在目前下載量較大的千余款移動(dòng)App中，每款應(yīng)用平均申請(qǐng) 25 項(xiàng)權(quán)限，其中申請(qǐng)了與業(yè)務(wù)無(wú)關(guān)的撥打電話權(quán)限的 App量占比超過(guò) 30%。

　　隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)承載信息變多的同時(shí)，信息保護(hù)也存在更大的安全風(fēng)險(xiǎn)。

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(下稱(chēng)“CNCERT ”)13日發(fā)布的《2019 年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》(下稱(chēng)“報(bào)告”)顯示，盡管2019年上半年我國(guó)基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，未發(fā)生較大規(guī)模以上網(wǎng)絡(luò)安全事件。但數(shù)據(jù)泄露事件及風(fēng)險(xiǎn)、有組織的分布式拒絕服務(wù)攻擊干擾我國(guó)重要網(wǎng)站正常運(yùn)行、魚(yú)叉釣魚(yú)郵件攻擊事件頻發(fā)，多個(gè)高危漏洞被曝出，我國(guó)網(wǎng)絡(luò)空間仍面臨諸多風(fēng)險(xiǎn)與挑戰(zhàn)。

　　監(jiān)測(cè)數(shù)據(jù)顯示，與2018年上半年數(shù)據(jù)比較，2019年上半年我國(guó)境內(nèi)通用型“零日”漏洞收錄數(shù)量，涉及關(guān)鍵信息基礎(chǔ)設(shè)施的事件型漏洞通報(bào)數(shù)量，遭篡改、 植入后門(mén)、仿冒網(wǎng)站數(shù)量等有所上升，其他各類(lèi)監(jiān)測(cè)數(shù)據(jù)有所降低或基本持平。

　　在云平臺(tái)安全方面，2019年上半年，云平臺(tái)上的網(wǎng)絡(luò)安全事件或威脅情況相比2018年進(jìn)一步加劇。發(fā)生在我國(guó)主流云平臺(tái)上的各類(lèi)網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高。

　　而在工業(yè)互聯(lián)網(wǎng)安全方面，累計(jì)監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)暴露的聯(lián)網(wǎng)工業(yè)設(shè)備數(shù)量共計(jì)6814個(gè)，涉及西門(mén)子、韋益可自控、羅克韋爾等 37 家國(guó)內(nèi)外廠商的 50 種設(shè)備類(lèi)型。其中，存在高危漏洞隱患的設(shè)備占比約 34%，這些設(shè)備的廠商、型號(hào)、版本、參數(shù)等信息長(zhǎng)期遭惡意嗅探，僅在2019年上半年嗅探事件就高達(dá)5151萬(wàn)起。另外，CNCERT發(fā)現(xiàn)境內(nèi)具有一定用戶規(guī)模的大型工業(yè)云平臺(tái)40余家，業(yè)務(wù)涉及能源、金融、物流、智能制造、 智慧城市、醫(yī)療健康等方面，并監(jiān)測(cè)到根云、航天云網(wǎng)、 COSMOPlat、OneNET、OceanConnect 等大型工業(yè)云平臺(tái)持續(xù)遭受漏洞利用、拒絕服務(wù)、暴力破解等網(wǎng)絡(luò)攻擊，工業(yè)云平臺(tái)已經(jīng)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。

　　報(bào)告還顯示，在重點(diǎn)行業(yè)安全方面。涉及國(guó)計(jì)民生的重點(diǎn)行業(yè)監(jiān)控管理系統(tǒng)因存在網(wǎng)絡(luò)配置疏漏等問(wèn)題，可能會(huì)直接暴露在互聯(lián)網(wǎng)上。上半年CNCERT對(duì)水電和醫(yī)療健康兩個(gè)行業(yè)的聯(lián)網(wǎng)監(jiān)控或管理系統(tǒng)開(kāi)展了網(wǎng)絡(luò)安全監(jiān)測(cè)與分析，發(fā)現(xiàn)水電行業(yè)暴露相關(guān)監(jiān)控管理系統(tǒng)139個(gè)，涉及生產(chǎn)管理和生產(chǎn)監(jiān)控2大類(lèi);醫(yī)療健康行業(yè)暴露相關(guān)數(shù)據(jù)管理系統(tǒng)709個(gè)，涉及醫(yī)學(xué)信息和基因檢測(cè)2大類(lèi)。

