1、北京（总部） 地址：北京市海淀区紫竹院路66号赛迪大厦（邮编：100048） 电话：/9373 邮箱： 官网： 深圳（分支机构） 地址：深圳市南山区高新中一道9号软件大厦611 电话： 广州（分支机构） 地址：广州市天河区猎德大道48号尚东美御202房 电话： 无锡（分支机构） 地址：江苏省无锡市梁溪区南湖大道501号扬名创智园G栋3楼 电话： 技术白皮书 电信和互联网行业网络 安全白皮书 （2019） 中国软件评测中心（工业和信息化部软件与集成电路促进中心） 北京赛迪网络安全测评工程技术中心有

2、限公司 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护。转载、摘编或利用其它方式使用 本白皮书文字或者观点的，应注明“来源：中国软件评测中心”。违反上述声明者，本单位将 追究其相关法律责任。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2019 ? ? ? ? ? ? ? ? ? ? ? 32 ? ? ? ? ? ? 2019 ? 12 ? 一、一、 电信和互联网行业安全形势总结电信和互联网行业安全形势总结 1.1. 网络网络安全监管继续完善安全监管继续完善 2019 年，

3、国家相关部门开展了多项网络安全治理活动，密集出台了一系列的网络安全 法规，在网络安全监管方面力度持续加强，通过不断对网络安全法细化落实，形成立体 丰满的网络安全监管体系。 1 月 25 日，中央网信办、工信部、公安部、市场监管总局等四部门召开新闻发布会， 联合发布关于开展 App 违法违规收集使用个人信息专项治理的公告 。App 强制授权、过 度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广 大网民对此反映强烈。为切实治理个人信息保护方面存在的乱象，四部门决定自 2019 年 1 月至 12 月，在全国范围组织开展 App 违法违规收集使用个人信息专项治理。公告

4、指出，App 运营者收集使用个人信息时要严格履行网络安全法规定的责任义务，对获取的个人信息 安全负责，采取有效措施加强个人信息保护。遵循合法、正当、必要的原则，不收集与所提 供服务无关的个人信息； 收集个人信息时要以通俗易懂、 简单明了的方式展示个人信息收集 使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强 迫用户授权， 不得违反法律法规和与用户的约定收集使用个人信息。 倡导 App 运营者在定向 推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。 此次专项治理重点开展以下工作：一是组织相关专业机构，对用户数量大、与民众生活 密切相关的 App 隐私政策

5、和个人信息收集使用情况进行评估。 二是加强对违法违规收集使用 个人信息行为的监管和处罚，包括责令有关 App 运营者限期整改；逾期不改的，公开曝光； 情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。三是 公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作， 依法严厉打击针对和利用 个人信息的违法犯罪行为。四是开展自愿性 App 个人信息安全认证，鼓励搜索引擎、应用商 店等明确标识并优先推荐通过认证的 App。 此次专项治理活动为了明确界定 App 收集使用个人信息方面的违法违规行为，为 App 运营者自查自纠提供指引，为 App 评估和处置提供参考， App

6、专项治理工作组起草了App 违法违规收集使用个人信息行为认定方法（征求意见稿） ，于 5 月 5 日发布公开征求意见。 认定方法从“没有公开收集使用规则的情形” 、 “没有明示收集使用个人信息的目的、方式和 范围的情形” 、 “未经同意收集使用个人信息的情形” 、 “违反必要性原则，收集与其提供的服 务无关的个人信息的情形” 、 “未经同意向他人提供个人信息的情形” 、 “未按法律规定提供删 除或更正个人信息功能的情形” 、 “侵犯未成年人在网络空间合法权益的情形”七个方面，细 化 App 违法违规收集使用个人信息行为的认定方法。 2019 年 5 月 21 日，国家互联网信息办公室会同国家发

7、展和改革委员会、工业和信息化 部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家 广播电视总局、 国家保密局、 国家密码管理局联合起草了 网络安全审查办法 （征求意见稿） 。 国家互联网信息办公室于 5 月 24 日发布并开始征求意见。该办法规定：关键信息基础设施 运营者采购网络产品和服务， 影响或可能影响国家安全的， 应当按照本办法进行网络安全审 查。法律、行政法规另有规定的，依照其规定。可以看出，本办法审查的对象为关键信息基 础设施运营者对网络产品和服务的采购行为。 该办法还规定了需要通过安全审查的范围， 关 系国家安全的网络和信息系统采购的重要网络产品和服务

