目前，四成網(wǎng)站存在漏洞，黑客利用漏洞對8萬多家網(wǎng)站進行篡改，兩成服務(wù)器被植入后門，數(shù)十億個人信息被泄露……23日，360互聯(lián)網(wǎng)安全中心發(fā)布2015年度中國網(wǎng)站安全報告，報告稱，中國最大的漏洞播報平臺補天漏洞平臺顯示，由于網(wǎng)站漏洞一年或?qū)е?5億條信息面臨泄露，而網(wǎng)站漏洞修復(fù)率卻不足一成。

數(shù)萬網(wǎng)站存漏洞 修復(fù)率不足一成

報告稱，從2015年1月1日到11月18日，補天平臺共收錄各類網(wǎng)站安全漏洞37943個，涉及網(wǎng)站26370個。安全專家鮑宇介紹說，弱口令已經(jīng)占到漏洞類型第二位，很多網(wǎng)站管理者使用“123456”這樣的簡單密碼，很容易被猜出。

“事實上，只要是人編寫的程序，都有可能出現(xiàn)漏洞，只要及時修復(fù)，就很大程度上避免信息泄露。”補天漏洞響應(yīng)平臺專家鮑宇介紹，雖然漏洞頻繁，但是網(wǎng)站漏洞修復(fù)率過低，是目前網(wǎng)站安全面臨的一個重大問題。補天平臺在收到白帽子報告的網(wǎng)站安全漏洞后，都會在第一時間通過網(wǎng)站官網(wǎng)上提供的聯(lián)系方式向相關(guān)網(wǎng)站報告漏洞及漏洞細節(jié)。但2015年的統(tǒng)計數(shù)據(jù)顯示，網(wǎng)站在收到相關(guān)漏洞報告后，平均修復(fù)率仍然不超過10%，有的行業(yè)甚至低于5%。相比其他行業(yè)，作為網(wǎng)絡(luò)時代的“錢袋子”管理者——金融行業(yè)對網(wǎng)站漏洞的修復(fù)更為重視，修復(fù)率領(lǐng)先，也僅達到17.3%。

黑客攻擊網(wǎng)站北京江蘇最“受傷”

黑客對網(wǎng)站發(fā)動攻擊包括用漏洞入侵網(wǎng)站，對網(wǎng)站發(fā)動流量攻擊，或者在網(wǎng)站內(nèi)植入木馬，引導(dǎo)網(wǎng)民轉(zhuǎn)向惡意網(wǎng)址。報告稱，今年360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊16.5億次，從發(fā)起漏洞攻擊IP的地域分布來看，90.2%攻擊者IP來自境內(nèi)地區(qū)，來自境外的攻擊為9.8%。

從境內(nèi)攻擊者的IP地域分布來看，31.5%來自浙江，居于首位；其次分別為江蘇、北京、江西、河北、廣東、香港。從境外攻擊者的IP地域分布來看，43.5%來自法國，其次是美國、荷蘭。

從遭到漏洞攻擊IP的地域分布來看，95.7%受害者IP為自境內(nèi)地區(qū)。其中17.7%來自北京，居于首位；其次分別為江蘇、山東、廣東、浙江、河南、四川等。

漏洞攻擊的時間多集中于13-18點之間，在此期間的漏洞攻擊次數(shù)占全天漏洞攻擊總次數(shù)的32.6%，在13點達到最高峰。而凌晨3-6點是漏洞攻擊比較稀少的時段，早晨6點最為安全。

55.3億條個人信息可能已泄露

報告統(tǒng)計同時顯示，在2015年（截至11月18日）補天平臺收錄的網(wǎng)站漏洞中，共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能泄露的個人信息量（簡稱可能泄露信息量）高達55.3億條。

這一數(shù)字較2014年的23.6億條翻了一倍還多。如果按照中國網(wǎng)民總數(shù)為6.5億來計算，這一數(shù)字也就意味著，僅僅在2015年這一年，平均每個中國網(wǎng)民就至少可能泄漏了8條以上的個人信息。

專家對IT/互聯(lián)網(wǎng)、電信運營商、金融理財、汽車交通、教育培訓和醫(yī)療衛(wèi)生等六個重點領(lǐng)域存在的漏洞進行分析，統(tǒng)計發(fā)現(xiàn)泄露信息漏洞共可導(dǎo)致約11.5億條個人信息泄露。其中：IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個人信息最多，為5.23億條；其次是醫(yī)療衛(wèi)生網(wǎng)站、電信運營商、金融理財網(wǎng)站、汽車交通網(wǎng)站、教育培訓。

無奈現(xiàn)實

個人信息泄露或現(xiàn)“雪崩式增長”

360互聯(lián)網(wǎng)安全中心專家裴智勇博士介紹說，目前，國內(nèi)的很多網(wǎng)站，大量采用外包開發(fā)的模式。網(wǎng)站一旦完成開發(fā)并交付使用，開發(fā)者通常也就不再對網(wǎng)站承擔任何責任了。而網(wǎng)站的實際使用者或維護者，又往往不具備足夠的專業(yè)技能來維護網(wǎng)站安全。

另外，目前國內(nèi)網(wǎng)站普遍缺乏有效的安全監(jiān)管。裴智勇博士指出，目前，個人信息的泄漏已經(jīng)成為電信騷擾和網(wǎng)絡(luò)盜號、網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)犯罪頻發(fā)的首要原因。隨著互聯(lián)網(wǎng)+興起，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、金融創(chuàng)新網(wǎng)站、本地服務(wù)類O2O網(wǎng)站都出現(xiàn)網(wǎng)站漏洞情況，這些網(wǎng)站個人信息泄露情況嚴重，未來三至五年內(nèi)，個人信息的泄露可能仍將呈現(xiàn)不可逆的，雪崩式的增長。

不過值得慶幸的是，不管是政府、企業(yè)、機構(gòu)、個人都在重視網(wǎng)絡(luò)安全問題。另據(jù)補天平臺統(tǒng)計，中國80后、90后目前是白帽子（正面黑客）的絕對主力，占到90%以上，他們對漏洞挖掘、網(wǎng)站安全起到了重要作用。

?