　　中國(guó)信通院華東分院首席規(guī)劃師賀仁龍告訴第一財(cái)經(jīng)記者，工業(yè)互聯(lián)網(wǎng)的生產(chǎn)能力是需要接到互聯(lián)網(wǎng)，一旦受到攻擊，生產(chǎn)能力有可能被摧毀。所以不僅僅是網(wǎng)絡(luò)安全、數(shù)據(jù)安全，另外的設(shè)備安全、控制安全、應(yīng)用安全這幾大方面都應(yīng)該關(guān)注。“比如控制安全要接受指令，指令錯(cuò)亂或者丟失的話也會(huì)導(dǎo)致問(wèn)題。”他建議，除了基本的防護(hù)，用戶應(yīng)該采取更多的安全系統(tǒng)，要針對(duì)不同行業(yè)，對(duì)平臺(tái)網(wǎng)絡(luò)架構(gòu)、感知端接入合法性、云平臺(tái)架構(gòu)數(shù)據(jù)流轉(zhuǎn)、設(shè)備終端合法性等多個(gè)方面做監(jiān)測(cè)。“例如有的醫(yī)院并沒(méi)有進(jìn)行多項(xiàng)測(cè)試就接入了終端，存在很多隱患。”

　　電子科技大學(xué)教授周濤對(duì)記者表示，對(duì)于工業(yè)互聯(lián)網(wǎng)來(lái)說(shuō)，工控是一個(gè)很大問(wèn)題，目前主要有本地部署和接入工業(yè)互聯(lián)網(wǎng)兩種。大企業(yè)很多都是采取本地部署，“這種就是在生產(chǎn)線加算法，不安全性較小”。但是中小企業(yè)由于面臨資金壓力，所以一般都會(huì)采取云服務(wù)，包括一些大企業(yè)也會(huì)采用云服務(wù)，這樣就涉及工控安全問(wèn)題。遭到攻擊會(huì)造成大的生產(chǎn)癱瘓，另外甚至?xí)�有改變了參�?shù)都不知道的情況。

　　另外，在移動(dòng)互聯(lián)網(wǎng)終端應(yīng)用方面，報(bào)告顯示我國(guó)境內(nèi)應(yīng)用商店數(shù)量已超過(guò) 200 家，上架應(yīng)用近 500 萬(wàn)款，下載總量超過(guò)萬(wàn)億次。與此同時(shí)，移動(dòng) App 強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在。CNCERT監(jiān)測(cè)分析發(fā)現(xiàn)，，在目前下載量較大的千余款移動(dòng) App 中，每款應(yīng)用平均申請(qǐng)25項(xiàng)權(quán)限，其中申請(qǐng)了與業(yè)務(wù)無(wú)關(guān)的撥打電話權(quán)限的 App量占比超過(guò) 30%;每款應(yīng)用平均收集20項(xiàng)個(gè)人信息和設(shè)備信息，包括社交、出行、招聘、辦公、影音等;大量App存在探測(cè)其他 App或讀寫(xiě)用戶設(shè)備文件等異常行為，對(duì)用戶的個(gè)人信息安全造成潛在安全威脅。

　　目前，我國(guó)正在抓緊推進(jìn)數(shù)據(jù)保護(hù)方面的規(guī)章制度、標(biāo)準(zhǔn)等的制定工作。2019年以來(lái)，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同各行業(yè)主管部門(mén)研究起草了《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》、《網(wǎng)絡(luò)安全審查辦法(征求意見(jiàn)稿)》、《個(gè)人信息出境 安全評(píng)估辦法(征求意見(jiàn)稿)》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī) 定(征求意見(jiàn)稿)》、《App 違法違規(guī)收集使用個(gè)人信息行為 認(rèn)定方法(征求意見(jiàn)稿)》等。