8、应当经过网络安全审查， 公共通信 和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他 关键信息基础设施的运营者采购网络产品和服务， 可能影响国家安全的应当通过网络安全审 查。 2019 年 5 月 28 日， 国家网信办发布 数据安全管理办法 （征求意见稿） ， 从数据收集、 数据处理使用、数据安全监督管理等方面，对个人信息和重要数据安全做出了规范。在数据 收集使用方面， 明确仅当用户知悉收集使用规则并明确同意后， 网络运营者方可收集个人信 息；可包含于隐私政策中，但要集中展示，不能散见于各条款中。收集使用规则要体现数据 安全责任人姓名。用户在使用过程中享有撤销同

9、意权、删除权。 2019 年 6 月 13 日，国家网信办发布个人信息出境安全评估办法（征求意见稿） ，界 定了个人信息出境的行为， 明确了网络运营者和个人信息接收者的职责， 细化了个人信息出 境安全评估的内容。 此办法的出台对保障个人信息安全、 规范个人信息出境依法有序的流动， 具有重大的指导意义， 一方面是对我国已经出台的关于个人信息保护法律法规的进一步细化 1 和延伸，如 2017 年开始实施的网络安全法第三十七条规定：“关键信息基础设施的运 营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 因业 务需要， 确需向境外提供的， 应当按照国家网信部门会同国务院有

10、关部门制定的办法进行安 全评估。”另一方面，针对国际范围内的数据流动，部分国家及国际组织出台了各自的法律 和政策文件， 来管理以个人信息为代表的跨境数据， 如欧盟的 一般数据保护条例（GDPR） 、 英国的 数据保护法案 、 亚太经合组织的 跨境隐私规则体系 、 日本的 个人信息保护法 等，以保障个人信息跨境流动的安全。我国是数据资源产出大国，亟需建立符合我国国情的 个人信息出境管理办法，在数据跨境流动中切实保障个人信息安全。办法明确指出“网络运 营者向境外提供在中华人民共和国境内运营中收集的个人信息， 应当按照该办法进行安全评 估” 。 2019 年 7 月 1 日，工业和信息化部印发了电信

11、和互联网行业提升网络数据安全保护 能力专项行动方案 ，针对近年来数据过度采集滥用、非法交易及用户数据泄露等数据安全 问题，明确通过集中开展数据安全合规性评估、专项治理和监督检查，督促基础电信企业和 重点互联网企业强化网络数据安全全流程管理， 及时整改消除重大数据泄露、 滥用等安全隐 患， 2019 年 10 月底前完成全部基础电信企业 （含专业公司） 、 50 家重点互联网企业以及 200 款主流 App 数据安全检查。 基本建立行业网络数据安全保障体系。 网络数据安全制度标准体 系进一步完善，形成行业网络数据保护目录，制定 15 项以上行业网络数据安全标准规范， 贯标试点企业不少于 20 家

12、；行业网络数据安全管理和技术支撑平台基本建成，遴选网络数 据安全技术能力创新示范项目不少于 30 个；基础电信企业和重点互联网企业网络数据安全 管理体系有效建立。针对方案提出的“深化 App 违法违规专项治理” ，10 月 31 日，工业和 信息化部发布 工业和信息化部关于开展 App 侵害用户权益专项整治工作的通知 ， 提出 App 违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题突出，群众反映强烈，社会 关注度高， 组织开展App侵害用户权益专项整治行动工作。 重点对App“私自收集个人信息”、 “超范围收集个人信息”、“私自共享给第三方”、“强制用户使用定向推送功能”、“不 给权

13、限不让用”、“频繁申请权限”、“过度索取权限”、“账号注销难”等 8 大问题开展 专项整治工作。 在强化关键信息基础设施保护方面， 国家网信办提出加快出台关键信息基础设施安全保 护条例，落实运营单位主体责任和保护部门的监管责任，统筹开展网络安全检查，强化网络 安全态势感知，监测预警和应急处置能力建设。 2.2. 移动互联网恶意程序移动互联网恶意程序仍然猖獗仍然猖獗 据 CNCERT 统计， 2019 年上半年， CNCERT 通过自主捕获和厂商交换获得移动互联网恶意 程序数量 103 万余个， 通过对恶意程序的恶意行为统计发现， 排名前三的分别为资费消耗类、 流氓行为类和恶意扣费类，占比分别为

