近日，360互聯(lián)網(wǎng)安全中心發(fā)布了國內(nèi)了《2015年度中國網(wǎng)站安全報(bào)告》。主要內(nèi)容摘要如下：

個(gè)人信息泄漏

補(bǔ)天平臺統(tǒng)計(jì)顯示，2015年共有1410個(gè)漏洞可能造成網(wǎng)站上的個(gè)人信息泄露，這些漏洞共涉及網(wǎng)站1282個(gè)，可能或已造成泄露的個(gè)人信息量高達(dá)55.3億條。

補(bǔ)天平臺中的泄露信息漏洞中，共有4個(gè)漏洞可以造成1億條以上的個(gè)人信息泄露，可能泄露個(gè)人信息量在6000萬到1億之間的漏洞共有11個(gè)。

存在泄露信息漏洞的1068個(gè)備案網(wǎng)站中，企業(yè)網(wǎng)站占比最高，達(dá)63.0%，政府、事業(yè)單位、個(gè)人、社會團(tuán)體網(wǎng)站的占比分別為20.1%、11.8%、4.1%和1.1%。

行業(yè)對比方面，IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個(gè)人信息最多，為5.23億條；其次是醫(yī)療衛(wèi)生網(wǎng)站2.40億條；電信運(yùn)營商1.97億條；金融理財(cái)網(wǎng)站1.10億條；汽車交通網(wǎng)站5418萬條；教育培訓(xùn)2462萬條。

行業(yè)對比方面，從平均每個(gè)漏洞泄露的信息量來看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個(gè)泄露信息漏洞可能導(dǎo)致961萬條個(gè)人信息泄露，其次是電信運(yùn)營商563萬條/洞， IT/互聯(lián)網(wǎng)291萬條/洞。

行業(yè)對比方面，從泄露信息漏洞的修復(fù)率來看，金融理財(cái)網(wǎng)站的修復(fù)率最高，達(dá)34.1%；其次是IT/互聯(lián)網(wǎng)10.6%；接下來依次是汽車交通6.9%，電信運(yùn)營商2.9%。醫(yī)療衛(wèi)生和教育培訓(xùn)類網(wǎng)站的泄露信息漏洞修復(fù)率為0。

網(wǎng)站安全性行業(yè)分析

2015年補(bǔ)天平臺已收錄的網(wǎng)站漏洞中，備案網(wǎng)站的漏洞為28040個(gè)，占比為73.9%，未備案或備案已過期的網(wǎng)站漏洞9903個(gè)，占比為26.1%。漏洞共涉及22084個(gè)網(wǎng)站。

從漏洞性質(zhì)看，沒有備案的網(wǎng)站存在的漏洞中，通用型漏洞比例達(dá)到52.1%，而備案網(wǎng)站中通用型漏洞比例很低，僅為0.2%，說明備案網(wǎng)站的安全性明顯高于未備案網(wǎng)站。

從五種不同備案類型看，企業(yè)網(wǎng)站報(bào)告的漏洞最多，達(dá)14981個(gè)，高危漏洞10092個(gè)，漏洞涉及11453家企業(yè)網(wǎng)站；其次是事業(yè)單位網(wǎng)站，被報(bào)漏洞6504個(gè)，高危漏洞4339個(gè)，漏洞涉及5179家事業(yè)單位網(wǎng)站；政府網(wǎng)站排第三，被報(bào)漏洞3941個(gè)，高危漏洞2805個(gè)，漏洞涉及3315家政府網(wǎng)站。

從修復(fù)率上看，企業(yè)網(wǎng)站的修復(fù)率是最高的，但也只有6.5%；政府網(wǎng)站的漏洞修復(fù)率在所有備案類型網(wǎng)站中排名墊底，僅為1.8%；這與普通網(wǎng)民對政府網(wǎng)站的信賴度相對較高的情況非常不相稱。

在七類行業(yè)網(wǎng)站中，共有漏洞5995個(gè)，涉及網(wǎng)站4280個(gè)。IT/互聯(lián)網(wǎng)行業(yè)網(wǎng)站被報(bào)告的漏洞最多，達(dá)到2330個(gè)，高危漏洞1463個(gè)，漏洞涉及網(wǎng)站1535個(gè)；其次為教育培訓(xùn)，被報(bào)漏洞1169個(gè)，高危漏洞741個(gè)，漏洞涉及網(wǎng)站914個(gè)；汽車交通排第三，被報(bào)漏洞799個(gè)，高危漏洞525個(gè)，漏洞涉及網(wǎng)站625個(gè)。

