安恒信息:2015年中国互联网站安全报告节选
全国网站安全状况概述2015年度,根据风暴中心大数据监测平台对全国网站(不含中国港澳台地区,下同)监测结果统计,全年累积在我国内地7650087个互联网站点中检出安全漏洞共计15291010个。
其中,发现存在高危漏洞的站点25071个,占检测总数的0.327%。高危漏洞总计1174758个,占发现漏洞总数的7.68%。高危漏洞类型中,直接危害与波及范围、影响最大的高危漏洞仍为SQL注入漏洞,共检出198796个,占发现高危漏洞总数的16.92%。
图 全年各省网站漏洞总数及高危安全漏洞数量
如上图所示,2015年度全国各省网站漏洞总数排名前三分别为江苏、广东与浙江,其中广东省高危漏洞数量占该省漏洞总数比例最高,为13.76%。
各省发现最多的高危漏洞如下图表所示:
31个省、直辖市及自治区中,18个省级行政区受SQL注入漏洞影响最为严重,占高危漏洞总数的58.06%;其他影响较大的高危漏洞还包括FCKEditor漏洞、径漏洞以及信息泄露漏洞等。
图 各省影响首位的高危漏洞统计
其中,受SQL注入漏洞影响最大的是江苏省,共在IP归属地属该省的网站中发现了42485个该类型漏洞。
受信息泄露漏洞影响最大的是江西省,共在IP归属地属该省的网站中检出34320个该类型漏洞。
受径漏洞影响最大的是广东省,共在IP归属地属该省的网站中检出37398个该类型漏洞。
另外,对省网站影响最大的高危漏洞是FCKEditor漏洞,共检出5389个。
分省高危漏洞类型与比例图表如下表所示:
图 各省高危漏洞中影响首位类型统计
行业网站安全状况分析根据我国互联网站行业分布特点与安全态势的实际需求,风暴中心选择于本报告中对我国、金融与教育行业网站安全状况进行整体监测与大范围抽样分析,监测分析结果如下。
行业网站 网站服务质量统计
为配合《关于开展第一次全国网站普查的通知》,风暴中心对全国范围内网站服务质量进行并不间断监测。对网站中各类服务异常情况进行统计,如下图表所示:
图 政务网站服务异常类型分布
由上图分析,我国政务网站服务质量异常的主要类型分别为请求无响应、服务器异常与僵尸网站,这一般是由于政务网站网络通讯链质量较差、网站服务器运维质量以及政务网期无人管理所引起的。
漏洞情况简述
2015年全年,风暴中心在对245,393个包含域名的我国政务网站进行的监测中,现漏洞8,407,679个,平均每个网站漏洞数达34.26个。
在发现的全部漏洞中,危(紧)急漏洞573,275个,占漏洞总数的6.82%;高危漏洞2,762,713个,占漏洞总数的32.86%;中危漏洞4,031,048个,占漏洞总数的47.94%;低危漏洞1,040,643个,占漏洞总数的12.38%。
各级漏洞的数量与占比分布情况如图所示。
图 全年网站安全漏洞分类数量图
图中显示,信息泄露型漏洞显著高于其他漏洞,高达300余万个,占全部漏洞总数的近40%比例;排名第二和第三的漏洞分别是指纹信息检测和关键词,数量分别是76万和66万多个。前三类漏洞占了全部漏洞的比例高达56.5%。这充分说明政务网站安全运维水平低下所导致的网站系统、服务器、数据库等不当配置,为入侵者的进一步定点精准入侵提供了充分的情报基础。
同时,在监测到的危急漏洞中,跨站脚本漏洞数量最多,达101,454个,占比20%;SQL注入类型漏洞排名第二,达114,768个,占比17.7%;排名第三的漏洞是默认后台登录,共50,821个,占比8.7%。漏洞的前TOP10如下表所示:
图 网站安全漏洞地域分布图
通过上述分析,可以看出我国网站虽整体安全态势尚可,但仍存在大量的安全漏洞,这主要是由于各政务网站的建设能力、运维能力与安全防护、管理能力参差不齐所造成的。
安全事件类型简述
风暴中心在对全国201000个网站进行全年定点安全事件监测与情况通报的工作中,共检出并确认验证安全事件8599件,人工通报次数2850次。
其中,暗链(含博彩、内容)为网站被入侵后发生比例最高的安全事件,占约80.73%的绝对比例,这充分说明网络犯罪黑色产业链已成为我国网络安全的最大;黑页(黑客入侵首页)、页面、博彩与页面植入、其他类型(网页木马与后门等)也成为我国网站已检出安全事件的重要类型
结合前节高危漏洞情况简述,网站高危漏洞遭利用后发生的数据泄露事件由于其高度隐蔽性,发生几率也很高,除采用大数据平台进行远程监测之外,选用云日志分析系统定期自动化对网站原始日志进行定点分析也是当务之急。
另外,全国网站发生安全事件按省统计的地域分布排名如下:
图 全国金融行业网站地域分布表
从统计数据和实际的情况综合分析,各地金融行业网站数量与该地经济、社会发展水平具有直接的正相关联系,上表中TOP5省份的经济建设水平明显强于其他省份。
收集金融行业站点基础指纹信息对金融行业网站的安全预警、安全评估等有着十分重要的意义,下面选取其中较为典型的两个指纹信息进行统计分析:
Web服务器类型统计
