360威脅情報中心發(fā)布《2017政企機(jī)構(gòu)信息泄露形勢分析報告》
2017年12月13日
信息泄露��,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險之一����。2017年以來��,國內(nèi)外均有大量重大的信息泄露事件被媒體曝光�,泄露信息少則數(shù)十萬條,多則數(shù)億條��,信息泄露的危害也引起了整個社會的高度關(guān)注。
2017年12月12日�,360威脅情報中心發(fā)布了《2017政企機(jī)構(gòu)信息泄露形勢分析報告》。報告顯示���,信息泄露已經(jīng)成為安全問題的風(fēng)險源頭��,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險之一����。2017年以來�����,國內(nèi)外均有大量重大的信息泄露事件被媒體曝光����,泄露信息少則數(shù)十萬條,多則數(shù)億條����,信息泄露的危害也引起了整個社會的高度關(guān)注。
網(wǎng)站漏洞可泄露信息形勢
2017年1月至10月����,補(bǔ)天平臺共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞251個����,較2016年的359個下降了30.1%����,約占補(bǔ)天平臺全年漏洞收錄總數(shù)(16427個)的1.5%,涉及網(wǎng)站150個�����,共可能泄露信息51.2億條��。
統(tǒng)計顯示�,251個可導(dǎo)致信息泄露的網(wǎng)站漏洞���,總計可能泄露信息為51.1億條��,比2016年的60.5億條下降了15.5%;比2015年的55.3億條下降了7.6%。平均每個漏洞可導(dǎo)致2035.9萬條個人信息泄露����,單個漏洞的危害大大增加。
從危險等級看�,2017年可能泄露信息的漏洞中,高危漏洞數(shù)量占97.6%,中危占比為2.4%��。與高危漏洞相比�����,中危和低危漏洞的利用難度相對較小�����。
從漏洞的技術(shù)類型看�,2017年可能泄露信息的漏洞中,命令執(zhí)行(占比為63.7%)����、代碼執(zhí)行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上���。下圖給出了相關(guān)漏洞的技術(shù)類型詳細(xì)分布情況���。
2017年1至10月,補(bǔ)天平臺收錄的可導(dǎo)致信息泄露的網(wǎng)站漏洞���,具體分布情況如下圖 5個��,1月份曝出的可能泄露的信息數(shù)量達(dá)到最高峰���,為8.0億條信息��。
統(tǒng)計顯示��,在251個可導(dǎo)致信息泄露的網(wǎng)站漏洞中��,共有24個網(wǎng)站漏洞可能泄露的信息在5000萬條以上��,其中還有11個漏洞可能泄露的信息數(shù)量在1億條以上���。下圖給出了2017年網(wǎng)站漏洞可能泄露信息的規(guī)模分析。
網(wǎng)站漏洞可泄露信息類型分析
360威脅情報中心的監(jiān)測顯示���,補(bǔ)天平臺收錄的信息泄露相關(guān)漏洞中�,有85.3%的相關(guān)漏洞泄露的屬于個人信息����,14.7%相關(guān)漏洞泄露的屬于機(jī)構(gòu)機(jī)密信息。
按照數(shù)據(jù)的敏感度��,本報告將補(bǔ)天平臺收錄的漏洞可能泄露的個信息數(shù)據(jù)劃分為四個基本類型:
1)實(shí)名信息:如姓名��、電話��、身份證��、銀行卡�����、家庭住址等信息���。
2)保單信息:保單號���、保險信息、車險信息等��。
3)帳號密碼:如各類網(wǎng)站登錄帳號密碼�����、游戲帳號密碼�����、電子郵箱帳號密碼等�����。
4)行為記錄:如聊天記錄,購物記錄�、差旅信息等。
而相關(guān)漏洞可能泄露的機(jī)構(gòu)機(jī)密信息中���,根據(jù)潛在風(fēng)險程度���,依次主要包括以下幾個大類:
1) 財務(wù)信息
2) 合同信息
3) 企業(yè)資產(chǎn)
4) 公司注冊信息
