互联网安全数据 立法仍欠缺

互联网心脏出血（Techweb配图）本周二，WindowsXP系统正式停止服务。
同一天，OpenSSL爆出本年度最严重的安全漏洞。而支付宝被盗刷导致的安全问题也被央视曝光。数据显示，WindowsXP的退役将直接导致2亿用户面临安全隐患，而OpenSSL的安全漏洞，也直接影响了1.5亿—2亿用户。一时间，互联网安全成为了本周最热门的话题。业内人士
认为，目前互联网安全领域正在迎来艰苦的上升期。国内网络用户的安全问题仍需提高。同时，在安全数据方面的立法仍是我国欠缺的方面。互联网安全问题频发4月4日　支付宝被盗刷 疑因密码遭泄露据《厦门日报》报道，北京一位支付宝客户在熟睡时，被接连的短信声吵醒。起床一看4条银行短信，4分钟之内总共3万元被刷走；身在上海的王先生突然发现手机
失去信号，咨询运营商后的答案令人吃惊：他的手机被挂失重新补办号码了。此后发生的事情让他更摸不着头脑—自己的银行账户被转走了共计6万多元。另外，央视《每周质量报告》也报道了一起由二维码支付引发的账户被盗刷的事件。移动支付安全专家李晓东认为，目前手机支付主要的安全隐患有两个方面：第一，手机本身不安全，很多用户对手机的不安全是未知的；第二，支付流程尚不完善，现
有的流程仅靠短信确认码完成银行卡绑定和金融产品的购买，这是一个比较大的漏洞。4月8日　XP退役 2亿用户安全遇危机和支付宝被盗刷事件一样引人关注的，还有WindowsXP系统在本周正式退役后的用户安全问题。4月8日，WindowsXP系统正式停服。4月9日凌晨，微软将最后一次提供XP安全补丁更新。这意味着虽然XP系统可以继续使用，但一定程度上存在安全威胁以及不能进行更新。互联网消费调研中心调查数据显示，出于经济和安全两方面的考虑，中国2亿XP用户中，仍有六成表示将坚守XP系统。微软停止XP安全服务后，从国家到个人都将面临前所未有的挑战。中国工程院院士倪光南表示，对中国而言，XP停止服务是一个“重大的信息安全事件”。4月8日　硬件设备中首次被发现存OpenSSL漏洞就在WindowsXP系统正式停服的同一天，常用于电商、网银等安全性极高网站的网络安全协议OpenSLL被曝出存在安全漏洞，危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用，意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。此漏洞在黑客社区中被命名为“心脏出血”漏洞。根据业内人士介绍，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。数据显示，截至目前该漏洞恐将造成1.5亿—2亿用户受影响。频繁爆发安全问题已令国内不少用户和专业人士出现了危机感。据国家互联网应急中心透露，中国网站遭受篡改攻击呈增长态势，其中政府网站是重要目标，暗链植入攻击威胁较大，黑客篡改逐利行为明显。同时，信息系统漏洞数量呈逐年递增态势，应用软件和Web应用漏洞占较大比例，被植入后门网站数量大幅上升，拒绝服务攻击已形成地下产业化。根据今年3月份发布的《中国互联网站发展状况及其安全报告（2014年）》显示，近年来，中国网站安全问题形势严峻。受境外攻击、控制明显增多，是网络安全问题的受害者。根据国家互联网应急中心高级工程师何世平的介绍，近年来中国网站受到的威胁主要包括网页篡改、网站后门、软件漏洞、类型攻击、网页仿冒等类型。在篡改问题上,2013年被篡改的中国网站数量为24034个，较2012年的16388个大幅增长了46.7%；政府网站是被篡改的重要目标。2013年被篡改的政府网站数量为2430个，较2012年的1802个大幅增长了34.9%。在网络钓鱼问题上，2013年发现仿冒中国网站的仿冒页面URL地址30199个，其中美国境内的IP地址承载了12573个针对中国网站的钓鱼页面，占比近42%。被仿冒居前列的包括媒体、银行、互联网社交等网站。业内观点—该如何维护我们的互联网安全移动应用问题大过桌面互联网风险对目前国内互联网和移动互联网行业存在的安全问题，业内人士普遍认为已经颇为严重。甚至有行业内人士认为对于现在的国内互联网安全领域来说，正在迎来一段艰苦的上升期。针对近日频繁出现的互联网安全问题，中国工程院院士兼中国互联网协会理事长邬贺铨表示，目前移动互联网安全应该比桌面互联网更受关注。“手机
