《2016年中国互联网安全报告》近半数网站存漏洞

2017-02-20 14:20:00 作者:ym 分类 : 比特网

  近日360互联网安全中心发布了《2016年中国互联网安全报告》(以下简称《报告》),《报告》对个人及政企所面临的恶意程序、钓鱼网站、电信骚扰、安卓系统漏洞、网络诈骗、IoT安全、网站安全、DDOS攻击、网络扫描、邮件安全、工控安全、APT、应急响应等安全威胁情况做了全面介绍,报告显示,国内46.3%的网站存在安全漏洞。

  近半数网站存漏洞,安全形势不容乐观

  在对197.9万个网站漏洞检查中发现,46.3%的网站有漏洞,其中高危漏洞占7.1%。从漏洞统计数据看有将近一半的网站都存在网站漏洞,网站安全形势不容乐观。

说明: 幻灯片88

  网站漏洞的分布情况如下图所示,其中应用程序错误信息漏洞、异常页面导致的服务器路径泄露漏洞和跨站脚本攻击漏洞占据很大比例

说明: 幻灯片3

  网站有漏洞说明网站有一定的安全威胁,而如果网站漏洞可以被利用并造成有效攻击那后果就比较严重了。2016年全国白帽子提交到补天平台的37188个漏洞中93.9%的漏洞是事件型漏洞,是网站漏洞可以被有效利用甚至被入侵的过程性案例事件。360补天平台的漏洞统计对网站管理员来讲具有重要的借鉴参考价值。

说明: 幻灯片92

  从补天平台的漏洞利用分布中可以看到SQL注入占据了半壁江山,说明黑客通过SQL注入攻击方式对网站进行暴库、脱库以获取存放在网站数据库中的敏感业务数据信息和网站管理员账户信息是攻击者对网站进行攻击的重要目的和主要攻击方式。这也和SQL注入工具更加自动化、智能化并且非常容易获取有关。

说明: 幻灯片6

  4.2%的网站遭到恶意篡改 网站挂马再次升温

  360网站云防护系统现已接入全国66万个一级域名和150万个网站域名,一级域名数量占CNNIC统计中国备案网站域名数量450万个的15%,是全国最大的网站安全防护系统。以下是360云防护系统的漏洞拦截分布情况,从分布图中可见SQL注入攻击在网站攻击方式中占据很大比例,其次是扫描器的扫描攻击。

说明: 幻灯片10

  在对197.9万个网站的监测数据中发现4.2%的网站遭到了恶意篡改,主要是页面图片或页面内容的篡改,而有些网站被插入了色情类或博彩类的链接,或者直接在网站代码中插入暗链。

说明: 幻灯片106

  如果网站有漏洞,可能还会被攻击者挂马,当用户在访问网站页面时就会中招,比如窃取用户隐私,弹出色情博彩类弹窗广告,甚至使用勒索病毒勒索用户钱财等。

说明: 综合报告:宽图模版

  由于特殊原因本次《报告》未统计网站后门情况,为了让大家更完整的了解网站安全威胁情况,我们翻出了2015年的《中国网站安全报告》来参考。从2015年的《报告》中可以看出很大比例的网站被黑客留下了后门程序,这些后门程序主要包括ASP木马、JSP木马、PHP木马、一句话木马等WebShell木马后门,攻击者可以通过木马后门控制网站服务器甚至可以以网站服务器为跳板继续对内部网络进行渗透入侵。

  如果网站有漏洞则网站就有被入侵的风险,而如果无论网站有没有漏洞我都要打你,这就有点耍流氓了,DDOS攻击就是这样。《报告》给出的DDOS攻击流量分布和带宽分布着实让人挠头,因为其70%的DDOS攻击流量竟然小于1Mb,这和我们脑海里的大流量的洪水猛兽式的流量攻击好像不太相符,这是基于攻击技术特征而不是基于流量大小和攻击结果标准划分的结果,是从监测技术的角度看DDOS攻击。

说明: 幻灯片114

  我们找了另外一家知名抗DDOS厂商最近发布的DDOS报告供大家参考,我们可以从防护的角度来看DDOS攻击。从下图的统计中发现百分九十以上的大流量DDOS攻击低于50G,而高于100G的DDOS攻击寥寥无几。

  《报告》显示遭受DDOS攻击后23%的网站会被“打死”而无法访问,而18%的“没死”的网站访问速度会受到严重影响。

说明: 幻灯片2

  360网站SaaS云安全方案 全面保护网站安全

  360以保护国内网站安全为己任,从2011年起分别推出了360网站安全云防护系统网站卫士和360网站安全检测系统,并永久免费,此两套系统至今已成为国内最大的网站安全防护和漏洞检测系统。无论是技术先进性、网站安全防护经验和用户数量国内没有其他厂商可以与之匹敌,说其中国网站安全的基石,实至名归。360于2014年推出了面向企业网站安全防护的360安域Web应用安全云防护系统(以下简称安域)和360网站云监测系统为企业用户提供Web安全服务。相对于免费版,企业版网站防护功能更加全面,防护能力更强,同时提供7*24小时的企业级支撑服务。