統(tǒng)計顯示,在251個可能泄露信息的網(wǎng)站漏洞中:約85.7%的網(wǎng)站漏洞可能泄露用戶的實(shí)名信息����,可能泄露實(shí)名信息數(shù)量多達(dá)42.9億條;約10.8%的網(wǎng)站漏洞可能泄露用戶的保單信息,可能泄露保單信息數(shù)量多達(dá)4.5億條;約14.7%的網(wǎng)站漏洞可能泄露機(jī)構(gòu)機(jī)密信息����,可能泄露機(jī)構(gòu)機(jī)密信息數(shù)量多達(dá)5.6億條,具體如下圖所示:
需要特別說明的是���,由于網(wǎng)站數(shù)據(jù)形式的多樣性���,一個網(wǎng)站漏洞可能泄露的信息的類型未必是單一的,約有1.6%漏洞會同時泄露上述3種不同類型的信息,約10.4%的漏洞會同時泄露上述兩種不同類型的信息����。
可泄露信息網(wǎng)站的行業(yè)分析
根據(jù)工信部網(wǎng)站查詢結(jié)果��,一般網(wǎng)站備案的類型分為:軍隊����、政府機(jī)構(gòu)、事業(yè)單位����、社會團(tuán)體、企業(yè)�����、個人等類型��。在251個補(bǔ)天平臺收錄的信息泄露漏洞中���,其中有備案的網(wǎng)站漏洞有為236個���,占比94.0%。
在已備案的網(wǎng)站中����,被報漏洞的企業(yè)網(wǎng)站數(shù)量是最多的����,占比為69.7%��,其次為政府機(jī)構(gòu)網(wǎng)站����,占比為19.5%,事業(yè)單位網(wǎng)站占比為4.0%�。從下圖可以看出,企業(yè)和政府機(jī)構(gòu)網(wǎng)站存在的信息泄露漏洞的情況明顯多于其他��。
從可泄露的信息數(shù)量來看����,不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大。從下圖可以看出�,企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多,約為43.9億條�,約為全年可能泄露信息總量的85.8%。另外��,未備案,網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的6.9%�。
統(tǒng)計顯示,金融網(wǎng)站(金融行業(yè)的相關(guān)漏洞主要集中在中小保險機(jī)構(gòu)及中小信貸平臺���,而銀行等大型金融機(jī)構(gòu)的安全性相對較高�����,問題較少)、政府機(jī)構(gòu)及事業(yè)單位網(wǎng)站�、通信運(yùn)營商(含虛擬運(yùn)營商)網(wǎng)站被報告的可泄露信息的漏洞最多,占比分別為28.3%��、26.7%����、24.7%,三大行業(yè)網(wǎng)站的漏洞報告數(shù)量約占所有網(wǎng)站被報告漏洞數(shù)量的79.7%���。
從可能泄露信息數(shù)量來看����,金融行業(yè)(22.1億條)�、通信運(yùn)營商(18.9億條)網(wǎng)站可能泄露的信息數(shù)量也是最多的,遠(yuǎn)高于其他行業(yè)。
網(wǎng)站信息泄露的原因與趨勢
綜合補(bǔ)天平臺過去三年來的監(jiān)測與分析�����,一個明顯的趨勢就是可造成重大信息泄露的漏洞數(shù)量每年都在大幅下降��,但同時���,單個漏洞可能造成的信息泄露數(shù)量卻在大幅增加���。這一方面反應(yīng)出國內(nèi)網(wǎng)站在信息保護(hù)方面的建設(shè)在不斷加強(qiáng),整體形式明顯好轉(zhuǎn);另一方面也反應(yīng)出��,信息泄露的風(fēng)險正在逐步向少數(shù)領(lǐng)域集中����,而且大型民用服務(wù)系統(tǒng)一旦出現(xiàn)安全問題,往往會給整個社會帶來巨大的損失���。
實(shí)際上�,信息泄露問題是政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過程中普遍存在的安全問題�����。數(shù)字化轉(zhuǎn)型較早,信息系統(tǒng)網(wǎng)絡(luò)化程度相對較高的行業(yè)和領(lǐng)域�����,被暴露出來的問題也相對較多����。如金融、通信����、新興互聯(lián)網(wǎng)等領(lǐng)域�。但隨著數(shù)字化轉(zhuǎn)型的逐漸深入以及網(wǎng)絡(luò)安全建設(shè)水平的不斷提高,這些行業(yè)或領(lǐng)域在度過信息泄露的高峰期后����,安全問題會逐漸緩和。但某些數(shù)字化轉(zhuǎn)型相對較晚的行業(yè)或領(lǐng)域��,如某些大型政府機(jī)構(gòu)����、制造業(yè),以及某些傳統(tǒng)實(shí)體經(jīng)濟(jì)���,現(xiàn)在暴露出來的問題就相對較少����,但在未來不可避免的數(shù)字化轉(zhuǎn)型過程中,也必然會逐漸暴露出越來越多的安全問題��,面臨越來越大的信息泄露風(fēng)險����。
