中国网站安全漏洞形势分析报告出炉

政府机关网站安全漏洞大

政府机关网站安全漏洞大

2017年01月07日 15:41:26 来源:人民日报客户端 作者:

　　近日，360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》称，在　网站高危漏洞大幅增长80%、漏洞的平均修复率仅为42.9%的背景下，政府机关网站的漏洞修复率却高达77.1%，高危漏洞修复率更是高达90%，位居五大网站类型之首。与此相对，社会团体、个人和企业网站的修复率亟待提高：企业网站为45.5%，个人网站为40.1%，社会团体网站为38.3%。

　　这显示在“网络安全”已成国家战略的背景下，我国各级政府机关对于网站安全的重视程度得到空前的提高。

　　IT/互联网行业网站漏洞最多　政府机关网站漏洞修复率最高

　　2016年补天平台收录的网站备案类型主要集中在政府机关、事业单位、社会团体、企业、个人五个类别，因此对这五个备案类型进行具体的分析。

　　总体而言，补天平台收录的备案网站漏洞中，企业网站的漏洞数量是最多的，占比为50.3%，事业单位网站为24.7%，政府机关网站为16.0%，个人网站为6.6%，社会团体网站为2.5%。从高危漏洞网站来看，社会团体网站高危漏洞占比最多，为47.5%，企业网站为47.3%，事业单位网站为43.3%，政府机关网站为41.7%，个人网站为36.4%。

　　据补天平台统计，政府机关网站的漏洞修复率是最高的，占比为77.1%，其次事业单位网站为68.1%，企业网站为45.5%，个人网站为40.1%，社会团体网站为38.3%。从高危漏洞修复率来看，政府机关网站同样是修复最高的，高达90.0%，事业单位为56.7%，企业网站为48.5%，社会团体网站为48.2%，个人网站为42.7%。

　　在企业网站中的　　IT/互联网、金融、教育培训、汽车交通、生产制造、电信运营商等十个重点行业网站中，IT/互联网行业网站被报告的漏洞最多，占比为23.5%。

　　针对政府机关网站修复率最高的现象，360安全专家认为，　这说明随着网络安全成为国家战略，政府机构对包括网站安全在内的网络安全的重视程度得到空前提高。

　　据悉，《网络安全法》对保护关键信息基础设施进行了特别强调。上海交通大学信息安全工程学院院长李建华指出，县级（含）以上党政机关网站、重点新闻网站、日均访问量超过100万人次的网站，以及发生网络安全事故后可能造成100万人个人信息泄露的网站，都可认定为关键信息基础设施。

　　预计，随着《网络安全法》在2017年的实施，网站安全防护在各个行业还将会得到持续加强。

　　网站漏洞利用的目标都指向“钱”

　　网站高危漏洞激增，吸引到更多针对网站漏洞攻击，导致大量信息被泄露。

　　根据补天平台的统计，仅仅2015年收录的漏洞中，就有1400余个漏洞可造成个人信息泄露，可泄露信息规模达55.3亿条；2016年又新收录了300余个可造成个人信息泄露的漏洞，约可泄露个人信息50余亿条。　

　　大量的实际案例和研究表明，网站个人信息泄露已成为网络诈骗助推器。猎网平台诈骗报告显示，有半数以上的诈骗案件与个人信息泄露有关。

　　在2016年引发广泛关注的山东徐玉玉案中，犯罪分子就是利用窃取的信息，伪装成教育局工作人员发放助学金进行诈骗的。经警方调查，徐玉玉的信息是由于黑客利用漏洞侵入“山东省2016高考网上报名信息系统”网站而获取的。黑客从该网站共窃取60多万条个人信息。

　　作为离“钱财”最近的行业，金融行业网站漏洞受到黑客的关注也最多。据补天平台统计，2016年金融行业网站漏洞数量和高危漏洞数量都处于各行业前列。2016年前11个月金融网站的漏洞曝出数量（超过1700个）、高危漏洞的数量（约700个）皆领先于教育培训、汽车交通、医疗卫生等行业。

　　根据报告，　金融行业各细分领域的网站基本都曝出安全问题，尤其是以保险领域最为严重。据补天平台收录的漏洞数据，白帽子报告出保险领域260多个漏洞，银行领域130多个漏洞，证券行业70个漏洞，P2P理财服务类网站也报出180多个漏洞。例如，2016年4月份曝光的国内某保险协会网站存在的安全漏洞隐患可能导致8亿保单信息泄露，影响上亿用户。

　　一些新兴的金融业务网站安全也同样出现不少问题。如某互联网金融社区主站存在SVN漏洞、汽车金融平台资车贷曝出信息泄露漏洞等，一定程度上和这些金融新业态的业务相关性较大，这些漏洞一旦遭利用将会导致网站内部信息和数据库数据遭窃取。

　　此外，2016　年多家第三方支付企业也曝出若干漏洞，一旦遭利用，将会影响平台用户的资金流动安全。

　　众测将成未来网站安全防护方向

　　对于众多的网站运营者来说，人才不足是应对安全漏洞不力的重要原因。目前中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%。在人才不足和费用紧张的情况下，很难期望每个机构都组建自己的安全响应团队。

　　针对网站安全防护的棘手挑战和人才不足的现状，安全专家认为，目前以众测为代表的模式创新、以“端+云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向，已成为即将到来的2017年，乃至更远的未来web安全技术研究的新趋势。

　　据了解，众测是以众包的模式将发现漏洞问题的任务分发给白帽，通过严格的审核、特定的加密数据通信通道，为白帽子充分发挥自身力量，高效地帮助目标企业发现潜在安全问题，提供安全、可靠的平台服务。

　　安全专家认为，众测/众包技术可能是企业强化响应能力的一种必然选择：众测/众包使企业无需自建安全响应中心（SRC），而是可以通过第三方平台提供“SRC即服务”，建立完善专业、高效的安全响应机制。

　　较早之前纯公益的开放征集漏洞模式，众测是一种完善和升级。目前国内已经有补天平台在内的平台已经开展了安全众测的尝试。在安全人才不足的背景下，这一模式可以帮助政企用户解决网站安全问题。