14、 35.7%、27.1%和 15.7%。 中国软件评测中心对应用商店中下载量 Top 500 的 APP 进行了检测分析，存在安全风险 的有 174 款，存在恶意行为的有 2 款，App 的安全形势不容乐观。 在数据安全方面，移动 App 也是重灾区，由于手机等移动设备全面普及，且与用户的个 人信息关系紧密，移动 App 成为了违法收集使用个人信息的重要渠道，从上述针对移动 App 的多项监管措施和专项行动也可见一斑。 3.3. 数据安全数据安全事件凸显形势严峻事件凸显形势严峻 2019 年初，在我国境内大量使用的 MongoDB、Elasticsearch 数据库相继曝出存在严重 安全漏洞，

15、可能导致数据泄露风险，凸显了我国数据安全问题严重。这两个数据库均是在默 认情况下， 无需权限验证即可通过默认端口本地或远程访问数据库并进行任意的增、 删、 改、 查等操作。 在数据库启用连接公共互联网前， 用户需做好相关安全设置以及数据库访问安全 策略，才能有效避免数据泄露风险。 2019 年初， 国外安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器， 来自国内某大型互联网公司。整个实例包含 854GB 数据，共有 202730434 条记录，其中大 部分是中国用户简历，内容非常详细，包括中文全名、家庭住址、电话号码、电子邮件、婚 烟状况、政治关系、期望薪水等内容。 2

16、MongoDB 是一个高性能、无模式的文档型数据库，支持二级索引，非常适合文档化格式 的存储及查询。MongoDB 的官方定位是通用数据库，查询功能强大，采用类似 json 格式存 储，一般可以用来存放评论等半结构化数据。 目前MongoDB是国内企业应用较为普遍的NoSQL数据库， 规模较大的互联网公司如阿里、 京东、360、大众点评等都有应用。阿里云也提供 MongoDB 实例给租户，其应用已经渗透到 各个领域，比如游戏、物流、电商、内容管理、社交、物联网、视频直播等。游戏场景，使 用 MongoDB 存储游戏用户信息，用户的装备、积分等直接以内嵌文档的形式存储；物流场 景，使用 Mong

17、oDB 存储订单信息；社交场景，使用 MongoDB 存储用户信息，以及用户发表 的朋友圈信息，通过地理位置索引实现附近的人、地点等功能；物联网场景，使用 MongoDB 存储所有接入的智能设备信息， 以及设备汇报的日志信息， 并对这些信息进行多维度的分析； 视频直播，使用 MongoDB 存储用户信息、礼物信息等。 根据中国软件评测中心初步检索分析，在中国境内使用 MongoDB 应用的数目在 34,749 个左右。 3 其中北京、浙江居多，广东、上海和江苏也有一部分。 MongoDB 应用的端口分部如下： 其中明确采用 MongoDB 协议，端口为 27017，也就是准确的 MongoDB

18、 服务器为 26,151 个。 4 ElasticSearch 是一个开放源代码的分布式多用户文档数据库和全文搜索引擎。 ElasticSearch 文档数据库中文档的每个字段均可被索引和搜索，ElasticSearch 是分布式 的，具有扩展性，能够横向扩展至数以百计的服务器存储以及处理 PB 级的数据，可以在极 短的时间内存储、搜索和分析大量的数据，因此，ElasticSearch 通常作为具有复杂搜索场 景，尤其是需要全文检索要求的场景下的核心引擎。 ElasticSearch 的用途包括文档存储与检索、日志分析、大数据检索分析等，其在国 内外应用相当广泛。国际著名的开源托管平台 Git

19、Hub 即采用 ElasticSearch 作为其检索引 擎，检索超过 20 亿个文档，管理的数据量超过 30PB。国内公有云、大型互联网公司等也普 遍应用 ElasticSearch，如阿里云等。 ElasticSearch 未授权访问漏洞院里及危害如下：ElasticSearch 一般应部署在内网， 与互联网隔离，并配置 IP 白名单等保护策略。ElasticSearch 服务默认监听 9200 端口，若 由于管理疏忽，导致没有设置访问权限，则可被非法操作数据，称为未授权访问漏洞。若 ElasticSearch 服务直接暴露在互联网上， 则攻击者可利用未授权访问漏洞通过互联网对目 标系统展

