓，另外甚至?xí)�有改變了參�?shù)都不知道的情況。

　　另外，在移動互聯(lián)網(wǎng)終端應(yīng)用方面，報(bào)告顯示我國境內(nèi)應(yīng)用商店數(shù)量已超過 200 家，上架應(yīng)用近 500 萬款，下載總量超過萬億次。與此同時(shí)，移動 App 強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在。CNCERT監(jiān)測分析發(fā)現(xiàn)，，在目前下載量較大的千余款移動 App 中，每款應(yīng)用平均申請25項(xiàng)權(quán)限，其中申請了與業(yè)務(wù)無關(guān)的撥打電話權(quán)限的 App量占比超過 30%;每款應(yīng)用平均收集20項(xiàng)個(gè)人信息和設(shè)備信息，包括社交、出行、招聘、辦公、影音等;大量App存在探測其他 App或讀寫用戶設(shè)備文件等異常行為，對用戶的個(gè)人信息安全造成潛在安全威脅。

　　目前，我國正在抓緊推進(jìn)數(shù)據(jù)保護(hù)方面的規(guī)章制度、標(biāo)準(zhǔn)等的制定工作。2019年以來，國家互聯(lián)網(wǎng)信息辦公室會同各行業(yè)主管部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見稿)》、《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》、《個(gè)人信息出境 安全評估辦法(征求意見稿)》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī) 定(征求意見稿)》、《App 違法違規(guī)收集使用個(gè)人信息行為 認(rèn)定方法(征求意見稿)》等。