從另外一個角度來看,在消費(fèi)互聯(lián)網(wǎng)時代�,聚集大量個人服務(wù)的信息系統(tǒng),往往容易成為信息泄露的高發(fā)點(diǎn)���。而在未來���,隨著智慧城市的建設(shè),產(chǎn)業(yè)互聯(lián)網(wǎng)的出現(xiàn)�����,傳統(tǒng)的實(shí)體經(jīng)濟(jì)的互聯(lián)網(wǎng)化���,政務(wù)云和互聯(lián)網(wǎng)+的普及��,政府機(jī)構(gòu)和實(shí)體經(jīng)濟(jì)將有可能面臨更大的信息泄露風(fēng)險���,成為信息泄露新的高發(fā)領(lǐng)域��。
此外�����,報告分析了多起媒體披露的國內(nèi)政府及事業(yè)單位的重大信息泄露事件���,總體來看,互聯(lián)網(wǎng)企業(yè)被曝出的信息泄露事件最多��,影響也最大���。其次是政府和事業(yè)單位網(wǎng)站。此外��,金融���、醫(yī)療等行業(yè)也有相關(guān)的信息泄露事件被曝出����。
其中大多數(shù)事件是由于政府網(wǎng)站在政務(wù)公開環(huán)節(jié),不必要的公開了相關(guān)人員完整的�����、詳細(xì)的身份信息而造成的���,被不當(dāng)公開的信息包括了完整的身份證號碼�,聯(lián)系電話等信息����。
另一方面,在報告分析的國外政府機(jī)構(gòu)重大信息泄露事件中���,有多起超大規(guī)模的信息泄露事件����,泄露信息數(shù)量動輒上千萬;政府機(jī)構(gòu)泄露的公民個人信息往往是綜合性信息�����,包括姓名�����、身份ID(如身份證號碼)、家庭住址���、家庭關(guān)系����、工作情況�����、電話號碼和電子郵箱等��。
《報告》認(rèn)為�����,造成機(jī)構(gòu)信息泄露的主要原因有兩類����,一是黑客入侵�、二是內(nèi)鬼出賣。而從機(jī)構(gòu)泄露的信息類型來看�����,主要也分為兩類,個人信息和機(jī)密信息�����,后者是指政企機(jī)構(gòu)內(nèi)部除個人信息之外的商業(yè)機(jī)密�、技術(shù)機(jī)密及其他機(jī)密信息。
在大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展的浪潮中�����,我國個人信息安全和隱私保護(hù)面臨著嚴(yán)峻形勢���。個人信息作為數(shù)據(jù)信息的核心內(nèi)容�,面臨著采集����、存儲、加工��、各環(huán)節(jié)的使用規(guī)范化問題���,與個人隱私息息相關(guān)��。目前��,一些行業(yè)個人信息泄露事件頻發(fā)�,不法分子甚至還會利用已經(jīng)泄露的海量數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)分析,甚至做出客戶畫像�����,精準(zhǔn)定位用戶身份后����,實(shí)施精準(zhǔn)詐騙。
為了更加全面的分析2017年以來����,國內(nèi)外政企機(jī)構(gòu)的信息泄露安全風(fēng)險及由此引發(fā)的其他安全問題,報告從網(wǎng)站的信息泄露風(fēng)險�,及國內(nèi)外重大信息泄露事件這兩個方面,系統(tǒng)性的分析了政企機(jī)構(gòu)信息泄露的風(fēng)險及形勢����。
本文來自安全咨詢
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺建設(shè)���、動漫設(shè)計���、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”��、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評估�、規(guī)劃、管控����、建設(shè)、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����!