20、开攻击： 1）利用暴露的接口调用相关 api，对 ElasticSearch 管理的数据进行增删改等操作， 导致数据泄露、破坏等，或利用下载、删除数据等进行勒索； 2） 通过未授权访问漏洞， 进一步攻击目标系统， 实施代码注入等， 造成远程代码执行， 实现控制目标服务器、散布恶意代码挖矿或勒索等。 中国软件评测中心对互联网上 ElasticSearch 暴露面进行了初步检测，主要对北京、 上海、广东、浙江等 IT 大省进行检测，发现暴露在互联网上的 ElasticSearch 服务共 1979 个，经扫描，其中 214 个存在未授权访问漏洞，存在漏洞的服务占比超过 10%。 编号编号 省市省市

21、 ESES 服务暴露数量服务暴露数量 存在漏洞的服务数量存在漏洞的服务数量 1. 北京 1010 119 2. 上海 98 19 3. 广东 120 13 4. 浙江 665 51 5. 江苏 45 7 6. 山东 24 4 7. 福建 17 1 合计 1979 214 4.4. 开源软件开源软件安全问题引起重视安全问题引起重视。 开放源代码软件 （Open source software，开源软件） 指提供源代码的软件。源代码（也 称源程序） 是指未编译的按照一定的程序设计语言规范书写的文本文件， 是一系列人类可读 的计算机语言指令。 源代码的格式一般是文本文件，但其文件扩展名往往根据不同的

22、开发 语言而有所区别。源代码由人类开发人员编写，经编译后输出可执行的计算机程序。也有一 些脚本型的编程语言的源代码，不经过编译步骤，直接由解释器解释执行，在这种情况下， 可认为源代码即是可执行程序。 开源软件的源代码可通过多种方式提供， 如随可执行程序通过光盘等媒介交付， 或提供 一个下载网址供人下载。有些开源软件不提供可执行程序，仅提供源代码，用户需在其本地 计算机上对源代码进行编译，生成可在本地运行的可执行程序。 源代码可以认为是计算机程序设计的具体实现， 是软件开发最重要的产出成果， 对软件 开发商具有重要价值。 大量商业软件是封闭源代码的， 即只提供编译后的计算机程序而不提 5 供其源

23、代码，典型的例子如 Microphone 的 Windows 系统，Oracle 公司的数据库系统等。开 源软件虽然提供源代码，并不意味着没有限制，它们一般遵循某种开源许可证协议，对源代 码的使用、修改、发布等进行限制。 当前，开源软件的应用十分广泛，其应用从 PC 软件到个人智能设备，从办公软件到工 业控制系统，从政府机构到大型商业公司，从物联网传感器到宇宙飞船和军事系统，可谓无 所不包，涵盖人类社会的方方面面。 开源软件具有以下特点： 一是源代码可获取一是源代码可获取。开源软件最重要的特点就是“开源” ，其源代码通过随机附带或其 他方式可轻易获取。 二是许可证多样二是许可证多样。开源软件具

24、有多种许可证，常见的有 GPL、LGPL、FreeBSD、MIT 等， 对源代码的使用、修改、再发布等进行限制，使用开源软件应当遵循其许可证限制。 三是具有传染性三是具有传染性。某些开源许可证，如 GPL，对软件源代码的修改、再分发具有较为严 格的限制，要求对源代码的修改仍需保持开源，遵循 GPL 协议，并在软件再分发时提供全部 源代码及 GPL 协议文本，这就使得基于该许可证协议的软件总是保持开源，具有传染性。 四是四是采用采用社区化的分散维护机制社区化的分散维护机制。开源软件的开发和维护一般采用分散的社区机制， 开发者来自世界各地， 通过互联网上的开源社区组织起来， 开发者通过社区提交功能

