半數網站都有漏洞北京受攻擊全國最多

    12月22日，360互聯網安全中心發布《中國網站安全報告（2015）》，對網站漏洞、后門情況，漏洞遭受攻擊情況、以及個人信息情況等進行了總體研究，報告顯示，網站漏洞仍然比較嚴重，并且修復率不到一成，北京成為遭受漏洞攻擊最為嚴重地區。
 
    40%網站存在漏洞

    報告稱，2015年全年（截至11月18日），360互聯網安全中心網站安全檢測平臺共掃描各類網站231.2萬個，其中，掃出存在漏洞的網站101.5萬個，占比為43.9%，較2014年的61.7萬個增長了64.5%。其中，掃出存在高危漏洞的網站30.8萬個，占掃描網站總數的13.3%，較2014年的27.9萬個增長了10.4%。

    大數據顯示，2015年全年（截至11月18日）360網站安全檢測平臺全年共掃描發現網站高危漏洞265.1萬次，約為2014年462.1萬次的一半，平均每月掃出高危漏洞約24.1萬次；平均每天掃出高危漏洞約0.8萬次。

    雖然數量下降，不過，由于2014年掃描網站164.2萬個，只有2015年的71%，因此，2015年，高中危漏洞的掃出比例大幅下降。

    360互聯網安全中心專家裴智勇博士介紹，從各種漏洞類型來看，跨站腳本攻擊漏洞（21.9%）、異常頁面導致服務器路徑泄露（11.8%）和SQL注入漏洞（16.0%）這三類安全漏洞是占比最高的網站安全漏洞，三者之和接近網站所有漏洞檢出總次數的一半。相比2014年，“異常頁面導致服務器路徑泄露”之漏洞是今年的“黑馬”漏洞，超過SQL注入漏洞而躍居第二。

    黑客攻擊網站 北京受傷最重

    黑客對網站發動攻擊包括用漏洞入侵網站，對網站發動流量攻擊，或者在網站內植入木馬，引導網民轉向惡意網址。

    報告稱，2015年全年（截至11月18日），360網站衛士共攔截各類網站漏洞攻擊16.5億次，較2014年7.0億次，增長了約135.7%。2015年平均每天攔截漏洞攻擊512.2萬次。3月、4月和10月較2014年出現大幅增長，其他月份稍顯平安。

    從發起漏洞攻擊IP的地域分布來看，90.2%攻擊者IP來自境內地區，來自境外的攻擊為9.8%。

    從境內攻擊者的IP地域分布來看，31.5%來自浙江，居于首位；其次分別為江蘇（28.3%）、北京（19.0%）、江西（2.4%）、河北（2.3%）、廣東（2.1%）、香港（2.0%）。

    從境外攻擊者的IP地域分布來看，43.5%來自法國，其次是美國（29.8%）、荷蘭（3.0%）。

    從遭到漏洞攻擊IP的地域分布來看，95.7%受害者IP為自境內地區，境外的受害者僅為4.3%。
從境內受害者的IP地域分布來看，17.7%來自北京，居于首位；其次分別為江蘇（13.2%）、山東（11.0%）、廣東（10.9%）、浙江（10.1%）、河南（9.5%）、四川（9.4%）等。

    從境外受害者的IP地域分布來看，54.0%的受害者來自美國，排在第一位。其次是韓國（24.5%）、日本（11.5%）、亞洲其他地區（2.0%）、北美地區（1.6%）。

    按照被攻擊次數來說，2015年遭到漏洞攻擊的十大城市遭受攻擊超過12億次，其中，北京遭到攻擊的IP最多，高達2.9億個，居于全國首位；其次是蘇州（1.6億次）、上海（1.5億次）、鄭州（1.5億次）、青島（1.4億次）、杭州（1.1億次）、東莞（1.0億次）、綿陽（5680萬次）、深圳（2976萬次）和濟南（2466萬次）。

    由于大部分黑客都是晝伏夜出的夜貓子，他們漏洞攻擊多集中于下午13-18點之間，在此期間的漏洞攻擊次數占全天漏洞攻擊總次數的32.6%，在13點達到最高峰。而凌晨3-6點是漏洞攻擊比較稀少的時段，凌晨6點最為安全。總體而言，下午要多于上午，凌晨時候，夜貓子黑客最為疲憊，網站最安全。

