警惕網路安全：APP平均收集20項個人信息，工業雲平台易受攻擊

隨著信息技術的發展，互聯網承載信息變多的同時，信息保護也存在更大的安全風險。

國家互聯網應急中心（下稱「CNCERT 」）13日發布的《2019 年上半年我國互聯網網路安全態勢》（下稱「報告」）顯示，儘管2019年上半年我國基礎網路運行總體平穩，未發生較大規模以上網路安全事件。但數據泄露事件及風險、有組織的分散式拒絕服務攻擊干擾我國重要網站正常運行、魚叉釣魚郵件攻擊事件頻發，多個高危漏洞被曝出，我國網路空間仍面臨諸多風險與挑戰。

監測數據顯示，與2018年上半年數據比較，2019年上半年我國境內通用型「零日」漏洞收錄數量，涉及關鍵信息基礎設施的事件型漏洞通報數量，遭篡改、 植入後門、仿冒網站數量等有所上升，其他各類監測數據有所降低或基本持平。

在雲平台安全方面，2019年上半年，雲平台上的網路安全事件或威脅情況相比2018年進一步加劇。發生在我國主流雲平台上的各類網路安全事件數量佔比仍然較高。

而在工業互聯網安全方面，累計監測發現我國境內暴露的聯網工業設備數量共計6814個，涉及西門子、韋益可自控、羅克韋爾等 37 家國內外廠商的 50 種設備類型。其中，存在高危漏洞隱患的設備佔比約 34%，這些設備的廠商、型號、版本、參數等信息長期遭惡意嗅探，僅在2019年上半年嗅探事件就高達5151萬起。另外，CNCERT發現境內具有一定用戶規模的大型工業雲平台40餘家，業務涉及能源、金融、物流、智能製造、 智慧城市、醫療健康等方面，並監測到根雲、航天雲網、 COSMOPlat、OneNET、OceanConnect 等大型工業雲平台持續遭受漏洞利用、拒絕服務、暴力破解等網路攻擊，工業雲平台已經成為網路攻擊的重點目標。

報告還顯示，在重點行業安全方面。涉及國計民生的重點行業監控管理系統因存在網路配置疏漏等問題，可能會直接暴露在互聯網上。上半年CNCERT對水電和醫療健康兩個行業的聯網監控或管理系統開展了網路安全監測與分析，發現水電行業暴露相關監控管理系統139個,涉及生產管理和生產監控2大類；醫療健康行業暴露相關數據管理系統709個，涉及醫學信息和基因檢測2大類。

中國信通院華東分院首席規劃師賀仁龍告訴第一財經記者，工業互聯網的生產能力是需要接到互聯網，一旦受到攻擊，生產能力有可能被摧毀。所以不僅僅是網路安全、數據安全，另外的設備安全、控制安全、應用安全這幾大方面都應該關注。「比如控制安全要接受指令，指令錯亂或者丟失的話也會導致問題。」他建議，除了基本的防護，用戶應該採取更多的安全系統，要針對不同行業，對平台網路架構、感知端接入合法性、雲平台架構數據流轉、設備終端合法性等多個方面做監測。「例如有的醫院並沒有進行多項測試就接入了終端，存在很多隱患。」

電子科技大學教授周濤對記者表示，對於工業互聯網來說，工控是一個很大問題，目前主要有本地部署和接入工業互聯網兩種。大企業很多都是採取本地部署，「這種就是在生產線加演算法，不安全性較小」。但是中小企業由於面臨資金壓力，所以一般都會採取雲服務，包括一些大企業也會採用雲服務，這樣就涉及工控安全問題。遭到攻擊會造成大的生產癱瘓，另外甚至會有改變了參數都不知道的情況。

另外，在移動互聯網終端應用方面，報告顯示我國境內應用商店數量已超過 200 家，上架應用近 500 萬款，下載總量超過萬億次。與此同時，移動 APP 強制授權、過度索權、超範圍收集個人信息的現象大量存在。CNCERT監測分析發現,，在目前下載量較大的千餘款移動 APP 中，每款應用平均申請25項許可權，其中申請了與業務無關的撥打電話許可權的 APP量佔比超過 30%；每款應用平均收集20項個人信息和設備信息，包括社交、出行、招聘、辦公、影音等；大量APP存在探測其他 APP或讀寫用戶設備文件等異常行為，對用戶的個人信息安全造成潛在安全威脅。

目前，我國正在抓緊推進數據保護方面的規章制度、標準等的制定工作。2019年以來，國家互聯網信息辦公室會同各行業主管部門研究起草了《數據安全管理辦法(徵求意見稿)》、《網路安全審查辦法(徵求意見稿)》、《個人信息出境 安全評估辦法(徵求意見稿)》、《兒童個人信息網路保護規 定(徵求意見稿)》、《APP 違法違規收集使用個人信息行為 認定方法(徵求意見稿)》等。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！