《2017上半年漏洞收录报告》出炉 北上广安全隐患集中

　　安全漏洞是进入系统控制权限的大门，作为系统程序的缺陷，漏洞一旦被不法分子利用，往往会造成难以想象的危害。近日，补天漏洞响应平台发布了《2017年上半年补天平台漏洞收录分析报告》(以下简称报告)，对2017年上半年征集收录到的安全漏洞在类型数量、区域分布以及挖掘利用上进行了详细的统计分析。

　　高危漏洞比重减半《网络安全法》初现效果

　　高危级漏洞作为软件漏洞等级中最危险的一级，极易被病毒、木马、黑客等利用，对互联网及用户造成的危害也更加严重，因此高危漏洞所占的比重一定程度上可以反映互联网安全的基本状况。

　　2017年上半年，补天平台征集共收录安全漏洞10693个，其中，高危漏洞仅为2800多个，占比26.2%，比去年的50.2%几乎减少一半，表明我国网络安全形式正在向良好的趋势发展。据分析，这可能与今年6月1日起，《国家安全法》的正式实施，网络安全建设和维护受到重视有关。

　　信息泄露漏洞占比大 安全意识尚待提高

　　当今社会，网络安全与信息安全紧密相连，犯罪分子利用漏洞展开的网络攻击往往会泄露用户的个人信息。尤其是大数据时代，人们的身份、社会关系、资产往往以数据形式呈现，一旦这些信息遭到泄露，互联网用户就可能遭到针性的网络诈骗，造成不可估量的损失。

　　《报告》数据显示，2017年上半年，补天平台征集收录的安全漏洞中，SQL注入漏洞最数量最多，占比达29.5%，作为可以泄露数据库的漏洞，黑客一旦利用它被拖，就可能泄露用户信息。此外，还有11.8%的信息泄露漏洞，将直接威胁计算机用户的个人信息安全。

　　值得注意的是，这些被征集的网站漏洞中，仍旧有23.3%在发现后没有被及时修复，给用户信息安全造成风险。因此，用户的安全防范意识还需要不断提高。

　　快速发展地区风险大北上安全广隐患集中

　　对于各种漏洞的地域分布，《报告》也进行了详细的分析研究，其中，经济发展快的城市和地区的漏洞安全风险较为严重，尤其是北上广等一线城市，安全隐患尤为集中。

　　《报告》数据显示，北京、广东、浙江、上海等10个漏洞收录靠前省份的收录综合占据了74%的比重，其中单北京就占了总量26.3%。这些地区正是我国网络发展最迅速的地区，也是互联网公司最集中的地区。重视技术的进步却忽视安全防御，可能是导致更多的安全隐患和风险集中在这些地区的原因。

　　安全专业人才缺口严重360开启人才培养计划

　　漏洞挖据的关键是人，《报告》显示，2017年上半年，共有2781名白帽子向补天平台提交有效漏洞13356个(其中公益SRC收录10771个，私有SRC收录2585个)，总计获得奖金247.9万元。这些白帽子中， “90后”占了75.2%，构成白帽子的绝对主力。

　　随着互联网的快速发展，白帽子等专业的网络安全人才的越来越重要。目前我国网络安全人才的需求已达到70万，但每年高校培养的信息安全专业人才仅有3万余人，缺口巨大，因此，网络安全人才的培养与建设已迫在眉睫。

　　面对巨大的人才缺口，补天漏洞响应从2016年开始发起补天安全人才培养计划，在全国七个城市10余所高校举行培训沙龙活动，并同期开通线上课程。技术提议涵盖web、无线、安卓等多方面，开展具有实操性、针对性的技能提升培训。

　　如果说网络安全是一场战役，那么挖掘利用漏洞并做好防护就是做战略部署前的侦查活动，而专业的信息安全专业人才就是侦查员。补天漏洞响应平台作为中国最大的漏洞检测与响应平台，以协同保护全社会网络安全为使命，正在成长为安全爱好者分享交流漏洞挖掘与安全攻防的交流平台。