信息安全：从XP裸奔到支付宝漏洞

sunrade

一、Win XP停止服务致用户电脑裸奔网络信息泄露事件频发

2014年上半年，互联网信息泄露事件不断发生，网络安全问题再次成为焦点话题。

1月26日，央视曝光了支付宝找回密码功能存在系统漏洞。由于此前支付宝泄密事件导致的信息泄漏，不法分子以此寻找受害人信息，通过找回密码来获得用户支付宝访问权限，从而将支付宝的钱款转走。

3月22日，乌云漏洞平台发布消息称，携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等。

4月8日，微软公司在向2亿多用户发布通牒100天后，停止了对Windows XP系统提供技术支持。微软表示，Windows XP的运行环境存在很大的漏洞，微软发布的补丁不能有效抑制病毒的攻击，因此不断在其官网上告知用户可能承受一些风险。2亿多Windows XP用户在失去了保护伞后，陷入“裸奔”状态，电脑安全隐患增加。工业和信息化部总工程师张峰表示Windows XP停止服务直接关系到广大用户的信息安全和利益，XP用户将面临安全威胁。中国工程院院士倪光南也表示，WindowsXP停止服务是一个“重大的信息安全事件”。

就在Windows XP系统停止服务的当天，全球互联网通行的安全协议OpenSSL曝出本年度最严重的漏洞。据悉，利用该漏洞黑客坐在自家的电脑前，就可以实时获取到很多https开头网址的用户登录账号密码。

5月11日，乌云漏洞平台率先披露了UC浏览器存在可能导致用户敏感数据泄漏的漏洞。漏洞提交者称，通过该漏洞，只要用户通过UC浏览器搜索并登录人人、新浪微博等网站，其提交的用户信息和密码都有可能被黑客截取。

5月14日，网络安全平台乌云网爆出小米论坛存在用户资料泄露，泄露涉及800万小米论坛注册用户，并建议用户修改密码。随后，小米公司相关负责人确认，数据泄露事件确有发生。

6月，央视《每周质量报告》曝光了黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息，引发了网民对于免费WIFI安全性的担忧。

此外，央视还曝光了小米、华为、联想等部分机型存在系统漏洞，利用手机固有的漏洞可获取机主个人通信、支付宝等重要信息，并且避开手机安全软件，实现银行卡盗刷。

二、网民因安全漏洞一年损失超千亿.

今年3月由中国互联网协会发布的《中国互联网站发展状况及其安全报告(2014年)》指出中国网站受境外攻击、控制明显增多。在篡改问题上，2013年被篡改的中国网站数量为约为2.4万个，较2012年大幅增长了46.7%；其中被篡改的政府网站数量大幅增长了34.9%。在植入后门问题上，2013年7.6万个中国网站被植入网站后门，其中政府网站有2425个。

在网络钓鱼问题上，2013年发现仿冒中国网站的仿冒页面URL地址超过3万个。中国网站安全问题形势严峻，是网络安全问题的受害者。据中国电子商务研究中心的监测数据显示，65.5%的网站存在安全漏洞；2013年中国网民在网上损失近1500亿元。

而根据《人民日报》公开的监测数据显示：今年3-5月，我国境内有118万多台主机受到美国僵尸网络或者木马的控制，130多万台主机中发现500多个钓鱼页面，造成网络欺诈事件14000多次。同期，有2000多个美国的IP地址对我国境内1700多个网站植入“后门”。

红、橙、蓝、绿是国家信息化专家咨询委员会将信息安全由低到高划分为这四个等级。国家信息中心专家委员会主任宁家骏日前表示，“中国近些年信息安全形势确实比较严峻复杂，但整体仍属可控状态，可以说总体安全形势是蓝色，局部是橙色。”

三、 移动互联网发展带来网络安全新挑战.

从支付宝漏洞到小米手机用户信息泄露，从上半年频发的信息安全事件中不难发现，随着移动互联网兴起，用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密，泄露风险和威胁也越来越大。

在2014年1月发布的《2014年我国信息安全产业发展形势展望》报告中指出，移动互联网、云计算、大数据等新兴领域在自身快速发展的同时也给信息安全带来严峻挑战。

应对挑战，尤其是日益凸显的移动互联网信息安全问题还需个人、厂商、国家等多方的通力合作。金山毒霸的安全专家建议，个人在下载应用软件时，应优先选择带有官方标识的软件，防止恶意插件等泄露用户信息。避免链接公共场所的免费WIFI，防止被钓鱼而造成经济损失。另外，用户也需经常修改家用无线WIFI密码等信息。

有业内人士表示，应对网络安全问题，移动运营商、手机厂商、安全厂商应开展广泛合作，形成完善的手机安全产业链。业内人士表示，面对日益多样化的移动安全问题，安全厂商应在防窃听、恶意网址拦截、隐私数据保护、防盗和垃圾短信骚扰电话的拦截等功能不断升级业务能力，净化上网环境。而面对信息安全的犯罪案件，国家立法部门应完善立法，加大对恶意软件开发者的处罚力度，净化软件市场。