注 册
中国 +86
  • +123
  • +125
  • +666
  • +666
  • +555555
  • +666
  • +666
  • +666
请输入真实手机号
图片验证码 请输入图片验证码
请输入短信验证码
请输入密码

已有账号,

忘记密码
中国 +86
  • +123
  • +125
  • +666
  • +666
  • +555555
  • +666
  • +666
  • +666
请输入真实手机号
图片验证码 请输入图片验证码
请输入短信验证码
请输入新密码

已有账号,

国家计算机应急技术处理协调中心广东分中心网络安全处处长宋苑:凝心聚力 共筑移动互联网治理环境

2016-11-25 艾媒网 阅读 23509

摘要: 国家计算机网络应急技术处理协调中心广东分中心网络安全处处长宋苑出席了“2016中国移动互联网应用安全发展高层论坛”,并发表了题为《凝心聚力,共筑移动互联网治理环境》的精彩演讲。

  艾媒网讯 2016年11月25日-26日,由广州市人民政府、广东省互联网信息办公室、广东省通信管理局、中国互联网协会指导发起,广东省互联网协会主办,广东互联网大会组委会、艾媒咨询集团承办的“2016广东互联网大会暨全球移动互联网CEO峰会”在广州琶洲保利世贸博览馆5&6号馆隆重开幕。

  本次大会以“共创•飞粤——互联网助推新经济”为主题,来自全国各地的政府代表、行业协会、互联网企业领军人物、专家学者等,共同探讨新经济常态下互联网的发展与未来。本届大会规模空前,会场占地面积两万平方米,规划了近200个特装及标准展位;参与报道的主流媒体超过200家;大会期间接待知名演讲嘉宾200位、海内外移动互联网CEO约1000名、互联网相关行业人士8万人次,是华南地区规模最大、规格最高的互联网盛会。

  会上,国家计算机网络应急技术处理协调中心广东分中心网络安全处处长宋苑出席了“2016中国移动互联网应用安全发展高层论坛”,并发表了题为《凝心聚力,共筑移动互联网治理环境》的精彩演讲。

  她认为,移动互联网的用户和终端应用这一块,这几年的发展非常快速,而在发展的同时,安全则显得更加重要。2015年的一个数据显示,移动互联网的网民数量已经达到了7.8亿,占到我们全国人口的56.9%。据监测,在2015年,我国境内活跃的智能终端达到了11.3亿部,而且九成以上都是安卓系统和iOS的操作系统,比例达到78.9%。广东省的数量,今年9月份最新的一个数据显示,达到了1.1亿。

  以下是宋苑的演讲实录:

  各位嘉宾,各位同仁,各位朋友,大家下午好!今天确实也是非常高兴,感谢大家的捧场,今天是在第三届的广东省互联网大会上跟大家一起探讨一下移动互联网安全的话题。

  可能大家不知道这个安全话题是首次进入我们互联网大会。那么我们众所周知,网络安全目前已经成为在国家层面最热门的一个话题,那么从十八大以来,党和国家对网络安全的问题非常重视,我们的习近平总书记作出了没有网络安全就没有国家安全的重要论断。那么网络安全已经成为既海陆空天之外的第五战略的国家安全问题。

  那么我们聚焦到今天这个移动互联网安全话题之前,我想我们一起来回顾一下,在2016年网络安全国际和国内的风云。

  首先我想我们展望一下国际态势,年头大家可能都留意到了,我们的乌克兰电网公开了,整个乌克兰电网持续了三个小时以上的中断事件,整个国家陷入了一片黑暗。那么这个事情的背后,我们发现它是跟俄罗斯的杀虫组织,知名的黑客组织是密切相关的。也就是说针对乌克兰这么核心的电网事件,它的背后由俄国和乌克兰作为我们前俄罗斯最大的两个独联体,背后国家的博弈。

