最新發(fā)布的《2016上半年中國網站安全報告》針對2016年上半年網站漏洞�、威脅情報、攻擊安全����、安全事件、安全熱點問題����、安全管理現狀等進行了詳細分析,并給出了網站安全運營管理建議���。
據悉����,《2016上半年中國網站安全報告》聯合監(jiān)測了全國各行業(yè)382,947個網站�,共發(fā)現網站安全漏洞14,805,185個,威脅攻擊事件283,615,479起,網站安全事件23,529起���。
中國電信北研院安全技術與應用產品線技術專家牛劍鋒發(fā)布《報告》
《報告》指出,2016年上半年全國網站安全體現出以下幾個特點���。
1���、網站資產管理存在缺失或不足
2016年上半年,通過對200余個企業(yè)集團�、二/三級單位、政府機構以發(fā)放問卷的方式進行調研��,了解到當前幾乎半的政企單位網站所有缺乏對網站資產的定期盤點和變更管理���,導致存在大量安全隱患的網站未經過上線檢查就直接暴露在互聯網上�,且這些網站系統(tǒng)大多沒有采取任何安全防護措施����,甚至暴露了很多非80端口,如21端口(FTP服務)�、3389端口(Windows遠程桌面服務)、3360端口(MySQL數據庫服務)�、22端口(SSH服務)等,這些端口暴露到互聯網�,非常容易被黑客利用�����。
2��、大多數站點存安全漏洞和隱患
相比2015年上半年��,2016年上半年高危漏洞占比有所增加�。2015年上半年監(jiān)測發(fā)現每個網站平均漏洞達658個�����,其中高危漏洞為7個����。2016年上半年監(jiān)測的網站數據顯示,平均每個網站漏洞達773個�,其中高危漏洞達22個。
從行業(yè)分布來看���,地方企業(yè)占比最高�����,運營商���、政府教育及醫(yī)療行業(yè)存在較多問題��。漏洞的行政屬性較為明顯�,區(qū)縣及以下單位問題最多�,合計有252969個高危漏洞�,其次是各省市級單位,共曝出108722個高危漏洞����。
3、網站威脅形勢嚴峻
2016年1-6月��,通過對382947個站點監(jiān)測發(fā)現�����,Web威脅攻擊時間多達283615479次�,平均每個站點每月遭受約124次攻擊。其中占比較高的是服務器信息竊取�、SQL注入攻擊、跨站攻擊�����、路徑穿越攻擊以及自定義攻擊,攻擊手段繁雜����,并且一次完整的入侵過程都會結合多種攻擊方式。攻擊目標以管理登錄頁面��、搜索頁面��、下載頁面為主�����,可以看出攻擊者的目的仍然以獲取完整的控制權為主�����。
4�����、網站安全事件頻發(fā)
2016年上半年�����,通過對樣本網站持續(xù)監(jiān)測,一共發(fā)現了23529次安全事件�����,平均每天130起�����。這些安全事件主要集中在網站可用性通斷���、DNS解析異常、暗鏈事件三大內容上�,其中,檢測出的網站可用性通斷事件高達18649次����,占整體安全事件的79.3%,其余分別是網站DNS解析異常3137次�、暗鏈事件861次、網頁篡改618次�����、網頁敏感信息泄漏事件158次��。這些安全事件主要分布在能源及運營商行業(yè)用戶。從行政角度��,區(qū)縣及以下單位事件數量明顯高于部委�����、集團��、省市級單位��,而省市級單位的安全事件又遠高于部委�、集團總部級單位。
綠盟科技SaaS事業(yè)部技術總監(jiān)侯奎宇
發(fā)布會上��,綠盟科技SaaS事業(yè)部技術總監(jiān)侯奎宇進行了“綠盟云網站安全解決之道”的專題演講��,剖析了當前的網站安全形勢�,分析了網站安全威脅,并給出網站安全SaaS解決方案����。
安恒信息北方區(qū)技術總監(jiān)林明峰
安恒信息北方區(qū)技術總監(jiān)林明峰在“云安全實踐”的專題演講中表示,安恒在網站檢測��、安全情報等方面體現了很大的能力����,安恒希望通過和安全幫合作進一步擴大安全服務能力����,在安全幫服務上發(fā)布更多產品�����,和電信達成更多合作�,幫助更多企業(yè)和組織實現信息系統(tǒng)安全建設。
