《腾讯安全2015年度互联网安全报告》由会员分享,可在线阅读,更多相关《腾讯安全2015年度互联网安全报告(45页珍藏版)》请在金锄头文库上搜索。
1、2015年度互联网安全报告一、前言:网络安全是国策11网络安全已成国策和民生大问题互联网飞速发展,中国进入信息化社会,从老百姓衣食住行到国家重要基础设施安全,互联网无处不在,网络安全已经成为与国家、社会、个人息息相关的问题。对于国家而言,互联网安全已经成为国防安全、金融安全之上的第一安全;对于社会而言,没有互联网安全,社会的健康运作和有尊严的人格体系就无法建立;对于个人而言,失去互联网安全,人们将失去社会对于个人隐私的必要遮蔽,而处在一种时时处处被窥视和被算计的危险之中。12信息安全政策成为国家战略我国在2013年11月12日正式成立国家安全委员会,并在2014年2月27日成立中共中央网络安全
2、和信息化领导小组办公室,由国家主席亲自挂帅,信息安全正式提升到国家战略高度。2014年8月28日,工信部发布工业和信息化部关于加强电信和互联网行业网络安全工作指导意见,提出以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。13网络安全法推出在望2015年6月24日人大常委审议网络安全法草案,该草案是作为国家安全法增加网络安全内容规定后针对信息安全做出的专门立法。网络安全法草案从保障网络产品和服务安全,保障网络运行安全,保
3、障网络数据安全,保障网络信息安全等方面进行了具体的制度设计。草案将成为具有真正指导意义的行业法规,有利于政府部门及其他相关单位在信息安全投入上更加常态化,是信息安全行业的最大利好。网络安全法草案从7月6日起在中国人大网上全文公布,并向社会公开征求意见,8月5日意见征求结束,立法进入最后阶段,正式推出在望。14倡导建设“和平、安全、开放、合作”的网络空间国家主席9月23日在西雅图微软公司总部会见出席中美互联网论坛双方主要代表时发表讲话强调,当今时代,社会信息化迅速发展,如何治理互联网、用好互联网是各国都关注、研究、投入的大问题,没有人能置身事外。中国倡导建设和平、安全、开放、合作的网络空间,主张
4、各国制定符合自身国情的互联网公共政策。二、网民安全意识薄弱21中国网民素描中国互联网信息中心最新全国互联网发展统计报告显示,截至2015年6月,我国网民规模达6.68亿,新增网民1894万人,互联网普及率为48.8%,较2014年底提升了0.9个百分点,整体网民规模增速继续放缓。其中手机网民达5.94亿,较2014年增加3679万人,网民中使用手机上网的人群占比由2014年的85.8%提升至88.9%。网民构成男性占比55%,10-39岁人群占比达到78.4%。与2014年相比,20岁以下网民规模占比增长1.1个百分点,互联网继续向低龄群体渗透。整体网民中小学及以下学历人群的占比为12.4%,
5、较2014年上升1.3个百分点,中国网民继续向低学历人群扩散。网民中学生群体的占比最高,为24.6%,其次为个体户/自由职业者,比例为22.3%,企业/公司的管理人员和一般职员占比合计达到16.3%。网民集中在中等收入阶段,无收入者“触网”人数增多,网民中月收入在2001-3000、3001-5000元的群体占比最高,分别为21.0%和22.4%,无收入者占比增长4个百分点。手机支付、手机网购、手机旅行预订用户规模分别达到2.76亿、2.70亿和1.68亿,半年度增长率分别为26.9%、14.5%和25.0%。22多数用户安全意识不强,难以自保据我国公众网络安全意识调查报告(2015)(以下简