25、或对软 件进行修改， 也可在社区里互相讨论。 典型的开源社区如 Linux 开源操作系统的社区、 Apache 社区、Mozilla 社区等，其中 Apache 社区维护其基金会下的一系列开源软件，Mozilla 社区 主要的开源软件是 Mozilla 火狐浏览器。 开源软件面临的安全挑战： 一是可以进行基于源代码的白盒分一是可以进行基于源代码的白盒分析和攻击析和攻击。开源软件由于其源代码的公开性，黑客 攻击者可以很容易获取其源代码进行白盒分析， 查找源代码层面的漏洞， 或伪装成开发者提 交隐藏后门的程序代码等。而对于闭源软件，其逆向工程的难度较大，白盒分析困难，一般 只能进行黑盒分析，采用试

26、探和摸索的方式进行攻击。 二是版本众多，安全维护复杂二是版本众多，安全维护复杂。开源软件由于公开，开发者可以从其现有的版本派生 一个自己的版本，称为“分支” ，在此分支进行修改、开发、重新打包等，形成一个独特的 版本。有的开源软件不断分裂派生，产生庞大的版本家族，一旦其基础代码发现漏洞，众多 版本对漏洞的修补是一个复杂的工程。 如著名的开源操作系统 Linux， 具有一个统一的内核， 但基于该内核派生的各种发行版不计其数， 每个发行版都对内核之上的其他软件有调整和裁 剪，由不同的小开源社区来维护，分析某个漏洞对 Linux 各发行版的影响是个复杂的任务。 三是对安全漏洞的响应可能不及时三是对安

27、全漏洞的响应可能不及时。大量开源软件采用免费方式提供，其社区对漏洞 等软件缺陷也不承担义务或提供明确承诺， 某个漏洞的修复周期可能很长， 导致使用该软件 的系统长期处于风险之中。 尽管理论上用户可以自行修改软件源代码修补漏洞， 但一般的用 户缺乏这样的能力。 四是漏洞数量多，影响大四是漏洞数量多，影响大。开源软件具有开放、费用低、容易获取等特点，软件种类 覆盖系统软件、中间件、应用软件等全领域，在全球范围内开源软件应用广泛，像 Linux 操作系统等系统软件甚至是全球 IT 基础设施的重要组成部分。同时，开源软件也普通存在 大量安全漏洞，隐藏巨大安全风险。近年来，开源软件频繁爆出高危漏洞，例如

28、 Struts2 系列漏洞、OpenSSL 系列漏洞（包括心脏出血等）等，这些开源软件很多都应用于信息系统 的底层，且应用范围非常广泛，漏洞带来的安全危害影响巨大。 我国开源软件应用广泛，原创不足。由于历史原因，我国软件行业起步晚，受国外垄断 软件企业压制，系统软件、关键软件方面受制于人。闭源的系统软件、关键软件一旦存在后 门，危害巨大，很难检测，而开源替代品由于源代码开放，存在后门的顾虑很小，出现漏洞 容易从源代码层面进行主动修复，并且大量开源软件免费提供，初始费用较低，因而我国开 源软件应用非常广泛。 另一方面， 由于软件行业起步晚， 我国在开源软件方面的原创性不足， 虽然国内加入开源社区

29、的开发者数量逐渐增加， 包括华为、 阿里等一些大的商业公司也积极 参与开源社区，但总体来看，还处于起步阶段，规模不足，产品集中在 Web 前端等少数应用 领域。 据不完全统计，在我国系统软件领域，开源 Android 移动操作系统占据市场份额超过 80%，服务器操作系统 Linux 市场占比超过 50%，MySQL 等开源数据库的市场占比超过 50%， OpenStack、 Docker 等云和虚拟化平台使用也十分广泛。 在 Web 中间件领域， Apache、 Nginx、 6 Tomcat 等开源中间件占市场份额 80%以上。此外，大数据平台、人工智能引擎等也被开源软 件统治。 开源软件的

30、行业覆盖也很全面，政府机构、企事业单位、互联网、各类关键信息基础设 施等都广泛使用开源软件。因而，开源软件的安全问题十分重要，关系到我国的网络空间安 全。 7 二、二、 电信和互联网行业典型安全威胁电信和互联网行业典型安全威胁 1.1. 弱口令弱口令 弱口令是指容易被别人猜测到或被破解工具破解的口令。当前“用户名+口令”仍然是 主流的身份认证方式， 绝大部分信息系统都采用或支持这种身份认证方式。 弱口令容易利用 但危害很大，攻击者无需技术基础即可对弱口令系统展开攻击。存在弱口令的信息系统，极 易被攻破，攻击者取得信息系统一定权限后，即可窃取数据、修改或破坏系统、或进一步向 系统深层次渗透攻击。

