游客

360:政府机关网站高危漏洞修复率高达90%

游客 2017-01-06 08:13:19    200932 次浏览

近日,360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》称,在网站高危漏洞大幅增长80%、漏洞的平均修复率仅为42.9%的背景下,政府机关网站的漏洞修复率却高达77.1%,高危漏洞修复率更是高达90%,位居五大网站类型之首。与此相对,社会团体、个人和企业网站的修复率亟待提高:企业网站为45.5%,个人网站为40.1%,社会团体网站为38.3%。

这显示在“网络安全”已成国家战略的背景下,我国各级政府机关对于网站安全的重视程度得到空前的提高。

  IT/互联网行业网站漏洞最多 政府机关网站漏洞修复率最高

2016年补天平台收录的网站备案类型主要集中在政府机关、事业单位、社会团体、企业、个人五个类别,因此对这五个备案类型进行具体的分析。

总体而言,补天平台收录的备案网站漏洞中,企业网站的漏洞数量是最多的,占比为50.3%,事业单位网站为24.7%,政府机关网站为16.0%,个人网站为6.6%,社会团体网站为2.5%。从高危漏洞网站来看,社会团体网站高危漏洞占比最多,为47.5%,企业网站为47.3%,事业单位网站为43.3%,政府机关网站为41.7%,个人网站为36.4%。

360:政府机关网站高危漏洞修复率高达90%

据补天平台统计,政府机关网站的漏洞修复率是最高的,占比为77.1%,其次事业单位网站为68.1%,企业网站为45.5%,个人网站为40.1%,社会团体网站为38.3%。从高危漏洞修复率来看,政府机关网站同样是修复最高的,高达90.0%,事业单位为56.7%,企业网站为48.5%,社会团体网站为48.2%,个人网站为42.7%。

在企业网站中的 IT/互联网、金融、教育培训、汽车交通、生产制造、电信运营商等十个重点行业网站中,IT/互联网行业网站被报告的漏洞最多,占比为23.5%。

针对政府机关网站修复率最高的现象,360安全专家认为, 这说明随着网络安全成为国家战略,政府机构对包括网站安全在内的网络安全的重视程度得到空前提高。

据悉,《网络安全法》对保护关键信息基础设施进行了特别强调。上海交通大学信息安全工程学院院长李建华指出,县级(含)以上党政机关网站、重点新闻网站、日均访问量超过100万人次的网站,以及发生网络安全事故后可能造成100万人个人信息泄露的网站,都可认定为关键信息基础设施。

预计,随着《网络安全法》在2017年的实施,网站安全防护在各个行业还将会得到持续加强。

网站漏洞利用的目标都指向“钱”

网站高危漏洞激增,吸引到更多针对网站漏洞攻击,导致大量信息被泄露。

根据补天平台的统计,仅仅2015年收录的漏洞中,就有1400余个漏洞可造成个人信息泄露,可泄露信息规模达55.3亿条;2016年又新收录了300余个可造成个人信息泄露的漏洞,约可泄露个人信息50余亿条。

大量的实际案例和研究表明,网站个人信息泄露已成为网络诈骗助推器。猎网平台诈骗报告显示,有半数以上的诈骗案件与个人信息泄露有关。

在2016年引发广泛关注的山东徐玉玉案中,犯罪分子就是利用窃取的信息,伪装成教育局工作人员发放助学金进行诈骗的。经警方调查,徐玉玉的信息是由于黑客利用漏洞侵入“山东省2016高考网上报名信息系统”网站而获取的。黑客从该网站共窃取60多万条个人信息。

360:政府机关网站高危漏洞修复率高达90%

作为离“钱财”最近的行业,金融行业网站漏洞受到黑客的关注也最多。据补天平台统计,2016年金融行业网站漏洞数量和高危漏洞数量都处于各行业前列。2016年前11个月金融网站的漏洞曝出数量(超过1700个)、高危漏洞的数量(约700个)皆领先于教育培训、汽车交通、医疗卫生等行业。

根据报告, 金融行业各细分领域的网站基本都曝出安全问题,尤其是以保险领域最为严重。据补天平台收录的漏洞数据,白帽子报告出保险领域260多个漏洞,银行领域130多个漏洞,证券行业70个漏洞,P2P理财服务类网站也报出180多个漏洞。例如,2016年4月份曝光的国内某保险协会网站存在的安全漏洞隐患可能导致8亿保单信息泄露,影响上亿用户。

一些新兴的金融业务网站安全也同样出现不少问题。如某互联网金融社区主站存在SVN漏洞、汽车金融平台资车贷曝出信息泄露漏洞等,一定程度上和这些金融新业态的业务相关性较大,这些漏洞一旦遭利用将会导致网站内部信息和数据库数据遭窃取。

此外,2016 年多家第三方支付企业也曝出若干漏洞,一旦遭利用,将会影响平台用户的资金流动安全。

众测将成未来网站安全防护方向

对于众多的网站运营者来说,人才不足是应对安全漏洞不力的重要原因。目前中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%。在人才不足和费用紧张的情况下,很难期望每个机构都组建自己的安全响应团队。

针对网站安全防护的棘手挑战和人才不足的现状,安全专家认为,目前以众测为代表的模式创新、以“端 云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向,已成为即将到来的2017年,乃至更远的未来web安全技术研究的新趋势。

据了解,众测是以众包的模式将发现漏洞问题的任务分发给白帽,通过严格的审核、特定的加密数据通信通道,为白帽子充分发挥自身力量,高效地帮助目标企业发现潜在安全问题,提供安全、可靠的平台服务。

安全专家认为,众测/众包技术可能是企业强化响应能力的一种必然选择:众测/众包使企业无需自建安全响应中心(SRC),而是可以通过第三方平台提供“SRC即服务”,建立完善专业、高效的安全响应机制。

较早之前纯公益的开放征集漏洞模式,众测是一种完善和升级。目前国内已经有补天平台在内的平台已经开展了安全众测的尝试。在安全人才不足的背景下,这一模式可以帮助政企用户解决网站安全问题。

内容加载中