  360在Web安全方面以云防护服务为核心,以云检测和云监测服务为辅助,为用户网站在云端提供事前扫描+事中防护+事后监测的全方位的网站安全服务。

  其中安域云防护系统具有如下特点:

  u 云端账号交付,用户无需部署硬件设备,只需修改DNS,指向安域云防护系统即可为网站提供云端替身防护,并隐藏服务器信息,比如服务器IP地址等信息,以防止黑客对网站进行各种攻击。

  u Web攻击防护,可以防护网站面临的SQL注入攻击、跨站脚本攻击、命令注入攻击、Web Shell木马后门上传、服务器敏感信息泄露、扫描攻击等常见的Web攻击,使网站免遭恶意篡改、跨站钓鱼、信息泄露、服务器被恶意控制等应用层网站安全威胁。

  u 抗DDOS攻击,全国几十个高防机房,可为用户网站提供高达600G的云端DDOS攻击清洗防护服务和100G的DNS高防解析服务。当检测到黑客对网站的CC攻击时,云防护系统可以基于自动流量建模技术自动对CC攻击进行阻断,同时也可以根据用户配置的防护策略做定制化的防护。

  u 缓存加速,将服务器响应流量按照用户配置策略缓存在全国各地的节点机房(用户可以自定义是否缓存),并结合系统内置的全局负载策略,就近选择优质链路节点机房响应客户请求,加快数据传输速度,提升用户体验。

  u 重保只读,可以将用户网站页面文件内容缓存到各节点机房,当服务器出现故障比如宕机时,依然可以使用缓存内容继续对外提供网站访问服务。

  u 网页防篡改,可以通过在服务器上安装客户端程序,对网站服务器文件进行保护,确保黑客无法对网站文件进行增、删、改等操作,而管理员可以通过内网的备份服务器进行正常更新同步。

  u 运用大数据分析技术,提供丰富的Web攻击防护报表。

说明: C:\Users\zhangerming\Desktop\安域V2.3-上市营销资料\招标参数\参数截图\产品截图\报表1.png

  360网站云监测系统也是云端账号方式交付用户,可以在云端第一时间帮助用户实时监测到以下的网站安全问题:

  Ø 网站存在易被攻击的Web漏洞。

  Ø 网站图片、视频、文件等内容被恶意篡改。

  Ø 网站文件被挂木马。

  Ø 网站被插入色情类、博彩类等暗链接。

  Ø 网站在全国部分地区无法访问异常。

  Ø 网站遭受到DDOS攻击。

  Ø 网站服务器上运行着管理员未知的网站域名资产。

  Ø 网站被补天等第三方漏洞平台披露出攻击事件。

  Ø 互联网上存在和此网站内容相似的钓鱼网站。

  Ø 网站上有恶意敏感词内容。

  360网站SaaS云安全解决方案为用户网站提供漏洞扫描+Web攻击防护+DDOS防护+网页篡改防护+网站安全监测的全方位服务,再结合安全服务,通过授权专业的网站安全攻防专家对已有的技术及管理的安全防护措施进行渗透测试验证,就可以确保网站的安全。

  传统的网站安全方案中以抗DDOS+防火墙+IPS+WAF为核心防护设备,以漏洞扫描器、网站监控平台等设备进行安全监测。360网站SaaS云安全解决方案和传统方案相比有着较大的优势,对比如下图:

360网站SaaS云安全解决方案

传统方案

能适配公有云、私有云、电子政务云、行业云等云部署模式。

在云模式下无法部署。

能对0day漏洞进行及时响应,并统一升级规则。

厂商规则更新速度慢、用户设备规则更新不及时。

配置简单,并提供7*24小时在线后台支持,提供策略优化服务。

策略配置复杂,运维困难。

规则根据白帽子补天平台提交的安全事件中分析提取,几乎无误报。

误报率高,日志报表晦涩难懂

提供600G储备带宽,全国几十个机房负载分担抗DDOS攻击。

出口带宽被打满后抗DDOS设备无能为力

可以实时监测DDOS攻击,拥有360搜索,国内市场占有率接近30%,可以真正的分析钓鱼网站。

无法对DDOS攻击进行实时监测,没有搜索引擎结果配合无法真正做到钓鱼网站监测。

以安全服务形式按需按年购买

硬件设备。

 

  以大数据、云计算和移动互联为特征的“互联网+”正在改变安全行业,安全威胁的“量”和“质”,都发生了根本性的变化,传统的安全防御体系已难以解决万物互联时代的网站安全问题。360解决网站安全的优势是数据驱动安全,即如何充分、有效利用大数据,并将传统的网站安全防御体系轻量化,从而更高效、更精准的解决大数据时代的网站安全问题。

  作为国内最大的互联网安全公司,360在安全数据上的积累是传统安全公司和其他互联网公司所无法比拟的。360的DNS库拥有90+亿条的DNS解析记录,超过100个外部数据源获取数据;每天查询300亿的URL记录,每天拦截的钓鱼网站数1.4亿;拥有95亿的样本库,每天新增样本900万;漏洞库超过47万,每天增加400个;累计监测全国18亿个网站页面,发现1.8亿的网站页面漏洞;360网站安全监测平台支持7300+种漏洞的检测,每天为用户发现50000个漏洞;360拥有全国最大的第三方漏洞平台补天平台,平台汇聚了全国19000多名实名认证白帽子,累计收集了将近8万多个网站漏洞;360拥有全国最大的网站云防护平台,同时为超过150万个网站提供实时攻击防护,累计辨识3400多万个后门;累计申请国内外专利8000+件。

  360利用其在网站安全技术和安全数据方面的积累出品的网站SaaS化云安全产品已经商用两年,并持续为政府、高校、教育、金融、企业、运营商等各个行业用户的网站持续的提供安全防护及监测服务。正是360在基于 SaaS 模式的 web 安全防护及监测方面的优异表现,2016年IDC在《中国 Web 应用安全市场洞察》市场《报告》中将360列入领导者象限。

  知名第三方咨询机构Gartner预测到2020年70%的网站防护将会采用SaaS化云服务的方式提供,云端防护由于其拥有独有的大数据云端协同联动防护、分布式抗拒绝服务等特点会越来越受到企业用户的青睐。网站安全云端防护的未来是光明的。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。