2015年度中國網站安全報告:信息泄露問題依然嚴峻
近日,360互聯網安全中心發布了國內了《2015年度中國網站安全報告》。主要內容摘要如下:
個人信息泄漏
補天平臺統計顯示,2015年共有1410個漏洞可能造成網站上的個人信息泄露,這些漏洞共涉及網站1282個,可能或已造成泄露的個人信息量高達55.3億條。
補天平臺中的泄露信息漏洞中,共有4個漏洞可以造成1億條以上的個人信息泄露,可能泄露個人信息量在6000萬到1億之間的漏洞共有11個。
存在泄露信息漏洞的1068個備案網站中,企業網站占比最高,達63.0%,政府、事業單位、個人、社會團體網站的占比分別為20.1%、11.8%、4.1%和1.1%。
行業對比方面,IT/互聯網網站可能泄漏的個人信息最多,為5.23億條;其次是醫療衛生網站2.40億條;電信運營商1.97億條;金融理財網站1.10億條;汽車交通網站5418萬條;教育培訓2462萬條。
行業對比方面,從平均每個漏洞泄露的信息量來看,醫療衛生行業排在首位,平均每個泄露信息漏洞可能導致961萬條個人信息泄露,其次是電信運營商563萬條/洞, IT/互聯網291萬條/洞。
行業對比方面,從泄露信息漏洞的修復率來看,金融理財網站的修復率最高,達34.1%;其次是IT/互聯網10.6%;接下來依次是汽車交通6.9%,電信運營商2.9%。醫療衛生和教育培訓類網站的泄露信息漏洞修復率為0。
網站安全性行業分析
2015年補天平臺已收錄的網站漏洞中,備案網站的漏洞為28040個,占比為73.9%,未備案或備案已過期的網站漏洞9903個,占比為26.1%。漏洞共涉及22084個網站。
從漏洞性質看,沒有備案的網站存在的漏洞中,通用型漏洞比例達到52.1%,而備案網站中通用型漏洞比例很低,僅為0.2%,說明備案網站的安全性明顯高于未備案網站。
從五種不同備案類型看,企業網站報告的漏洞最多,達14981個,高危漏洞10092個,漏洞涉及11453家企業網站;其次是事業單位網站,被報漏洞6504個,高危漏洞4339個,漏洞涉及5179家事業單位網站;政府網站排第三,被報漏洞3941個,高危漏洞2805個,漏洞涉及3315家政府網站。
從修復率上看,企業網站的修復率是最高的,但也只有6.5%;政府網站的漏洞修復率在所有備案類型網站中排名墊底,僅為1.8%;這與普通網民對政府網站的信賴度相對較高的情況非常不相稱。
在七類行業網站中,共有漏洞5995個,涉及網站4280個。IT/互聯網行業網站被報告的漏洞最多,達到2330個,高危漏洞1463個,漏洞涉及網站1535個;其次為教育培訓,被報漏洞1169個,高危漏洞741個,漏洞涉及網站914個;汽車交通排第三,被報漏洞799個,高危漏洞525個,漏洞涉及網站625個。
從修復率上看,金融行業網站的修復率最高,但也僅為17.3%。其他修復率超過10%的行業有兩個,分別為IT/互聯網、汽車交通。而教育、能源、醫療衛生三個細分行業的修復情況不容樂觀,修復率僅約為1.8%-3.4%之間。
網站漏洞
2015年全年,360網站安全檢測平臺共掃描各類網站231.2萬個;其中,存在安全漏洞的網站為101.5萬個,占掃描網站總數的43.9%;存在高危安全漏洞的網站共有30.8萬個,占掃描網站總數的13.0%。
360網站安全檢測平臺全年共掃描發現網站高危漏洞265.1萬次,較2014年的462.1萬次下降了約一半;掃描發現網站高危漏洞的比例為21.7%,中危占10.2%,低危占68.1%。與2014年相比,今年高、中危漏洞掃出比例大幅下降。
2015年(截至11月18日)補天共收錄的各類網站漏洞總數為37943個,平均每月3161個。其中,高危漏洞占比為71.2%;從漏洞性質上看,事件型漏洞占86.3%,通用型漏洞占比13.7%。
網站修復安全漏洞比例極低,僅為4.7%;在已修復的比例中,24小時內修復的比例為10.3%,2-3天內修復的比例為14.1%,4-7天內修復的比例為23.8%,其余修復周期大于一周(7天)的占一半以上。
網站篡改與后門
2015年全年,360網站安全檢測平臺共掃描各類網站231.2萬個,其中,被篡改的網站8.4萬個,約占掃描網站總數的3.6%,網站遭篡改情況明顯好轉。
2015年全年,360網站安全檢測共對21854臺網站服務器進行了網站后門檢測,覆蓋網站322.3萬個,掃描共發現約4097臺服務器存在后門,占所有掃描網站服務器的18.7%。
2015已掃出各類網站后門文件樣本數量多達858.1萬個,與2014年“一句話木馬”占到了網站后門69.2%的情況不同,今年惡意SEO后門的占比最高,為45.0%;不過感染網站服務器最多的木馬依然是“一句話木馬”。
漏洞攻擊
2015年全年,360網站衛士共攔截各類網站漏洞攻擊16.5億次,平均每月攔截漏洞攻擊近1.4億次。
2015年平均每月有17.1萬個網站遭遇各類漏洞攻擊,其中,1月是網站遭遇漏洞攻擊最為頻繁的一個月,平均每天約有8290個網站遭到漏洞攻擊。
從攻擊類型看,2015年,SQL注入攻擊最多,攔截次數超過8億次,其次為Nginx漏洞攻擊、命令注入攻擊(Common Vulnerability)。
從發起漏洞攻擊IP的地域分布來看,90.2%攻擊者IP來自境內地區,來自境外的攻擊僅為9.8%,境內占比較2014年增長1.2個百分點;其中,境內攻擊者IP歸屬地排名前三依次是:浙江31.5%、江蘇28.3%、北京19.0%。境外攻擊者IP歸屬地排名前三依次是:法國43.5%、美國29.8%、荷蘭3.0%。
從遭到漏洞攻擊IP的地域分布來看,95.7%受害者IP為境內地區IP,境外的受害者僅為4.3%。其中,境內遭到漏洞攻擊最多的地區是北京17.7%、江蘇13.2%和山東11.0%。
網站安全熱點與趨勢
2015年網站安全熱點問題主要集中在以下幾個方面:信息泄漏、物聯網、車聯網、P2P金融、O2O本地服務、Java反序列化漏洞、weblogic弱口令漏洞和登陸驗證機制缺陷等幾個方面。
2015年網站安全技術主要有以下幾個前沿趨勢:一、數據驅動安全將引領技術潮流;二、威脅情報將成市場關注的焦點;三、機器學習與可視化技術迅速發展;四、云平臺將涌現更多“安全即服務”形式。