  那么我们也留意到在2016年刚刚过去的11月初,我们美国的总统大选,刚刚尘埃落定,我们的川普先生,号称疯子的川普先生,在最后一刻以微弱的优势反超了希拉里。在这背后我们也看到,应该说这个事件背后是我们的社交网络战胜传统的网络,也可以说是我们在网络安全,在黑客攻击,在最后一刻扳倒民主党的稻草,不管是信息问题,还是我们希拉里的高级助手,中毒以后,他的邮件门事件一系列的发酵带来的这样一个后果。那么我们可以看到背后都有网络安全的身影。

  那么我们也看一下国内的情况,我们在国内习总在419座谈会上,把网络安全的情况,包括它的特点,五个特点,整体的动态的、变化的、开放的、共同的特点,这也是在乌克兰事件爆发以后让我们看到了这种关键的基础设施的脆弱性,也提出了下一步要构建国家级的关键信息基础设施安全保障体系。应该说这个关键信息技术保障设施体系是一个新的概念,但并不陌生,我们非常熟悉的,像航空、税务、证卷、金融、教育等等重要的行业都在其中,只要关系到我们国家安全,我们的公共利益,我们国计民生的这些关键信息基础设施,我们将会考虑下一步构建国家级的安全保障体系。应该说这个将会成为安全史上的一个里程碑的这么一个事情。我想象一下这跟我们今天上午在主会场讨论的互联网+,还是+互联网的问题,可能下来是行业+安全,还是安全+行业,这个会在我们的行业当中,会在安全生态上发生一个长远的影响。

  那么我们也留意到年底的时候,也就是在11月初,我们的人大常委会通过了网络安全法,在明年的6月1号执行。这个应该说在立法层面,在顶层设计这个层面,在网络安全提出了一些更加明确的要求,我们日常应该怎么做,我们在关键信息基础设施的安全运行、保障运行方面,企业也好,国家也好,我们的网民也好,我们应该怎么来共同维护国家的安全。这是我们可以看到在2016年,我们在安全方面的一个热点。

  那么在移动互联网安全方面,我们知道手机已经成为我们身体的一部分,我们说下一步,我们可以展望未来的几年,万物相连的物联网扑面而来。那么在移动互联网时代,我们的安全无处不在。那么今天我想在这里通过展望一下目前我们在移动互联网国家的一个安全形式情况,以及我们国家层面,省层面做的一些治理情况。另外结合我们今天上午正式启动的网络发展联盟下来应该做些什么,跟大家共同探讨一下。

  首先我想通过几个例子和几个数据来看一下移动互联网的安全问题,这个是发生在去年9月份的,应该说比较震撼的Xcode的恶意代码的事件,这个事件应该也是我们移动互联网领域的一个里程碑事件。为什么呢?可能大家觉得苹果手机很安全,它是一个封闭式开发的这么一套系统。但是我们发现,如果你的开发者没有用苹果官方下载的Xcode的开发工具,包括这些应用我们用的非常多的,非常知名的应用,像腾讯,还有我们的12306,我们的高德地图,同花顺等等这些应用,其实不一定安全。

  那么我们在9月份的时候,当时看到苹果的开发软件爆出植入了XcodeGhost的恶意代码,这个危害是非常大的,影响面很广,涉及到两千多万用户。接到这个事件,我们当天立即响应进行了整个恶意代码的分析和监测,同时第一时间在流通的环节,通过我们基础运营企业进行了有效的遏制,而且我们也对感染端的一百多个App, 在源头上进行相应的约谈,同时要求他们更新这些软件。同时我们对公众发布了这样的一个预警信息,我们可以看到在移动互联网的安全方面问题必须引起高度重视。

  第二个例子,我们看一看关于手机用户个人信息泄漏的问题。那么这个问题,一直以来也是大家非常关心的一个问题,因为已经演化成诈骗,关系到我们的钱袋子,关系到我们的切身利益。那么我们看到在315的时候曝光了大量的事件,现场通过外快,我们可以看到很多用户的信息已经被充分的泄露了,用户的姓名、出生日期、身份证号码、住址信息,非常地不安全。

  另外我们在最近发生的,是山东的一个18岁的女孩子,南游的大学生徐依依(音)在花季年华就消失了。我们看到这种信息案件的诈骗非常猖獗,不法分子通过非法获取了用户信息,通过社会工程学一步一步的靠近我们的用户,最终造成严重的财产上面的损失。

