國(guó)家互聯(lián)網(wǎng)應(yīng)急中心：國(guó)內(nèi)50家銀行發(fā)布的小程序中，平均1個(gè)小程序有8項(xiàng)安全風(fēng)險(xiǎn)

2021-07-22 10:45:00來(lái)源：央廣網(wǎng)原創(chuàng)版權(quán)禁止商業(yè)轉(zhuǎn)載授權(quán)>>

　　央廣網(wǎng)北京7月22日消息（記者牛谷月）7月20日，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）編寫(xiě)的《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》（下稱“報(bào)告”）正式發(fā)布。報(bào)告顯示，2020年APP違法違規(guī)收集個(gè)人信息治理取得積極成效，但個(gè)人信息非法售賣情況仍較為嚴(yán)重，聯(lián)網(wǎng)數(shù)據(jù)庫(kù)和微信小程序數(shù)據(jù)泄露風(fēng)險(xiǎn)較為突出。

　　APP違法違規(guī)收集個(gè)人信息治理取得積極成效

　　報(bào)告顯示，截至2020年年底，國(guó)內(nèi)主流應(yīng)用商店可下載的在架活躍APP達(dá)到267萬(wàn)款，安卓、蘋果APP分別為105萬(wàn)款、162萬(wàn)款。為落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，進(jìn)一步規(guī)范APP個(gè)人信息收集行為，保障個(gè)人信息安全，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局持續(xù)開(kāi)展APP法違規(guī)收集使用個(gè)人信息治理工作，對(duì)存在未經(jīng)同意收集、超范圍收集、強(qiáng)制授權(quán)、過(guò)度索權(quán)等違法違規(guī)問(wèn)題的APP依法予以公開(kāi)曝光或下架處理；研究起草了《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個(gè)人信息范圍規(guī)定（征求意見(jiàn)稿）》并面向社會(huì)公開(kāi)征求意見(jiàn)，規(guī)定了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通信等常見(jiàn)類型App的必要個(gè)人信息范圍。APP違法違規(guī)收集使用個(gè)人信息亂象的治理持續(xù)推進(jìn)，取得積極成效。

　　公民個(gè)人信息未脫敏展示與非法售賣情況仍較為嚴(yán)重

　　據(jù)報(bào)告，監(jiān)測(cè)發(fā)現(xiàn)涉及身份證號(hào)碼、手機(jī)號(hào)碼、家庭住址、學(xué)歷、工作等敏感個(gè)人信息暴露在互聯(lián)網(wǎng)上，全年僅CNCERT/CC就累計(jì)監(jiān)測(cè)發(fā)現(xiàn)政務(wù)公開(kāi)、招考公示等平臺(tái)未脫敏展示公民個(gè)人信息事件107起，涉及未脫敏個(gè)人信息近10萬(wàn)條。此外，全年累計(jì)監(jiān)測(cè)發(fā)現(xiàn)個(gè)人信息非法售賣事件203起，其中，銀行、證券、保險(xiǎn)相關(guān)行業(yè)用戶個(gè)人信息遭非法售賣的事件占比較高，約占數(shù)據(jù)非法交易事件總數(shù)的40%；電子商務(wù)、社交平臺(tái)等用戶數(shù)據(jù)和高校、培訓(xùn)機(jī)構(gòu)、考試機(jī)構(gòu)等教育行業(yè)通信錄數(shù)據(jù)分別占數(shù)據(jù)非法交易事件總數(shù)的20%和12%。

　　聯(lián)網(wǎng)數(shù)據(jù)庫(kù)和微信小程序數(shù)據(jù)泄露風(fēng)險(xiǎn)問(wèn)題突出

　　報(bào)告顯示，2020年CNCERT/CC累計(jì)監(jiān)測(cè)并通報(bào)聯(lián)網(wǎng)信息系統(tǒng)數(shù)據(jù)庫(kù)存在安全漏洞、遭受入侵控制，以及個(gè)人信息遭盜取和非法售賣等重要數(shù)據(jù)安全事件3,000余起，涉及電子商務(wù)、互聯(lián)網(wǎng)企業(yè)、醫(yī)療衛(wèi)生、校外培訓(xùn)等眾多行業(yè)機(jī)構(gòu)。分析發(fā)現(xiàn)，使用MySQL、SQL Server、Redis、PostgreSQL等主流數(shù)據(jù)庫(kù)的信息系統(tǒng)遭攻擊較為頻繁。其中，數(shù)據(jù)庫(kù)密碼爆破攻擊事件最為普遍，占比高達(dá)48%，數(shù)據(jù)庫(kù)遭刪庫(kù)、拖庫(kù)、植入惡意代碼、植入后門等事件時(shí)有發(fā)生，數(shù)據(jù)庫(kù)存在漏洞等風(fēng)險(xiǎn)情況較為突出。

　　報(bào)告稱，近年來(lái)，微信小程序（以下簡(jiǎn)稱“小程序”）發(fā)展迅速，但也暴露出較為突出的安全隱患，特別是用戶個(gè)人信息泄露風(fēng)險(xiǎn)較為嚴(yán)峻。CNCERT/CC從程序代碼安全、服務(wù)交互安全、本地?cái)?shù)據(jù)安全、網(wǎng)絡(luò)傳輸安全、安全漏洞等5個(gè)維度，對(duì)國(guó)內(nèi)50家銀行發(fā)布的小程序進(jìn)行了安全性檢測(cè)。檢測(cè)結(jié)果顯示，平均1個(gè)小程序存在8項(xiàng)安全風(fēng)險(xiǎn)，在程序源代碼暴露關(guān)鍵信息和輸入敏感信息時(shí)未采取防護(hù)措施的小程序數(shù)量占比超過(guò)90%；未提供個(gè)人信息收集協(xié)議的超過(guò)80%；個(gè)人信息在本地儲(chǔ)存和網(wǎng)絡(luò)傳輸過(guò)程中未進(jìn)行加密處理的超過(guò)60%；少數(shù)小程序則存在較嚴(yán)重的越權(quán)風(fēng)險(xiǎn)。

　　此外，報(bào)告還匯總分析了CNCERT自有網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)和CNCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位報(bào)送的數(shù)據(jù)，內(nèi)容涵蓋我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)分析、網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析、網(wǎng)絡(luò)安全事件案例詳解、網(wǎng)絡(luò)安全政策和技術(shù)動(dòng)態(tài)等多個(gè)方面。