• 首页 > 资讯频道 > 研究报告

    我国网站高危漏洞去年激增80% 修复率仅为42.9%

    2017年01月06日 11:33:32   来源:中国新闻网

       近日,360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》称,过去一年360网站安全检测平台扫描发现网站高危漏洞480.8万次,较2015年267.7万次大幅增长80%,平均每月扫出高危漏洞约45.8万次。

      面对激增的高危漏洞,修复情况却不容乐观:根据对2016年补天平台的备案网站漏洞的抽样调查,网站漏洞的平均修复率仅为42.9%,超过半数的网站漏洞被置之不理,存在巨大的数据泄露风险。

      显然,未来我国的网站安全防护依然面临巨大挑战。

      漏洞可能致数十亿信息被泄露 网站安全防护将成为未来重点

      报告显示,在2016年,360网站安全检测平台共扫描各类网站197.9万个,发现存在漏洞的网站91.7万个,占比为46.3%,比2015年略有下降。漏洞网站数量下降,但高危漏洞数量大幅增长,这说明,在绝大多数网站已基本不存在可自动检测的高危漏洞的情况下,极少数网站集中出现大量高危漏洞。

      网站高危漏洞激增,吸引到更多针对网站漏洞攻击,导致大量信息被泄露。根据360互联网安全中心的统计,2016年360网站卫士共拦截各类网站漏洞攻击17.1亿次,导致大量网站出现数据泄露。如2016年4月Struts2远程代码执行漏洞(s2-032)爆出,很多大型企业网站中招。在360补天平台上提交了大量s2-032远程执行漏洞,包括航空、银行、学校和政府等诸多领域成为本次漏洞的重灾区。

      根据补天平台的统计,仅仅2015年收录的漏洞中,就有1400余个漏洞可造成个人信息泄露,可泄露信息规模达55.3亿条;2016年又新收录了300余个可造成个人信息泄露的漏洞,约可泄露个人信息50余亿条。

      这些大量泄露的个人信息成为网络欺诈的助推器。在2016年引发广泛关注的山东徐玉玉案中,犯罪分子就是利用窃取的信息,伪装成教育局工作人员发放助学金进行诈骗的。经警方调查,徐玉玉的信息是由于黑客利用漏洞侵入“山东省2016高考网上报名信息系统”网站而获取的。黑客从该网站共窃取60多万条个人信息。

      网站安全的重要性已不言而喻。作为互联网的基础设施和互联网产品、服务的重要载体,网站安全是网络空间安全的重要组成。在《国家网络空间安全战略》中,“加强党政机关以及重点领域网站的安全防护”被作为战略任务。

      《网络安全法》对保护关键信息基础设施进行了特别强调。上海交通大学信息安全工程学院院长李建华指出,县级(含)以上党政机关网站、重点新闻网站、日均访问量超过100万人次的网站,以及发生网络安全事故后可能造成100万人个人信息泄露的网站,都可认定为关键信息基础设施。

      《网络安全法》明确规定,网络产品和服务运营者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,如未立即采取补救措施,需要承担相应的法律责任。

      可以预见,随着《网络安全法》在今年的实施,加强网站安全防护将是未来的重要内容。

      漏洞修复率仅为42.9% 安全响应仍待提高

      面对防不胜防的网站漏洞,及时修复漏洞是防范信息泄露的重要举措,但360互联网安全中心发布的数据显示,在对于网站漏洞的安全响应上,我国政企用户仍存在很大不足。根据对2016年补天平台的备案网站漏洞的抽样调查,网站漏洞的平均修复率仅为42.9%。

      更令人担心的是,即使是这些被修复的网站安全漏洞,漏洞修复很不及时。有近2/3的网站,漏洞修复周期过长,修复很不及时(大于7天)。很多漏洞需要数周,甚至近一个月才能得到修复:从修复漏洞所花费的时长看,根据厂商明确标记已修复的网站漏洞中,1天内修复的比例为7.5%; 一周以内修复的比例为27.4%;超过一周但在一个月内修复的比例为33.3%;超过30天才修复的比例为31.8%。

      安全专家认为,“这个时候数据可能早已经被窃取。”

      针对网站漏洞修复周期较长的原因,360安全专家认为,这主要是由于过去法制监管体系中缺乏安全问责机制、网站管理者自身安全意识和能力不足,以及网站安全需要多方协同联动、缺乏成熟解决方案等原因导致业界对漏洞修复关注不足而造成的。

      众测将成未来网站安全防护方向

      对于众多的网站运营者来说,人才不足是应对安全漏洞不力的重要原因。目前中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%。

      针对网站安全防护的棘手挑战和人才不足的现状,安全专家认为,目前以众测为代表的模式创新、以“端+云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向,已成为即将到来的2017年,乃至更远的未来web安全技术研究的新趋势。

      据了解,众测是以众包的模式将发现漏洞问题的任务分发给白帽,通过严格的审核、特定的加密数据通信通道,为白帽子充分发挥自身力量,高效地帮助目标企业发现潜在安全问题,提供安全、可靠的平台服务。

      安全专家认为,众测/众包技术可能是企业强化响应能力的一种必然选择:众测/众包使企业无需自建安全响应中心(SRC),而是可以通过第三方平台提供“SRC即服务”,建立完善专业、高效的安全响应机制。

      较早之前纯公益的开放征集漏洞模式,众测是一种完善和升级。目前国内已经有补天平台在内的平台开始安全众测的尝试。相信在安全人才不足的背景下,这一模式可以帮助政企用户解决网站安全问题。

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      中文科技资讯倡导尊重与保护知识产权。如发现本站文章存在版权问题,烦请30天内提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn,我们将及时沟通与处理。

    [责任编辑: CIT03]
    分享到微信

    最新

    新闻

    下半年18:9智能手机全面屏发货量将现爆发式增长

    据来自台湾产业链的消息称,鉴于智能手机厂商对18:9全面屏需求的快速增长,屏幕厂商将会在今年下半年扩大屏幕生产。

    科学

    NASA新款火星车2020年发射:去寻找远古生命迹象

    5月26日消息,据美国媒体报道,NASA(美国航空航天局)公布了定于2020年发射的最新式火星车想象图。图片显示了艺术家对未来在火星表面工作的火星车概念。虽然外观设计与“好奇号”火星车没有大的变化。

    融合

    “人机混双”是今日亮点,棋手和机器能否心有灵犀?

    “传统”人机大战的输赢早已没有悬念,今日要上演的,是两场不同以往的比赛,人类与AlphaGo都将踏入一片未知之地。在这里,输赢并不重要,参与者们共同探索围棋、竞技与智能,才会让生出更多惊喜。

    专栏

    用了21年的USB数据接口,要被彻底抛弃了

    过去21年的时间里,我们一直都在使用一种名为USB-A的数据接口。随着Intel的USB-C数据接口的推出,以前的那种数据接口可能很快就被取代。