2015年度中国网站安全报告:信息泄露问题依然严峻
近日,360互联网安全中心发布了国内了《2015年度中国网站安全报告》。主要内容摘要如下:
个人信息泄漏
补天平台统计显示,2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。
补天平台中的泄露信息漏洞中,共有4个漏洞可以造成1亿条以上的个人信息泄露,可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。
存在泄露信息漏洞的1068个备案网站中,企业网站占比最高,达63.0%,政府、事业单位、个人、社会团体网站的占比分别为20.1%、11.8%、4.1%和1.1%。
行业对比方面,IT/互联网网站可能泄漏的个人信息最多,为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站1.10亿条;汽车交通网站5418万条;教育培训2462万条。
行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露,其次是电信运营商563万条/洞, IT/互联网291万条/洞。
行业对比方面,从泄露信息漏洞的修复率来看,金融理财网站的修复率最高,达34.1%;其次是IT/互联网10.6%;接下来依次是汽车交通6.9%,电信运营商2.9%。医疗卫生和教育培训类网站的泄露信息漏洞修复率为0。
网站安全性行业分析
2015年补天平台已收录的网站漏洞中,备案网站的漏洞为28040个,占比为73.9%,未备案或备案已过期的网站漏洞9903个,占比为26.1%。漏洞共涉及22084个网站。
从漏洞性质看,没有备案的网站存在的漏洞中,通用型漏洞比例达到52.1%,而备案网站中通用型漏洞比例很低,仅为0.2%,说明备案网站的安全性明显高于未备案网站。
从五种不同备案类型看,企业网站报告的漏洞最多,达14981个,高危漏洞10092个,漏洞涉及11453家企业网站;其次是事业单位网站,被报漏洞6504个,高危漏洞4339个,漏洞涉及5179家事业单位网站;政府网站排第三,被报漏洞3941个,高危漏洞2805个,漏洞涉及3315家政府网站。
从修复率上看,企业网站的修复率是最高的,但也只有6.5%;政府网站的漏洞修复率在所有备案类型网站中排名垫底,仅为1.8%;这与普通网民对政府网站的信赖度相对较高的情况非常不相称。
在七类行业网站中,共有漏洞5995个,涉及网站4280个。IT/互联网行业网站被报告的漏洞最多,达到2330个,高危漏洞1463个,漏洞涉及网站1535个;其次为教育培训,被报漏洞1169个,高危漏洞741个,漏洞涉及网站914个;汽车交通排第三,被报漏洞799个,高危漏洞525个,漏洞涉及网站625个。
从修复率上看,金融行业网站的修复率最高,但也仅为17.3%。其他修复率超过10%的行业有两个,分别为IT/互联网、汽车交通。而教育、能源、医疗卫生三个细分行业的修复情况不容乐观,修复率仅约为1.8%-3.4%之间。
网站漏洞
2015年全年,360网站安全检测平台共扫描各类网站231.2万个;其中,存在安全漏洞的网站为101.5万个,占扫描网站总数的43.9%;存在高危安全漏洞的网站共有30.8万个,占扫描网站总数的13.0%。
360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,较2014年的462.1万次下降了约一半;扫描发现网站高危漏洞的比例为21.7%,中危占10.2%,低危占68.1%。与2014年相比,今年高、中危漏洞扫出比例大幅下降。
2015年(截至11月18日)补天共收录的各类网站漏洞总数为37943个,平均每月3161个。其中,高危漏洞占比为71.2%;从漏洞性质上看,事件型漏洞占86.3%,通用型漏洞占比13.7%。
网站修复安全漏洞比例极低,仅为4.7%;在已修复的比例中,24小时内修复的比例为10.3%,2-3天内修复的比例为14.1%,4-7天内修复的比例为23.8%,其余修复周期大于一周(7天)的占一半以上。
网站篡改与后门
2015年全年,360网站安全检测平台共扫描各类网站231.2万个,其中,被篡改的网站8.4万个,约占扫描网站总数的3.6%,网站遭篡改情况明显好转。
2015年全年,360网站安全检测共对21854台网站服务器进行了网站后门检测,覆盖网站322.3万个,扫描共发现约4097台服务器存在后门,占所有扫描网站服务器的18.7%。
2015已扫出各类网站后门文件样本数量多达858.1万个,与2014年“一句话木马”占到了网站后门69.2%的情况不同,今年恶意SEO后门的占比最高,为45.0%;不过感染网站服务器最多的木马依然是“一句话木马”。
漏洞攻击
2015年全年,360网站卫士共拦截各类网站漏洞攻击16.5亿次,平均每月拦截漏洞攻击近1.4亿次。
2015年平均每月有17.1万个网站遭遇各类漏洞攻击,其中,1月是网站遭遇漏洞攻击最为频繁的一个月,平均每天约有8290个网站遭到漏洞攻击。
从攻击类型看,2015年,SQL注入攻击最多,拦截次数超过8亿次,其次为Nginx漏洞攻击、命令注入攻击(Common Vulnerability)。
从发起漏洞攻击IP的地域分布来看,90.2%攻击者IP来自境内地区,来自境外的攻击仅为9.8%,境内占比较2014年增长1.2个百分点;其中,境内攻击者IP归属地排名前三依次是:浙江31.5%、江苏28.3%、北京19.0%。境外攻击者IP归属地排名前三依次是:法国43.5%、美国29.8%、荷兰3.0%。
从遭到漏洞攻击IP的地域分布来看,95.7%受害者IP为境内地区IP,境外的受害者仅为4.3%。其中,境内遭到漏洞攻击最多的地区是北京17.7%、江苏13.2%和山东11.0%。
网站安全热点与趋势
2015年网站安全热点问题主要集中在以下几个方面:信息泄漏、物联网、车联网、P2P金融、O2O本地服务、Java反序列化漏洞、weblogic弱口令漏洞和登陆验证机制缺陷等几个方面。
2015年网站安全技术主要有以下几个前沿趋势:一、数据驱动安全将引领技术潮流;二、威胁情报将成市场关注的焦点;三、机器学习与可视化技术迅速发展;四、云平台将涌现更多“安全即服务”形式。