2017年是網絡安全問題徹底暴露在全球網民視野中的一年。尤其是威脅全球的WannaCry勒索軟件事件,大至企業政府機構、小到普通網民無不感受到來自網絡攻擊的巨大殺傷力。那么,在這一年里,中國的網站安全現狀究竟如何?深信服千里目安全實驗室從漏洞行業分布、漏洞類型分類、漏洞修復周期分析網站安全檢測情況,從網站篡改分類、網站篡改手段分析網站篡改情況,從網站攻擊整體情況、網站攻擊特征、網站攻擊流量來源分析網站攻擊防護情況。一篇文了解網站安全形勢,獲取最佳網站安全防護建議!
網站安全形勢整體解讀
深信服安全服務平臺在2017年授權檢測網站30余萬個,其中:
(1)共發現386952個高危漏洞,網站安全依然不容樂觀;
2)共攔截攻擊86.2億次,封鎖惡意攻擊IP 15.9萬個,境內外攻擊形勢依舊非常嚴峻;
(3)共發現篡改事件75026次,網站被入侵情況依然嚴重。
同時,在2017的調查中發現,隨著安全事件頻發,相比2016年的保守防御方式,有接近34%的企業和組織對安全警報和事件的態度逐漸發生改變,從過去的被動響應逐漸轉變為主動尋找網站風險,從根本上解決網站安全隱患。
網站安全檢測情況
漏洞行業分布
自2017年1月1日起至12月31日,深信服安全服務平臺對全國11個行業(其中包括政府、教育、醫療、金融、企業、能源等)30余萬個域名(或IP)監測發現:
網站監測中除企業類網站,占比最多的是政府類和教育類網站,政府類網站有52062個,教育類網站有49025個。由此可見,政府和教育類網站管理者安全意識逐漸增強,正在積極尋求安全協助,保障網站安全。 由此見,常規漏洞XSS注入、SQL注入等依然是危害網站安全的重大殺手。除此之外,由于網站管理員不安全操作導致的配置錯誤,也是引發網站風險的重要因素。針對這些漏洞,我們建議在網站開發和運維過程中,采取下述手段降低安全隱患:
● 對網站開發人員進行安全編碼培訓;
● 請專業安全人員對網站架構和源代碼做全面的安全審計,修復安全漏洞;
● 網站運營中,及時升級,包括操作系統、數據庫、中間件等;
● 對網站各個組件、服務進行排查,關閉無用服務和組件,修改默認配置及密碼,并使用強度較高的密碼;
● 采取備份手段,并時常備份網站的關鍵業務數據;
● 對敏感信息加密,包括敏感信息的存儲加密和傳輸加密;
● 采用專業的Web應用安全產品。
【上一篇】 企業動態測試文章