從修復(fù)率上看，金融行業(yè)網(wǎng)站的修復(fù)率最高，但也僅為17.3%。其他修復(fù)率超過10%的行業(yè)有兩個(gè)，分別為IT/互聯(lián)網(wǎng)、汽車交通。而教育、能源、醫(yī)療衛(wèi)生三個(gè)細(xì)分行業(yè)的修復(fù)情況不容樂觀，修復(fù)率僅約為1.8%-3.4%之間。

網(wǎng)站漏洞

2015年全年，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個(gè)；其中，存在安全漏洞的網(wǎng)站為101.5萬個(gè)，占掃描網(wǎng)站總數(shù)的43.9%；存在高危安全漏洞的網(wǎng)站共有30.8萬個(gè)，占掃描網(wǎng)站總數(shù)的13.0%。

360網(wǎng)站安全檢測平臺全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞265.1萬次，較2014年的462.1萬次下降了約一半；掃描發(fā)現(xiàn)網(wǎng)站高危漏洞的比例為21.7%，中危占10.2%，低危占68.1%。與2014年相比，今年高、中危漏洞掃出比例大幅下降。

2015年（截至11月18日）補(bǔ)天共收錄的各類網(wǎng)站漏洞總數(shù)為37943個(gè)，平均每月3161個(gè)。其中，高危漏洞占比為71.2%；從漏洞性質(zhì)上看，事件型漏洞占86.3%，通用型漏洞占比13.7%。

網(wǎng)站修復(fù)安全漏洞比例極低，僅為4.7%；在已修復(fù)的比例中，24小時(shí)內(nèi)修復(fù)的比例為10.3%，2-3天內(nèi)修復(fù)的比例為14.1%，4-7天內(nèi)修復(fù)的比例為23.8%，其余修復(fù)周期大于一周（7天）的占一半以上。

網(wǎng)站篡改與后門

2015年全年，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個(gè)，其中，被篡改的網(wǎng)站8.4萬個(gè)，約占掃描網(wǎng)站總數(shù)的3.6%，網(wǎng)站遭篡改情況明顯好轉(zhuǎn)。

2015年全年，360網(wǎng)站安全檢測共對21854臺網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門檢測，覆蓋網(wǎng)站322.3萬個(gè)，掃描共發(fā)現(xiàn)約4097臺服務(wù)器存在后門，占所有掃描網(wǎng)站服務(wù)器的18.7%。

2015已掃出各類網(wǎng)站后門文件樣本數(shù)量多達(dá)858.1萬個(gè)，與2014年“一句話木馬”占到了網(wǎng)站后門69.2%的情況不同，今年惡意SEO后門的占比最高，為45.0%；不過感染網(wǎng)站服務(wù)器最多的木馬依然是“一句話木馬”。

漏洞攻擊

2015年全年，360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊16.5億次，平均每月攔截漏洞攻擊近1.4億次。

2015年平均每月有17.1萬個(gè)網(wǎng)站遭遇各類漏洞攻擊，其中，1月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個(gè)月，平均每天約有8290個(gè)網(wǎng)站遭到漏洞攻擊。

從攻擊類型看，2015年，SQL注入攻擊最多，攔截次數(shù)超過8億次，其次為Nginx漏洞攻擊、命令注入攻擊（Common Vulnerability）。

從發(fā)起漏洞攻擊IP的地域分布來看，90.2%攻擊者IP來自境內(nèi)地區(qū)，來自境外的攻擊僅為9.8%，境內(nèi)占比較2014年增長1.2個(gè)百分點(diǎn)；其中，境內(nèi)攻擊者IP歸屬地排名前三依次是：浙江31.5%、江蘇28.3%、北京19.0%。境外攻擊者IP歸屬地排名前三依次是：法國43.5%、美國29.8%、荷蘭3.0%。

從遭到漏洞攻擊IP的地域分布來看，95.7%受害者IP為境內(nèi)地區(qū)IP，境外的受害者僅為4.3%。其中，境內(nèi)遭到漏洞攻擊最多的地區(qū)是北京17.7%、江蘇13.2%和山東11.0%。

網(wǎng)站安全熱點(diǎn)與趨勢

2015年網(wǎng)站安全熱點(diǎn)問題主要集中在以下幾個(gè)方面：信息泄漏、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、P2P金融、O2O本地服務(wù)、Java反序列化漏洞、weblogic弱口令漏洞和登陸驗(yàn)證機(jī)制缺陷等幾個(gè)方面。

2015年網(wǎng)站安全技術(shù)主要有以下幾個(gè)前沿趨勢：一、數(shù)據(jù)驅(qū)動安全將引領(lǐng)技術(shù)潮流；二、威脅情報(bào)將成市場關(guān)注的焦點(diǎn)；三、機(jī)器學(xué)習(xí)與可視化技術(shù)迅速發(fā)展；四、云平臺將涌現(xiàn)更多“安全即服務(wù)”形式。