我国网站高危漏洞去年激增80% 修复率仅为42.9%

 　　近日，360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》称，过去一年360网站安全检测平台扫描发现网站高危漏洞480.8万次，较2015年267.7万次大幅增长80%，平均每月扫出高危漏洞约45.8万次。

　　面对激增的高危漏洞，修复情况却不容乐观：根据对2016年补天平台的备案网站漏洞的抽样调查，网站漏洞的平均修复率仅为42.9%，超过半数的网站漏洞被置之不理，存在巨大的数据泄露风险。

　　显然，未来我国的网站安全防护依然面临巨大挑战。

　　漏洞可能致数十亿信息被泄露 网站安全防护将成为未来重点

　　报告显示，在2016年，360网站安全检测平台共扫描各类网站197.9万个，发现存在漏洞的网站91.7万个，占比为46.3%，比2015年略有下降。漏洞网站数量下降，但高危漏洞数量大幅增长，这说明，在绝大多数网站已基本不存在可自动检测的高危漏洞的情况下，极少数网站集中出现大量高危漏洞。

　　网站高危漏洞激增，吸引到更多针对网站漏洞攻击，导致大量信息被泄露。根据360互联网安全中心的统计，2016年360网站卫士共拦截各类网站漏洞攻击17.1亿次，导致大量网站出现数据泄露。如2016年4月Struts2远程代码执行漏洞(s2-032)爆出，很多大型企业网站中招。在360补天平台上提交了大量s2-032远程执行漏洞，包括航空、银行、学校和政府等诸多领域成为本次漏洞的重灾区。

　　根据补天平台的统计，仅仅2015年收录的漏洞中，就有1400余个漏洞可造成个人信息泄露，可泄露信息规模达55.3亿条;2016年又新收录了300余个可造成个人信息泄露的漏洞，约可泄露个人信息50余亿条。

　　这些大量泄露的个人信息成为网络欺诈的助推器。在2016年引发广泛关注的山东徐玉玉案中，犯罪分子就是利用窃取的信息，伪装成教育局工作人员发放助学金进行诈骗的。经警方调查，徐玉玉的信息是由于黑客利用漏洞侵入“山东省2016高考网上报名信息系统”网站而获取的。黑客从该网站共窃取60多万条个人信息。

　　网站安全的重要性已不言而喻。作为互联网的基础设施和互联网产品、服务的重要载体，网站安全是网络空间安全的重要组成。在《国家网络空间安全战略》中，“加强党政机关以及重点领域网站的安全防护”被作为战略任务。

　　《网络安全法》对保护关键信息基础设施进行了特别强调。上海交通大学信息安全工程学院院长李建华指出，县级(含)以上党政机关网站、重点新闻网站、日均访问量超过100万人次的网站，以及发生网络安全事故后可能造成100万人个人信息泄露的网站，都可认定为关键信息基础设施。

　　《网络安全法》明确规定，网络产品和服务运营者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，如未立即采取补救措施，需要承担相应的法律责任。

　　可以预见，随着《网络安全法》在今年的实施，加强网站安全防护将是未来的重要内容。

　　漏洞修复率仅为42.9% 安全响应仍待提高

　　面对防不胜防的网站漏洞，及时修复漏洞是防范信息泄露的重要举措，但360互联网安全中心发布的数据显示，在对于网站漏洞的安全响应上，我国政企用户仍存在很大不足。根据对2016年补天平台的备案网站漏洞的抽样调查，网站漏洞的平均修复率仅为42.9%。

　　更令人担心的是，即使是这些被修复的网站安全漏洞，漏洞修复很不及时。有近2/3的网站，漏洞修复周期过长，修复很不及时(大于7天)。很多漏洞需要数周，甚至近一个月才能得到修复：从修复漏洞所花费的时长看，根据厂商明确标记已修复的网站漏洞中，1天内修复的比例为7.5%; 一周以内修复的比例为27.4%;超过一周但在一个月内修复的比例为33.3%;超过30天才修复的比例为31.8%。

　　安全专家认为，“这个时候数据可能早已经被窃取。”

　　针对网站漏洞修复周期较长的原因，360安全专家认为，这主要是由于过去法制监管体系中缺乏安全问责机制、网站管理者自身安全意识和能力不足，以及网站安全需要多方协同联动、缺乏成熟解决方案等原因导致业界对漏洞修复关注不足而造成的。

　　众测将成未来网站安全防护方向

　　对于众多的网站运营者来说，人才不足是应对安全漏洞不力的重要原因。目前中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%。

　　针对网站安全防护的棘手挑战和人才不足的现状，安全专家认为，目前以众测为代表的模式创新、以“端+云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向，已成为即将到来的2017年，乃至更远的未来web安全技术研究的新趋势。

　　据了解，众测是以众包的模式将发现漏洞问题的任务分发给白帽，通过严格的审核、特定的加密数据通信通道，为白帽子充分发挥自身力量，高效地帮助目标企业发现潜在安全问题，提供安全、可靠的平台服务。

　　安全专家认为，众测/众包技术可能是企业强化响应能力的一种必然选择：众测/众包使企业无需自建安全响应中心(SRC)，而是可以通过第三方平台提供“SRC即服务”，建立完善专业、高效的安全响应机制。

　　较早之前纯公益的开放征集漏洞模式，众测是一种完善和升级。目前国内已经有补天平台在内的平台开始安全众测的尝试。相信在安全人才不足的背景下，这一模式可以帮助政企用户解决网站安全问题。