31、 弱口令虽然简单，但仍是广泛存在的问题，凸显了在安全管理和技术层面的双重问题。 弱口令一般有以下几种表现形式： 简单口令：口令长度过短，口令仅由简单字符或单词、拼音等组合，非常容易被暴力破 解； 默认口令或空口令：很多系统或设备的账号具有默认口令，有的甚至是空口令，不修改 默认口令或空口令的情况十分常见， 有的系统管理员甚至并不清楚系统里存在默认口令或空 口令； 规律性口令：口令具有一定的长度和复杂度，但口令的构造具有规律性，这类口令一般 是为了便于记忆而采取了一些简单规律构造而出，如采用在键盘上连续分布的字符序列等， 大量规律性口令被收集到口令词典、彩虹表等中，容易被暴力破解； 社会工程学弱

32、点类口令：为了便于记忆，将个人、单位等信息作为构成口令的部分，如 个人姓名拼音、 出生日期、 单位名称等， 攻击者通过社会工程学攻击， 搜集特定人员的信息， 就很容易攻破此类口令； 固定口令：口令一旦生成，就固定下来，长期不更新，泄露或被攻破的风险越来越大。 其他典型弱口令方面的漏洞，还包括口令明文传输、口令重置逻辑漏洞、验证码逻辑漏 洞等。 口令明文传输：口令在通过网络传输时未采取加密措施，容易受到第三人窃听攻击； 口令重置逻辑漏洞： 有的系统为忘记自己口令的用户提供口令重置功能， 可将特定账号 的口令重置为默认值或用户指定的新口令，要重置某用户口令，需要以某种用户名+口令之 外的方式对用户

33、身份进行认证，这个身份认证过程若存在逻辑漏洞，令攻击者绕过限制，则 可通过重置指定用户口令的方式，获得该用户对系统的访问权限； 验证码逻辑漏洞：身份认证过程中，验证码一般用来防止自动化暴力破解，典型验证码 的形式， 包括短信验证码、 带干扰的数字或字母图形验证码、 识图拼图验证码、 滑动验证码， 本质都是用特定人类行为特征区分真人和自动化程序。 在验证码验证的过程中， 往往服务器 和前端需要反复几个步骤的操作， 这个过程中容易产生逻辑漏洞， 令攻击者旁路或绕过验证 过程，导致防止暴力攻击的措施无效。 2.2. 心脏心脏出出血血 心脏出血（Heartbleed，CVE-2014-0160）漏洞早

34、在 2014 年即被爆出，谷歌的安全研究 人员发现互联网安全协议 OpenSSL 被曝存在一个十分严重的安全漏洞，被命名为“心脏出 血”，表明网络上出现了“致命内伤”。利用该漏洞，黑客可以获取约 30%的 https 开头网 址的用户登录账号密码，其中包括购物、网银、社交、门户等类型的知名网站。 “心脏出血”漏洞是一个非常严重的问题， 它是互联网基础设施开源软件 OpenSSL 的一 个严重漏洞，这个漏洞使攻击者能够从部署了 HTTPS 协议的服务器内存中读取多达 64 KB 的数据。只要有这个漏洞的存在，在无需任何特权信息或身份验证的环境下，就可能从服务 器窃取 X.509 证书的私钥、用户

35、名与密码、聊天工具的消息、电子邮件以及重要的商业文档 和通信等数据。 尽管 OpenSSL 开发组在“心脏出血”漏洞爆出后很快就提供了对应的安全补丁， 但由于 安全管理方面的问题普遍存在， 互联网上大量系统没有对 OpenSSL 进行升级或打上安全补丁， 大量的服务器仍然在“出血” 。通过中国软件评测中心的远程检测和互联网安全监测，存在 该漏洞的服务器仍然为数众多。 3.3. B Bluekeepluekeep Bluekeep （CVE-2019-0708） 是 2019 年最严重的网络安全漏洞之一。 该漏洞影响范围广， 几乎互联网上绝大多数 Windows 系统都存在该漏洞。 同时该漏洞危