    危害 ：數十億條個人信息面臨泄露

    2015年，關于網站被拖庫、撞庫的新聞時時見諸于各類媒體。報告統計顯示，在2015年（截至2015年11月18日）中國最大的漏洞播報平臺補天平臺收錄的網站漏洞中，共有1410個漏洞可能造成網站上的個人信息泄露，這些漏洞共涉及網站1282個，可能泄露的個人信息量（本章下文簡稱泄露信息量）高達55.3億條。這一數字較2014年的23.6億條翻了一倍還多。如果按照中國網民總數為6.5億計算，這一數字也就意味著，僅僅在2015年這一年，平均每個中國網民就至少可能泄漏了8條以上的個人信息。

    360互聯網安全中心專家對IT/互聯網、電信運營商、金融理財、汽車交通、教育培訓和醫療衛生等六個重點領域網站存在的漏洞進行分析，統計發現泄露信息漏洞共可導致約11.5億條個人信息泄露。其中：IT/互聯網網站可能泄漏的個人信息最多，為5.23億條；其次是醫療衛生網站2.40億條；電信運營商1.97億條；金融理財網站 1.10億條；汽車交通網站5418萬條；教育培訓2462萬條。

    從可能泄露的個人信息量網站性質來看，企業網站可能泄露的信息量為25.9億條，，政府、事業單位、個人和社會團體可能泄露的信息量也分別達到了9.5億、3.7億、0.4億和0.2億。

    “事實上，只要是人編寫的程序，都有可能出現漏洞，只要及時修復，就很大程度上避免信息泄露。”補天漏洞響應平臺專家鮑宇介紹，雖然漏洞頻繁，但是網站漏洞修復率過低，是目前網站安全面臨的一個重大問題。補天平臺在收到白帽子報告的網站安全漏洞后，都會在第一時間通過網站官網上提供的聯系方式向相關網站報告漏洞及漏洞細節。但2015年的統計數據顯示，網站在收到相關漏洞報告后，平均修復率仍然不超過10%，有的行業甚至低于5%。
    政府網站的漏洞修復率在所有備案類型網站中排名墊底，僅為1.8%，這與普通網民對政府網站的信賴度相對較高的情況非常不相稱。

    因漏洞 個人信息泄露將雪崩出現
    報告指出，目前，個人信息的泄漏已經成為電信騷擾和網絡盜號、網絡詐騙等網絡犯罪頻發的首要原因。越來越多的黑客和犯罪分子參與到個人信息的盜竊和交易當中。未來三至五年內，個人信息的泄漏可能仍將呈現不可逆的，雪崩式的增長。

    在萬物互聯時代，物聯網、車聯網、互聯網+金融、O2O創業等領域方興未艾，事實證明，
廠商重視客戶端應用界面的快速上線，而忽略了應用背后常規、基礎的安全保障功能，以致對安全投入成本跟不上，導致大量應用及網站服務器端漏洞曝出。

    專家：建議網站加入漏洞 播報平臺
    裴智勇博士介紹，對于網站出現大量漏洞的狀況，鑒于多數通用型漏洞屬于可以檢測的已知漏洞，而事件型漏洞則存在一定的偶發性和不可預測性。網站加入補天平臺，通常意味著網站會安排專人對補天平臺報告的漏洞進行響應和處理，這在一定程度上反應了網站對安全漏洞的重視程度，統計顯示，在2015年被報告漏洞的備案網站中，有22.0%的網站已加入補天平臺，還有近八成的網站未加入。

    僅僅通過一般的、通用的安全檢測手段并不足以及時的發現網站潛在的安全問題。第三方平臺對網站漏洞的收集和報告，對于正規的備案網站來說尤為重要。

    裴智勇博士介紹，2015年，“數據驅動安全”的全新技術理念正在逐步取代傳統的被動防御、靜態防御、孤立防御的技術理念，成為廣泛認可的重要的網絡安全發展趨勢，并且已經取得了一系列的重要成果。威脅情報將是未來一兩年內，最具發展潛力的新興安全服務技術。人工智能、機器學習以及大數據可視化等一系列新興的網絡安全技術，將成為網絡安全企業競爭力的核心體現。