  那么我们也看到,我们中心名字刚才也介绍了是比较长的,国家计算机网络应急技术处理协调中心,我们长期开展监测,如果手机用户没有留意通过仿冒的信息点击了一些含有病毒的、木馬的網站感染了以后,我們用戶的信息源源不斷的被輸送到一些惡意的域名,就是我們右下角可以看到,這里面掌握了大量的,我們可以說一般人不應該知道的一些信息。可以說移動互聯網的終端已經成為用戶個人信息泄漏的一個重灾区。

  美国东部发生了大面积的网络瘫痪事件,包括知名的脸书,这些应用网站,社交网站都不能幸免。那么我们追究一下是什么原因呢?我们发现它的攻击来自于物联网的设备,由于物联网设备,很多监视器,DVR设备,很多的智能终端,它的初始密码都非常弱,黑客利用这样的密码控制了智能终端,成为了孵化品牌,像我们美国的DNS, 我们说是电话本,攻瘫了以后,在上面承担的一些相关的公司就受到了一些影响。

  因此我们可以看到物联网,包括我们大量的移动互联网的终端设备是成为了大规模流量攻击的一个新的形式。其实我们这个事件发生在美国、中国,在2014年底和2015年初,也发生过类似的事件,也是因为物联网的设备,智能终端的问题,被黑客组织利用,导致了DDos对我们关键基础设施发起攻击,引起了大面积的网络瘫痪。

  前面三个是例子,下面我们看几个数字。那么我们看到在移动互联网的用户和终端应用这一块,这几年是一个飞速发展的趋势,在发展的同时,安全显得更加重要。我们这里是2015年的一个数据,整个的移动互联网的网民数量已经达到了7.8亿,占到我们全国人口的56.9%。因为最新的数据没有出来,现在是远远超过这个数据的。另外一个在2015年,我们监测发现在境内活跃的智能终端达到了11.3亿部,而且九成以上都是安卓系统和iOS的操作系统,安卓比例达到最大,78.9%。我们广东省的数量,今年9月份最新的一个数据,达到了1.1亿。这个数据已经是非常吓人了,在全国是排在第一位的。那么整个基数,移动互联网也好,终端也好,广东都是排头兵的位置,带来的安全不容忽视。

  那么我们再来看一下,在移动互联网的恶意程序这一块的情况,我们说是一个爆炸式的增长,为什么这么说呢?我们可以看一看右下角的这张图,2005年到2015年当中,从2011年出现了一个数据的拐点,可以说恶意程序的这样一个数量是爆发式的增长。在2015年,我们捕获的移动恶意程序的样本达到了148万个,同比增长55.3%。那么在全国感染移动恶意程序的用户数量方面,广东仅次于浙江,排在了第二位,数量达到了1.74亿,这个是全国的一个数据。

  那么抽样检测移动互联网恶意程序下载链条30万余条,被传播了8000多次。

  再看移动互联网安全漏洞风险方面的问题,我们可以看到在2015年的一个情况,我们在移动互联网行业的各类漏洞,我们长期开展移动互联网的安全漏洞的监测分析和治理,这一块的漏洞,去年就有739个,高危漏洞和中危漏洞占了95%,像苹果、三星这些知名厂商的设备和软件的漏洞。

  第七个含有恶意行为的移动互联网各类应用程序的情况。可以说在各种应用当中,特别是针对这种恶意扣费,恶意广告的恶意行为尤为泛滥,特别是恶意扣费占到了23.61%。在右下角可以看到,这个图片大家可能也比较熟悉,这个是在2016年春节期间出现的,是叫抢票软件,抢票软件是通过了很多应用的一些差评的广告平台推送一些带有低俗内容的这么一些信息,那么用户点击以后,就会感染,会进行一个恶意扣费的行为,这个也提醒我们在上网的时候要注意我们相应的上网行为。