风暴中心通过对这批金融行业网站的架构信息进行识别,得到其所使用的Web服务器如图所示。
图 全国金融行业网站Web服务器类型使用情况
从图中可以看出,在我国金融行业网站中使用最广泛的Web服务器是微软公司的IIS服务器、Apache服务器、nginx、tengine、kangle,另外还有一些较少被使用的轻量级Web服务器系统。
操作系统类型统计
不同操作系统具备不同的安全体系、特征和特定漏洞,基于操作系统的0day漏洞爆发时,黑客会采用大范围的操作系统扫描技术,对特定操作系统类型的站点服务器进行自动化定向,而安全态势部门则可以通过操作系统指纹匹配对受站点进行定向预警。
因此,整体了解大量网站服务器操作系统类型对互联网站点的安全防护具有重要意义,下图为全国金融网站操作系统类型的使用情况:
图 全国金融行业网站操作系统类型使用情况
图中显示的操作系统使用情况表明Microsoft操作系统是我国金融行业网站首选的操作系统,这也与部分银行内部业务系统外包开发时,国内开发商常使用Visual Studio在Windows系统下进行开发及后续交付直接相关。
漏洞情况简述
过去一年中,共在全国4066个金融相关站点中发现34584个安全漏洞,其中发现高危漏洞的站点27个,占总数的0.66%,高危漏洞总计2829个,占发现漏洞总数的8.12%,金融行业网站安全态势总体高于政务网站。
图 金融行业网站漏洞及高危漏洞分布情况
在发现的全部漏洞中,高危漏洞2829个,占总漏洞的8.12%;中危漏洞4418个,占总漏洞的11.68%;低危漏洞12225个,占总漏洞的35.07%。
各级漏洞的分布情况如下表所示:
图 金融行业网站排名前十漏洞表
图中显示信息泄露型的漏洞显著高于其他漏洞,占据了第一与第二位。排名第三的漏洞则是SQL注入漏洞。
同时,在监测到的高危漏洞中,占比最高的仍然是信息泄露类漏洞、同时较高的还有SQL注入及XSS跨站漏洞,这反映出了国内金融行业网站在安全运维中仍存在不细致的情况,以及亟需提升的Web应用代码安全质量与安全服务全程参与的系统开发过程需求。
安全漏洞TOP10如下表所示:
图 全国教育行业网站地域分布表
从统计数据和实际的情况综合分析,各地教育行业网站的数量与该省经济发展状况及人口数量具有一定的关系,如江苏、、上海、广东、浙江都为经济发展强省与教育大省,其教育行业网站也较多;同时山东、河南都为人口大省,其教育行业机构受刚性需求影响数量较多,直接决定了其教育行业网站数量也较多。
收集教育行业网站的基础指纹信息对教育行业网站的安全预警、安全评估等有着十分重要的意义,下面选取其中较为典型的两个指纹信息进行统计分析:
Web服务器类型统计
风暴中心通过对这批教育行业网站的架构信息进行识别,得到其所使用的Web服务器类型图,如下图所示。
图 全国教育行业网站Web服务器类型使用情况
从图中可以看出,在我国教育行业网站中使用最广泛的Web服务器是微软公司的IIS服务器、Apache服务器、nginx、tengine等。同时,目前还存在大量使用低版本服务器的漏洞,相关单位及时进行整改修复。
操作系统类型统计
不同操作系统具备不同的安全体系、特征和特定漏洞,基于操作系统的0day漏洞爆发时,黑客会采用大范围的操作系统扫描技术,对特定操作系统类型的站点服务器进行自动化定向,而安全态势部门则可以通过操作系统指纹匹配对受站点进行定向预警。
因此,整体了解大量网站服务器操作系统类型对互联网站点的安全防护具有重要意义,下图为全国教育网站操作系统类型的使用情况:
图 全国教育行业网站操作系统类型使用情况
图中显示的操作系统使用情况表明Linux及Unix操作系统是我国教育行业网站首选的操作系统;同时,Win32(包含Windows Server各版本,同时不乏Windows桌面版系统用于网站服务器使用的案例存在)仍然占据很大一部分的首选份额。
漏洞情况简述
2015年,安恒信息风暴中心在对25817个国内教育行业网站进行的监测中,现漏洞192684个,平均每个教育网站漏洞数达7.46个。在发现的全部漏洞中,高危漏洞22155个,占总漏洞的11.50%,中危漏洞89652个,占总漏洞的46.32%,低危漏洞59440个,占总漏洞的30.85%。各级漏洞的分布情况如下图所示。
图 教育行业网站排名前十漏洞表
图中显示,对教育行业网站影响最大的漏洞是默认管理页面泄露及默认后台登录这一类漏洞,现接近十万个。同时,SQL注入、跨站脚本、目录遍历也都是在教育行业网站中较经常发现的漏洞类型。
高危漏洞的前TOP10如下表所示:
图 教育行业网站排名前十高危漏洞表
从以上数据不难发现,相比其他行业而言,在教育行业网站中发现的漏洞究其产生原因,更多是由于网站疏于管理(如默认后台登录),或是技术力量薄弱而未能从代码层对漏洞进行及时修复(如SQL注入)而产生。利用这些漏洞的过程技术含量不高,这些漏洞留在教育行业网站系统内部,无疑给这些网站的安全带来了极大的。
推荐: