首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物 工具 安全基础设施 推广 公告 教育

2016网络空间安全态势之重要WEB应用安全分析报告

2016网络空间安全态势之重要WEB应用安全分析报告 - E安全

网络安全态势感知是根据网络安全监测数据进行提取、分析,并结合最新安全威胁情报、安全预警,对某个范围/行业整体的安全状态进行分析预测,对于提高网络安全监管单位的监控能力、应急响应能力、预测网络发展趋势有重要的意义。

全球网络安全500强企业安恒信息近日正式发布了《2016网络空间安全态势之重要WEB应用安全分析报告》,2016年,安恒信息风暴中心持续对全国重点行业(政务、教育、金融、医疗)的405965个重要网站及信息系统做全面的监测与分析,该报告将从基础信息普查角度分析当前重要站点使用的操作系统、WEB服务器类型,并分析软件版本过低,或开放高危端口等不安全操作;从漏洞维度研究互联网重要站点的典型漏洞类型及占比,从安全事件看当前互联网站点被成功攻击案例;除此之外,该报告选取2016年典型的0day漏洞做简单分析,并抽取三个典型问题:基础备案信息、钓鱼站点、僵尸站点等进行分析,分析当前站点管理方面存在的安全隐患。

全国站点区域分布情况

根据安恒风暴中心对全国405965个重要站点进行监测,并结合区域文化、经济等因素分析,发现经济文化较为发达区域,如江苏、浙江、山东、广东等区域,其站点数量相对较多。

1.jpg

站点安全漏洞分析

2016年度,安恒信息风暴中心共发现405965个全国重要站点的安全漏洞共发现漏洞361472个。在发现的全部漏洞中,高危漏洞41686个,占漏洞总数的11.53%;中危漏洞21651个,占漏洞总数的5.99%;低危漏洞298135个,占漏洞总数的82.48%。
各级漏洞的数量与占比分布情况如图所示。

2016网络空间安全态势之重要WEB应用安全分析报告 - E安全

根据漏洞成因对这些漏洞进行分类,得到数量排名前十的漏洞,如下:

2016网络空间安全态势之重要WEB应用安全分析报告 - E安全

图中显示,敏感信息泄露型漏洞显著高于其他漏洞,高达20余万个,占全部漏洞总数的57.55%;排名第二和第三的漏洞分别是敏感关键字和敏感路径漏洞,数量分别是3万和2万多个。前三类漏洞占了全部漏洞的比例高达74.28%。

这充分说明全国重要站点安全运维水平低下所导致的网站系统、服务器、数据库等不当配置,为入侵者的进一步定点精准入侵提供了充分的攻击情报基础。

站点安全事件分析

2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除后门木马、及时检查站点安全状态,并采取合理的安全措施防护此类事件再次发生。根据风暴中心2016年度的监测结果来看,仅已通知告警的安全事件就达1230件,其中站点受暗链影响较为严重,达到930件。其中已提交并正式通报的安全事件具体类型分布可见下图:

2016网络空间安全态势之重要WEB应用安全分析报告 - E安全


总体来看,绝大多数单位将大量的投资花费在网络和服务器的安全上,还没有从真正意义上保证WEB应用本身的安全,给黑客以可乘之机。

WEB威胁的最终目的是窃取信息获取利益,面对来势汹汹的WEB威胁,绝大多数机构或企业并没有真正意识到其中的危机。本报告将有助于政府或企事业单位深入了解WEB应用的脆弱性、所面临的安全威胁,增强WEB用户对信息安全问题的重视程度,提升WEB应用安全的发展。同时,本报告对于政府部门或行业政策的制订者,以及互联网WEB应用安全的产品及服务供应商具有一定的参考价值。

E安全读者可以点击http://t.cn/RMs8THy 下载PDF报告完整版

综合版《2016年中国网络空间年报》不提供在线下载,如有需要可联系安恒信息工作人员获取,垂询热线:400-6059-110

相关阅读:

2016网络空间安全态势之工控安全报告

2016网络空间安全态势之物联网安全报告