2017年是网络安全问题彻底暴露在全球网民视野中的一年。尤其是威胁全球的WannaCry勒索软件事件，大至企业政府机构、小到普通网民无不感受到来自网络攻击的巨大杀伤力。那么，在这一年里，中国的网站安全现状究竟如何?深信服千里目安全实验室从漏洞行业分布、漏洞类型分类、漏洞修复周期分析网站安全检测情况，从网站篡改分类、网站篡改手段分析网站篡改情况，从网站攻击整体情况、网站攻击特征、网站攻击流量来源分析网站攻击防护情况。一篇文了解网站安全形势，获取最佳网站安全防护建议! 网站安全形势整体解读

　　深信服安全服务平台在2017年授权检测网站30余万个，其中：

　　(1)共发现386952个高危漏洞，网站安全依然不容乐观;

　　(2)共拦截攻击86.2亿次，封锁恶意攻击IP15.9万个，境内外攻击形势依旧非常严峻;

　　(3)共发现篡改事件75026次，网站被入侵情况依然严重。

　　同时，在2017的调查中发现，随着安全事件频发，相比2016年的保守防御方式，有接近34%的企业和组织对安全警报和事件的态度逐渐发生改变，从过去的被动响应逐渐转变为主动寻找网站风险，从根本上解决网站安全隐患。

　　网站安全检测情况

　　漏洞行业分布

　　自2017年1月1日起至12月31日，深信服安全服务平台对全国11个行业(其中包括政府、教育、医疗、金融、企业、能源等)30余万个域名(或IP)监测发现：

　　网站监测中除企业类网站，占比最多的是政府类和教育类网站，政府类网站有52062个，教育类网站有49025个。由此可见，政府和教育类网站管理者安全意识逐渐增强，正在积极寻求安全协助，保障网站安全。

　　漏洞类型分类

　　根据漏洞类型的不同，在所有监测网站中共发现高危漏洞386952个，其中，XSS注入160926个、SQL注入84130个、配置不当52470个、命令执行24060个、代码执行24060个、拒绝服务19264个、弱密码12640个、未授权访问8368个、认证绕过6050个。

　　由此见，常规漏洞XSS注入、SQL注入等依然是危害网站安全的重大杀手。除此之外，由于网站管理员不安全操作导致的配置错误，也是引发网站风险的重要因素。针对这些漏洞，我们建议在网站开发和运维过程中，采取下述手段降低安全隐患：

　　● 对网站开发人员进行安全编码培训;

　　● 请专业安全人员对网站架构和源代码做全面的安全审计，修复安全漏洞;

　　● 网站运营中，及时升级，包括操作系统、数据库、中间件等;

　　● 对网站各个组件、服务进行排查，关闭无用服务和组件，修改默认配置及密码，并使用强度较高的密码;

　　● 采取备份手段，并时常备份网站的关键业务数据;

　　● 对敏感信息加密，包括敏感信息的存储加密和传输加密;

　　● 采用专业的Web应用安全产品。

　　漏洞修复周期

　　在2017年期间，深信服安全服务平台随机挑选存在漏洞的政府类网站、教育类网站、企业类网站各1000个，进行漏洞修复监测。深信服发现，在所有网站中，高危漏洞修复效率最高，从漏洞检测通告到修复平均用时30天左右。其中大型企业对网站安全的关注度最高，中低危漏洞在检测发布后也在持续减少，教育行业网站建设存在安全隐患最多，且修复周期最长。

　　造成网站修复率底的原因除了管理员安全意识不足外，还有以下几点：

　　●用户单位没有专业安全人员，不具备修补安全漏洞的能力;

　　●第三方厂商担心影响公司荣誉，有意忽略漏洞，不发布安全补丁;

　　●缺乏统一漏洞推送机制，很多厂商发布安全补丁或者升级服务都直接在官网发布，不会定向推送给网站使用者;

　　●开发者定制开发的网站系统难以与发布的安全补丁相匹配，影响网站修复速度。

　　网站篡改情况

　　2017年1月1日开始至12月31日截止，深信服千里目安全实验室持续监控互联网中已被入侵篡改的网站，共涉及政府、医疗、教育、金融、大中小企业等篡改案例多达75026例。被入侵的网站轻则沦为黑客获利的工具，为黑站引流;重则系统遭到破坏，数据丢失，网站内容被恶意更改，损坏客户利益和公众形象。

　　网站篡改分类

　　从篡改表象来看，我国被篡改的网站主要有以下六种类型：1、被植入赌博类网页/关键字/链接;2、被植入色情类网页/关键词/链接;3、被植入游戏私服类网页/关键字/链接;4、被植入违法交易产品信息(办假证/枪支等)页面;5、被植入涉政言论(诋毁党政国家);6、黑客炫耀技术，植入个人信息增加圈内知名度。

Tags：

转载请标注：SEO三人行——深信服大数据：安全威胁分析报告之网站安全篇