  第八我想从移动互联网地下黑产的角度来阐述一下,我们目前整体的国家检测来看,整个黑产的活动是非常地活跃,非常地猖獗的,也是一个蓬勃发展,跟我们目前互联网的发展一样是蓬勃发展的态势。右上角我们可以看到,目前整个移动恶意代码程序的制作,它是呈现出一种公开化、定制化的这么一个特点,很容易,我们可以通过网站,通过一些论坛,通过QQ群来定制恶意代码,恶意程序制作服务明码标价。整个的黑市是非常成熟的,我们也可以看到各种通过伪基站、短信猫向用户发出的恶意短信,那么也可以看到通过广告平台等等途径传播我们的恶意App, 这些方式都应该引起我们网民广度广泛的关注。

  那么针对这么严峻的移动互联网安全态势,我们目前国家都有什么样的一个举措?让我们来看一看,首先我们看到国家在2011年,由工信部牵头,包括公安部还有工商部,三个部门联合开展了针对移动互联网的开门见山的、很明确的这样一个恶意代码的治理行动。那么同时在工信部正式颁发了移动互联网恶意程序检测与处置机制,在2016年正式启动相关的移动互联网恶意程序的监测工作。下面这个数据是国家中心在全国层面开展的一些工作情况,处置、控制规模比较大的恶意服务器,也包括在域名注册商协调层面来开展对遏制域名,控制域名的打击。另外通过我们基础运营企业在广告和流通的环节有效的遏制这些URL的传播。

  第二个,我们可以看到在这方面的传播治理,针对应用商店这一块,我们专门落实开展了应用商店恶意应用的下架制度,我们可以看到从2012年、2013年、2014年,整个数量都是上升的趋势,通过我们长期有效的打击,从2015年开始,呈现出下降的趋势。

  那么在国家中心层面,我们也可以看到全国,像2015年就有300多家,我们是通过应用商店,还有云盘、网站这些平台对他们通报了各类的恶意App事件有1.7万起,我们要求对通报的恶意App要进行及时的下架,这个下架率没有达到100%,还有待我们共同提高。那么在广东这一块,今年的情况截至到11月份,我们协调全省的,包括我们腾讯、皮皮助手应用商店下降率达到了100%。

  另外在移动互联网应用自律黑白名单工作,这个主要是网民的层面我们来使用这些安全的App, 我们称为白名单,避免下载这种安装恶意的App, 我们称为黑名单。那么我们中心在2013年启动了整个移动互联网应用自律的白名单的认证工作,是ANBN(音),白名单的一个LOGO, 通过这样的机制引导我们的开发者提交可信的、安全的白应用,那么应用商店引导发布这种可信的、安全的白应用,那么通过这个安全软件来引导我们安全可靠的白应用。

  另外一个在黑名单治理这一块,我们通过对浏览器操作、搜索引擎、多重阻截,包括已经被植入木马计算机的定制,还有恶意传播的源地址,我们对主流的百度、360搜索、搜索引擎、猎豹等等浏览器,我们会对这些恶意的黑名单进行拦截或者提示,给我们广大的网名更好的预警。

  这个是我们省在这几年开展的一个情况。那么在全国的话,广东的整个手机网民用户已经达到了1.1亿,在全国是排在第一位的,截至到11月份,我们在接触运营企业管道测的环节,主要是对传播源这一块处理了1548个,感染用户数量达到25万余条,我们广东有75家,在全国也是位居第一的,包括很知名的华为、腾讯、中心、PP助手这些著名的应用商店,截至到这个月,我们中心协调了21家的移动应用商店,下载恶意App达到了500多个。

  应该说我们做了一些起步的工作,下来在安全的浪潮当中,我们在整个的安全备受社会高度关注的阶段,我们应该做些什么呢?我们今天上午在主会场有一个叫广东省移动互联网安全发展联盟的安全仪式,前面说的安全仪式也是作为广东省互联网大省必须考虑的问题,整个宗旨,我们在国家层面进口习主席提到的,前几年我们说安全是发展的基础,那这个基础除了安全还有其他的一些要素。但是今年我们整个风向标说的是安全是发展的前提,如果安全问题没有解决好,对不起,先把安全的问题解决了再太讨论。前提已经把安全放到了一个非常重要的位置。