6、称“报告”)显示,青少年网络安全基础技能、网络应用安全等意识亟待加强,老年人安全事件处理能力和法律法规了解程度急需提升。因此,急需加大力度普及推广网络安全意识教育,普及网络安全知识和技能,提升全民网络安全意识。(一)、75%网民多账户同密码,个人账户“不锁门”我国81.64%的网民不注意定期更换密码,其中遇到问题才更换密码的占64.59%,从不更换密码的占17.05%;75.93%的网民存在多账户使用同一密码问题,其中,青少年网民最为严重,达82.39%;44.42%的网民使用生日、电话号码或姓名全拼设置密码,青少年网民占比更高,达49.58%。(二)、85%网民忽略用户协议,个人信息“送上门
7、”在注册不熟悉的网站或下载软件需签署用户信息保护和责任条款时,仅有14.87%的网民会仔细阅读个人信息保护相关内容,觉得合理才注册或下载。(三)、80%网民随意连接WiFi,网络支付存风险80.21%的网民随意连接公共免费WiFi,45.29%的网民连接公共免费WiFi浏览网页并使用即时通信工具;83.48%的网民网上支付行为存在安全隐患。42.55%的网民使用公共计算机网络支付后没消除上网痕迹,38.96%的网民使用无密码WiFi进行网络支付。(四)、扫二维码太随意易中招36.96%的网民对二维码“经常扫,不考虑是否安全”,其中青少年网民中对二维码“经常扫,不考虑是否安全”的比例高达40.3
8、%。(五)、网民整体维权意识薄弱,老年网民缺乏诈骗防范知识55.18%的网民曾遭遇网络诈骗,觉得“金额不大,懒得处理”和“不知道如何处理”的分别为16.82%和26.01%,40岁以上中老年人占受骗总人数的62%。尤其是在损失超过5万元的诈骗案件中,中老年人所占比例更是高达75%。而与之成鲜明对比的是,他们在受骗后却往往不愿意声张,选择报案或向警方求助等的比例远低于40岁以下人群。小结:网民网络安全意识和维权意识不高大多数网民认为自己的网络环境较为安全。事实上,网络环境依然存在较多网络攻击和安全威胁,而网民网络安全意识和维权意识不高,针对诈骗短信和电话、网购钓鱼、虚假App等基本威胁缺乏必要的
9、网络安全知识和识别技能。三、2015年网络安全威胁多维度爆发2015年,电脑端和手机端病毒数量均呈现上升趋势,尤其是在移动互联网时代下,手机端病毒数较2014年疯狂增长15倍。电商快速发展和智能手机的普及,让用户习惯网络支付和移动支付后,针对支付的安全威胁也显著增多。由于此类攻击直接影响用户财产安全,成为当前对用户最大的威胁,同时,黑客仿冒网址钓鱼欺诈转变成与短信、欺诈电话、手机木马等手段相结合的复杂欺诈,让普通网民难以防范。31电脑端(一)、电脑总体病毒数量继续上涨2015年腾讯电脑管家反病毒实验室新发现的电脑病毒数为1.45亿个,较2014年增加了5%,较2013年增加了41%。(二)、2
10、015年电脑病毒感染突破48亿次根据腾讯电脑管家统计数据,2015年病毒感染机器量达48.26亿次,流氓软件感染量达3.70亿次,盗号木马感染量达0.80亿次。32移动端(一)、手机病毒数较去年疯狂增长15倍,暑期是高峰2015年腾讯手机管家移动安全实验室新发现的手机病毒数为1670.37万个,2014年新增100.33万个,2015年较2014年增长15.65倍。另根据腾讯手机管家统计数据,2015年手机病毒感染终端总次数达7490万次。从月度分布看,手机新增病毒数呈逐月上升趋势,7月增幅最大,下半年呈逐月下降趋势。全年手机病毒感染终端数量呈现逐步增长趋势。(二)、安卓平台漏洞总数较去年增加
11、2.13倍,安卓手机用户受威胁增多2015年安卓产品总量逐月增加,产品总量达到了3048种,伴随而来的是安卓平台漏洞数量的增加。2015年安卓平台各种漏洞达到2249个,其中高风险漏洞227个,中等风险漏洞852个,低风险漏洞1170个。漏洞总数较2014年增加了2.13倍,漏洞主要类型为“应用程序崩溃”占比高达53.67%,其次为“隐私信息泄露”占比31.97%,而“远程控制手机”占比14.36%。33云安全(一)、2015年恶意网址达3.8亿,不法份子最喜欢冒充银行和运营商2015全年腾讯网址安全云共检出恶意网址3.87亿条,其中钓鱼欺诈网址1.86亿条、虚假博彩网址1.08亿条、木马网址
12、0.93亿条。在接入产品中日阻断恶意网址1.2亿次传播,日保护网民2000万人次。在钓鱼网站的分布上,除了传统的虚假网购、中奖诈骗、仿冒淘宝等钓鱼欺诈外,仿冒手机银行、运营商等钓鱼开始呈现爆发式的增长。互联网金融今年快速发展,互联网投资理财欺诈也越来越猖獗:仿冒证券网站、虚假投资诈骗在今年达到高峰,以“MMM(金融互助)”理财骗局为例,通过一种类似传销的诈骗手法,利用高额回报欺骗网民,每天产生百万级别的传播量。在钓鱼手段上,由单纯的仿冒网址钓鱼欺诈转变成与短信、欺诈电话、手机木马等手段相结合的复杂欺诈,使得网民对此类钓鱼欺诈行为更加难以防范。(二)、最易被恶意网址盯上的14个类型恶意网址类型上
13、以虚假博彩为主,占到了总量的28%。第二大类恶意网址是病毒木马,占总量的24%。34智能硬件(一)、智能硬件爆发的趋势智能硬件是继智能手机之后的又一个热门科技概念,通过软硬件结合的方式,对传统设备进行改造,进而让其拥有智能化的功能。智能化之后,硬件具备连接的能力,实现互联网服务的加载,形成“云+端”的典型架构,具备大数据等附加价值。智能硬件已经从可穿戴设备延伸到智能电视、智能家居、智能汽车、医疗健康、智能玩具、机器人等领域。根据Gartner预测,相比2014年,今年全球互联设备将达到49亿台,增长30%;2020年规模会达到250亿台,思科认为是750亿台,IDC预测则是500亿台,智能硬件
14、行业即将迎来井喷式爆发。(二)、智能硬件刚起步,早期用户受到较多安全威胁1)、安卓手机root权限易被攻破只需通过在安卓手机上安装一个普通权限的app,便可利用本地相应漏洞获取系统的root权限,容易造成安全隐患。2)、黑客可破解POS机转走受害用户账户余额黑客通过在越狱后的iPhone手机上安装插件,通过相应技术利用POS机支付时没有严格实现一次一密的漏洞,一旦用户在该POS上刷过卡,并输入密码,黑客就能随意转走受害用户卡里的钱。3)、劫持Parrot无人机接管控制权合法控制终端安装AR.FreeFlight2.0移动应用,然后控制ParrotAirDrone2.0无人机悬浮至空中后,黑客通
15、过安装无线攻击工具,断开合法控制终端和Parrot无人机之间的连接,将最终接管Parrot无人机的控制权。4)、路由器不再安全利用智能路由器的未知漏洞,可完成获取ROOT权限、篡改路由器DNS记录。黑客使用其控制的山寨服务器实现DNS劫持,用户打开网页就会被链接到黑客设置的虚假网站。(三)、智能硬件产品安全性有所提升1)、随着互联网和电子商务的不断发展和普及,移动支付已经渗透到网民生活中的方方面面,支付类产品和涉及支付的产品受到安全研究者的重点关注。在GeekPwn2015黑客大赛挑战成功的近40个项目中,其中11个项目涉及支付类及支付类相关产品;2)、自2014年首届GeekPwn举办以来,经过一年多的观念普及,厂商和安全圈已基本形成共识,问题被发现和修复的越多,产品越安全。锤子科技、特斯拉等厂商都利用GeekPwn提供的漏洞报告修补了产品系统漏洞,从而避免了潜在安全隐患。大公司的响应及修复速度加快,使得平均的攻击