那么小、内存没有那么大，不可能安装功能强大的防火墙，即便是XP防火墙也并不是不可攻破；其次，操作系统不见得把严格的管控放在所有的APP商店，这样也增加了病毒攻击风险；第三，我们很少拿PC做移动支付，可是很多人会
用手机做移动支付。他跟你的银行账号、密码等等都关联起来，也就是说你在移动应用上的问题要比桌面互联网的风险大得多。”从技术到法律 完善互联网安全环境邬贺铨认为，移动互联网安全正在引起各方面注意，当然首先是操作系统厂家，其次要实行一种好的机制来管理移动应用，像苹果IOS上面的应用，安全性就比安卓要好，因为他管得相对严格一些。“未来单靠对应用证书的管理还是不够的。可能我们还需要把应用用虚拟机方法隔离起来。作为用户而言，本身要有一个安全的习惯，不能随便就用移动互联网简单地做支付。另外我们在法律上也是欠缺的，究竟
什么样的数据可以公开，什么样的数据需要保护，包括我们在企业应用上的自律，这都还要做，当然每个人也还要提高安全的意识。”邬贺铨表示。企业行动支付宝：建立4000万安全基金针对目前互联网行业集中爆发的安全问题，涉及的相关企业也在第一时间进行了表态。4月9日，支付宝就宣布，将联合多方共建安全基金，首批投入4000万元，主要投向反钓鱼联防、反木马联防、反洗钱、反恶意攻击、用户信息保护等领域。小微金融服务集团(筹)首席风险官胡晓明介绍，安全基金将在主管部门指导下，与包括银行在内的金融机构、同行、安全厂商开展合作，具体合作内容随后会披露。“针对二维码支付，我们也在进行努力，进一步夯实安全体系，同时也在与央行进行紧密沟通配合。”胡晓明同时表示。微软：联合腾讯、360等国内安全厂商服务微软正式停止为Windows XP提供免费服务支持，意味着国内安全厂商接棒服务正式开始，包括腾讯电脑管家、360等企业同时宣布接管WindowsXP之后的更新维护和漏洞修复工作。其中，腾讯宣布将为XP用户提供7×24小时安全服务，具体包括针对XP用户开通24小时服务热线，并针对新型病毒、恶意软件、高危漏洞等大规模的安全突发事件进行联合响应，由双方核心技术团队共同布局防御，微软授权腾讯电脑管家为用户提供基础安全服务。360方面也已推出360安全卫士XP加固版产品，该产品内置的“补天引擎”可以继续修补XP系统漏洞，确保XP用户安全使用电脑。360公司表示，“补天引擎”能够进一步加快360公司对XP系统漏洞补丁的制作和发布速度，为XP提供最全面、及时的漏洞修补服务。360：部分OpenSSL协议漏洞已修复4月8日曝出的OpenSSL的漏洞，可以说是最近两年曝出来的最严重的漏洞。为帮助用户避免相应风险，360网站卫士推出OpenSSL漏洞在线
检查工具，360安全专家石晓虹提醒互联网服务商，尽快将OpenSSL升级至1.0.1g版本进行修复。“目前对于个人，如果你登录过需要让人登录的网站，或者网银等等，确认安全与否最好就是看
看网站有没有提示修复漏洞。” 360副总裁、首席隐私官谭晓生介绍，“像淘宝、支付宝之类的，我们已经确认这些网站修复了，这些网站上去之后最好把密码改了，个人来说最彻底的就是改密码，
但是不能先急着把所有的密码改了，先看这个网站有没有把所有的改好，如果它把漏洞都补了再改密码，对个人防护来说这是最有效的方法。”文/记者 王伶玲