  那么习总也提出来整个网络安全不是一家能够解决问题,需要我们全社会共同来承担这样一个安全责任,政府层面、企业层面、社会组织层面、广大网民层面,大家一同来参与,才能够共筑我们的网络安全防线。那么我们刚才提到了网络安全法,可以说构建我们网络安全业态体系建设的新起点,需要我们每一个参与者的共同努力,共同携手,合力推进。那么在整个联盟的内容当中,我们应该说是点面结合,虚实结合,我们把它凝念成六个方面,第一个方面是支撑政府、行业监管的一个需求,我们今天说了整个联盟是在省网信办和省通管局的指导下,网信办在立法里面已经明确了作为网络安全的牵头统筹部门,通管局是在整个互联网的行业主管部门,首先我们要支撑政府来开展好相关的监管。那么在产业的政策提案建议方面,在整个行政监管工作方面,我们能够提供有意的一些建议和补充。

  第二个是在净化方面,我们说环境非常重要,好的环境是我们大家追求的这么一个美好理想。那么在互联网上,现实生活当中是这样,在虚拟空间更是如此。因此我们整个的联盟将致力于共同参与移动互联网环境的治理,建立好移动应用安全整个的应急、协调和处置的机制。第三个我们整个联盟要面向整个市场的需要对外提供市场的服务。那么这个我们将会结合各种形式的调研,通过各种项目的评估和资讯服务,对协助我们联盟的会员来开展相应的一些移动应用的监测工作,并向他推向社会。

  第四个是宣传活动,网络安全需要大家在意识上更多的关注,通过移动互联网黑白名单,应用的黑白名单来对我们社会发生影响,通过这种移动互联网的安全研究报告,还有安全科普的知识来组织各种对论坛对接,各种形式来进行相应的宣传。像今天这种形势也是一种宣传。

  第五个是人才培育,人永远是最重要的,重中之重的一个话题。那么安全离不开人员、人才,网络安全人才的培育,那么我们通过这个联盟,也会致力于移动互联网人才的培育,搭建行业交流分享的平台,来深化我们网民对移动互联网安全的意识,形成以联盟为核心,全民积极参与的移动互联网治理防患的社会支持体系。最后我们说是体系化的运作,在整个联盟当中具有具体的专项、具体的治理内容,具体的技术研究,同时又有人才的培育,还有我们联盟内部和联盟外部的各种成员之间的,像应急协调机制各方面的联动,离不开整个体系的运作。那么我们将会以此为契机构建产业互联网安全生态的体系。

  那么目前,我们这个联盟因为刚刚成立,今天尚无正式成立,以我们国家计算机网络应急技术处理协调中心,第一届首批的成员单位,包括17家,包括我们云管端的一些知名企业代表,像我们观测的三家,电信、移动、联通,包括我们在云端的应用商店5家的安全体系的单位,包括中医互联网、PP助手、腾讯,在安全企业处置体系有9家,包括任子行、百度、梆梆安全等等,我们携起手共建安全可信的互联网环境。最后我们说网络安全为人民,网络安全靠人民,在移动互联网治理方向上面,需要我们共同承担,共同应对,共同携手,共同应对严峻的移动互联网安全问题,共同维护我们的环境,共同促进整个行业的健康有序快速发展,谢谢大家!

相关数据

2010-2014年中国移动互联网市场规模

查看完整数据

2011-2018年中国移动互联网接入流量

查看完整数据

申银万国指数-移动互联网服务:涨跌(元/点)

查看完整数据
网友评论
后参与讨论
提交评论 0/200

请回复有价值的信息,评论需要审核后进行展示,请勿重复提交。

评论区
    暂无评论哦,快来评论一下吧!

Copyright© 2007-2019 艾媒网 www.iimedia.cn All Right Reserved | 中华人民共和国增值电信业务经营许可证: 粤B2-20110424 粤ICP备11014183-1号 | 粤公网安备 44011302001580号