国家互联网应急中心：2019年上半年我国互联网网络安全态势发布

为维护我国网络空间的安全，保障互联网健康有序的发展，2019年上半年，我国持续推进网络安全法律法规体系建设，完善网络安全管理体制机制，不断加强互联网网络安全监测和治理，构建互联网发展安全基础，构筑网民安全上网环境。2019年上半年，我国基础网络运行总体平稳，未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式拒绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发，多个高危漏洞被曝出，我国网络空间仍面临诸多风险与挑战。

数据报告显示，2019年上半年我国互联网网络安全状况特点个人信息和重要数据泄露风险严峻。2019年初，在我国境内大量使用的MongoDB、Elasticsearch数据库相继曝出存在严重安全漏洞，可能导致数据泄露风险，凸显了我国数据安全问题严重。CNCERT抽样监测发现，我国境内互联网上用于MongoDB数据库服务的IP地址约2.5万个，其中存在数据泄露风险的IP地址超过3,000个，涉及我国一些重要行业。Elasticsearch数据库也曝出类似安全隐患。经过分析，CNCERT发现这两个数据库均是在默认情况下，无需权限验证即可通过默认端口本地或远程访问数据库并进行任意的增、删、改、查等操作。在数据库启用连接公共互联网前，用户需做好相关安全设置以及数据库访问安全策略，才能有效避免数据泄露风险。

近年来，我国用户个人信息和重要数据保护工作受到广泛关注，我国正在抓紧推进数据保护方面的规章制度、标准等的制定工作。2019年以来，国家互联网信息办公室会同各行业主管部门研究起草了《数据安全管理办法（征求意见稿）》、《网络安全审查办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》、《儿童个人信息网络保护规定（征求意见稿）》、《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》，并面向社会公开征求意见。此外，为规范网络安全漏洞报告和信息发布等行为，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，工业和信息化部会同有关部门起草了规范性文件《网络安全漏洞管理规定（征求意见稿）》，正在向社会公开征求意见。

随着移动互联网技术的快速发展和应用，移动互联网终端应用已成为互联网用户上网的首要入口和互联网信息服务的主要形式。根据统计，我国境内应用商店数量已超过200家，上架应用近500万款，下载总量超过万亿次，发展势头迅猛。与此同时，移动APP强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广大网民对此反应强烈。

CNCERT监测分析发现，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，其中申请了与业务无关的拨打电话权限的APP数量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量APP存在探测其他APP或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在安全威胁。为保障个人信息安全，维护广大网民合法权益，中央网信办、工业和信息化部、公安部、市场监管总局决定，2019年在全国范围组织开展APP违法违规收集使用个人信息专项治理，组织开展移动应用专项评估。专项治理工作启动以来，多项成果文件向社会发布，包括《百款常用APP强制开启权限情况通报》、《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《APP违法违规收集使用个人信息行为认定办法》等，有效指导APP运营者加强个人信息保护，规范市场秩序。

以下为《2019年上半年我国互联网网络安全态势》全文