36、害巨大， 成功利用此漏洞 的攻击者可以在目标系统上执行任意代码，随后攻击者可以安装程序，查看、更改或删除数 8 据，或创建具有完全用户权限的新帐户。该漏洞的爆发也非常快速，5 月 14 日，微软发布 远程桌面服务远程代码执行漏洞 CVE-2019-0708 的安全通告及相应补丁， 并特别针对此漏洞 发布了专门的说明，提示这是一个可能导致蠕虫泛滥的严重漏洞。漏洞触发无需用户交互， 攻击者可以利用该漏洞制作类似于 2017 年席卷全球的 WannaCry 类的蠕虫病毒， 进行大规模 传播和破坏。5 月 23 日，互联网公开渠道出现具有非破坏性漏洞扫描功能的 PoC 程序，5 月 25 日，发现互联

37、网上存在规模扫描存在漏洞的设备行为，5 月 30 日，微软再次发布对于 CVE-2019-0708 漏洞做修补的提醒，基于漏洞的严重性强烈建议用户尽快升级修复，5 月 31 日，互联网公开渠道出现能导致蓝屏的 PoC 代码，6 月 8 日，著名渗透工具 Metasploit 的 商业版本开始提供能导致远程代码执行的漏洞利用模块，7 月 31 日，商业漏洞利用套件 Canvas 加入了 CVE-2019-0708 的漏洞利用模块，9 月 7 日，已有公开渠道的 Metasploit CVE-2019-0708 漏洞利用模块发布， 构成现实的蠕虫威胁。 中国软件评测中心也对 Bluekeep 漏洞

38、进行了持续的关注， 在国内电信和互联网行业等重要行业发现存在该漏洞的服务器， 并 对相关机构进行了风险提示和整改协助。 但我们认为发现的仍然是冰山一角， 仍然存在发生 基于该漏洞的大规模安全事件的风险，应引起高度重视。 9 三、三、 电信和互联网行业威胁应对之道电信和互联网行业威胁应对之道 ( (一一) ) 强化数据安全保护强化数据安全保护 行业应加快完善网络数据安全制度标准。基于网络安全法 、 电信和互联网用户个人 信息保护规定等法律法规要求，电信运营商、互联网企业等从合规角度出发对数据安全保 护制度体系加紧完善，重点包括敏感数据的分类分级和控制措施、个人信息保护、重要数据 保护等方面。从管

39、理和技术手段上严防敏感数据泄露事件的发生。 积极开展数据安全方面的合规性评估，包括网络数据安全风险评估、App 违法违规评估 等，提前做好数据安全保护的合规性准备，配合监管部门的网络数据安全监督执法。企业一 旦在数据安全方面发生不合规的情况，将面临行政处罚、软件下架、企业纳入不良名单和失 信名单等处罚。因此，企业必须重视数据安全保护，提前谋划，做好合规性工作。 此外，重点工作还包括以下：梳理数据资产，做好资产“清单” 。理清企业数据资产是 对数据资产进行严格管理的基础， 若无法形成数据清单， 也无法对针对数据的行为进行有效 监控。提升对数据安全保护重视程度，设立专门的网络数据安全职能部门。强化

40、网络数据对 外合作安全管理，既不能放松警惕，也不能因噎废食，安全和发展互相配合，促进业务健康 发展， 确保数据合作业务在安全、 合规的情况下有序进行。 加强行业网络数据安全应急管理， 强化安全事件发生事前、事中、事后的处置，对恶性事件形成预案，不打无准备之仗。 ( (二二) ) 加强开源软件安全评估加强开源软件安全评估 软件的安全性是网络安全的一个重要方面。 软件是网络系统资产的重要组成部分， 软 件安全性评估在实践上是网络安全风险评估的一部分， 一般采用多种方法、 多角度综合评估， 如通过漏洞扫描、渗透测试、漏洞挖掘等发现软件运行期的各种安全漏洞，通过逆向分析发 掘攻击点和逻辑漏洞， 通过基

41、线扫描、 配置核查等发现软件配置方面的问题， 通过协议分析、 通信分析发现通信、数据保护等方面的问题，通过日志审计和分析发现攻击痕迹、非法行为 等。 开源软件由于其 “开源” 的特点， 更可以对其源代码进行白盒分析， 即源代码安全审计。 源代码安全审计一般由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安 全服务人员对系统的源代码和软件架构的安全性、 可靠性进行全面的安全检查， 充分挖掘当 前代码中存在的安全缺陷以及规范性缺陷， 评估软件系统可能会面临的威胁， 并指导开发人 员正确修复软件缺陷。源代码安全审计一般采用“工具自动分析+人工验证”的方式进行， 可从代码源头上发现代码本身存

42、在的问题，如代码对标准的遵循、可读性，代码的逻辑表达 的正确性，代码结构的合理性，代码安全漏洞等方面，对软件安全性评估提供依据。 由于开源软件的广泛应用， 国内外对开源软件的安全评估均开展了相关实践。 2006 年， 美国国土安全部资助 Coverity 公司开展了“开源软件代码测试计划”，针对大量开源软件 进行源代码安全审计， 筛查安全隐患， 截至 2017 年 2 月， 累计检测各种开源软件 7000 多个， 发现源代码层面的大量安全缺陷。国内安全企业 360 的代码卫士团队，于 2015 年初发起了 国内的“开源项目检测计划（）”，针对开源软件开展安全检测，对软件 进行安全缺陷统计和安全

43、风险评估。截至目前，该计划已检测 2200 多个开源项目。 开源软件安全评估的方法： 一是源代码安全审查。一是源代码安全审查。采用“工具自动分析+人工验证”的方式对软件的源代码进行白 盒分析，从代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性，代 码安全漏洞等方面对软件安全性进行评估。 二是安全威胁风险评估二是安全威胁风险评估。通过漏洞扫描、渗透测试、漏洞挖掘等发现软件运行期的各 种安全漏洞，通过逆向分析发掘攻击点和逻辑漏洞。 三是基线核查三是基线核查。通过基线扫描、配置核查等发现软件配置方面的安全问题。 中国软件评测中心在开源软件安全评估方面具有良好的工作基础： 一是主导或

44、参与国家级、部级重大专项课题，如核高基科技重大专项：通用基础软件测 试评估通用基础软件安全测试评估， 信息安全服务机构数据安全保障体系研究和规范制定， 个人信息保护指南、 测评指标体系和测评方法研究， 信息安全产品检测评估系统及资源库建 设专项等。 10 二是面向政府机构、企事业单位等开展源代码安全审查、系统风险评估等安全项目，如 银行和金融行业、水利部、三峡集团、冬奥会组会等机构和企业的系统安全风险评估和源代 码安全审计，基于 Linux 的物联网操作系统的产品安全评估等。 三是支撑工信部开展行业网络安全检查、 数据安全专项检查、 网络安全风险评估等工作。 对于监管机构，为了解行业网络安全形

45、势，加强网络安全监管，建议开展开源软件安全 评估工作： 一是开展行业开源软件使用情况的梳理统计一是开展行业开源软件使用情况的梳理统计。目前电信和互联网行业相关企业普遍存 在对软件资产情况了解不全面的情况， 尤其是对是否使用了开源软件、 使用了哪些开源软件、 当前使用的开源软件的版本是什么、是否存在严重安全漏洞、是否更新安全补丁、是否正确 进行安全配置等情况，缺乏认识和统计数据，导致存在众多隐藏的安全隐患。指导行业对开 源软件使用情况进行梳理统计，摸清开源软件使用情况、范围，了解应用现状，为进一步开 展全面安全评估工作提供依据。 二是组织开展开源软件的安全评估专项工作二是组织开展开源软件的安全评

46、估专项工作。主要采取源代码安全审查、基线核查、 风险评估等方式， 对行业使用的重要的开源系统软件、 广泛使用的开源软件等开展安全评估， 进而评估相关网络系统的网络安全风险、 行业的网络安全形势。 指导督促相关企业进行漏洞 修补、系统加固等工作，通过专项工作加强开源软件安全防护、安全运维和安全管理工作， 显著提升网络安全防护水平。 三是加强开源软件威胁信息共享、通报预警和安全事件处置机制三是加强开源软件威胁信息共享、通报预警和安全事件处置机制。通过工业和信息化 部网络安全威胁信息共享平台等渠道， 加强开源软件漏洞、 数据泄露事件等网络安全威胁信 息的共享、通报预警，完善行业安全事件处置机制。 11 北京（总部） 地址：北京市海淀区紫竹院路66号赛迪大厦（