360威脅情報(bào)中心發(fā)布《2017政企機(jī)構(gòu)信息泄露形勢(shì)分析報(bào)告》
2017年12月13日
信息泄露���,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一���。2017年以來(lái),國(guó)內(nèi)外均有大量重大的信息泄露事件被媒體曝光�����,泄露信息少則數(shù)十萬(wàn)條����,多則數(shù)億條,信息泄露的危害也引起了整個(gè)社會(huì)的高度關(guān)注����。
2017年12月12日,360威脅情報(bào)中心發(fā)布了《2017政企機(jī)構(gòu)信息泄露形勢(shì)分析報(bào)告》��。報(bào)告顯示�����,信息泄露已經(jīng)成為安全問(wèn)題的風(fēng)險(xiǎn)源頭,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一��。2017年以來(lái)����,國(guó)內(nèi)外均有大量重大的信息泄露事件被媒體曝光,泄露信息少則數(shù)十萬(wàn)條��,多則數(shù)億條��,信息泄露的危害也引起了整個(gè)社會(huì)的高度關(guān)注�����。
網(wǎng)站漏洞可泄露信息形勢(shì)
2017年1月至10月���,補(bǔ)天平臺(tái)共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞251個(gè),較2016年的359個(gè)下降了30.1%����,約占補(bǔ)天平臺(tái)全年漏洞收錄總數(shù)(16427個(gè))的1.5%,涉及網(wǎng)站150個(gè)�����,共可能泄露信息51.2億條。
統(tǒng)計(jì)顯示�����,251個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞�,總計(jì)可能泄露信息為51.1億條,比2016年的60.5億條下降了15.5%;比2015年的55.3億條下降了7.6%�����。平均每個(gè)漏洞可導(dǎo)致2035.9萬(wàn)條個(gè)人信息泄露��,單個(gè)漏洞的危害大大增加����。
從危險(xiǎn)等級(jí)看,2017年可能泄露信息的漏洞中���,高危漏洞數(shù)量占97.6%����,中危占比為2.4%。與高危漏洞相比��,中危和低危漏洞的利用難度相對(duì)較小���。
從漏洞的技術(shù)類型看�����,2017年可能泄露信息的漏洞中�����,命令執(zhí)行(占比為63.7%)�、代碼執(zhí)行(14.7%)和SQL注入(8.8%)占比最高��,三者之和占全部信息泄露漏洞的八成以上�����。下圖給出了相關(guān)漏洞的技術(shù)類型詳細(xì)分布情況���。
2017年1至10月,補(bǔ)天平臺(tái)收錄的可導(dǎo)致信息泄露的網(wǎng)站漏洞��,具體分布情況如下圖 5個(gè),1月份曝出的可能泄露的信息數(shù)量達(dá)到最高峰����,為8.0億條信息。
統(tǒng)計(jì)顯示����,在251個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞中,共有24個(gè)網(wǎng)站漏洞可能泄露的信息在5000萬(wàn)條以上�,其中還有11個(gè)漏洞可能泄露的信息數(shù)量在1億條以上。下圖給出了2017年網(wǎng)站漏洞可能泄露信息的規(guī)模分析����。
網(wǎng)站漏洞可泄露信息類型分析
360威脅情報(bào)中心的監(jiān)測(cè)顯示,補(bǔ)天平臺(tái)收錄的信息泄露相關(guān)漏洞中�,有85.3%的相關(guān)漏洞泄露的屬于個(gè)人信息,14.7%相關(guān)漏洞泄露的屬于機(jī)構(gòu)機(jī)密信息���。
按照數(shù)據(jù)的敏感度�,本報(bào)告將補(bǔ)天平臺(tái)收錄的漏洞可能泄露的個(gè)信息數(shù)據(jù)劃分為四個(gè)基本類型:
1)實(shí)名信息:如姓名����、電話、身份證�、銀行卡�����、家庭住址等信息����。
2)保單信息:保單號(hào)�、保險(xiǎn)信息、車險(xiǎn)信息等��。
3)帳號(hào)密碼:如各類網(wǎng)站登錄帳號(hào)密碼�、游戲帳號(hào)密碼、電子郵箱帳號(hào)密碼等����。
4)行為記錄:如聊天記錄,購(gòu)物記錄��、差旅信息等���。
而相關(guān)漏洞可能泄露的機(jī)構(gòu)機(jī)密信息中�,根據(jù)潛在風(fēng)險(xiǎn)程度�,依次主要包括以下幾個(gè)大類:
1) 財(cái)務(wù)信息
2) 合同信息
3) 企業(yè)資產(chǎn)
4) 公司注冊(cè)信息
統(tǒng)計(jì)顯示,在251個(gè)可能泄露信息的網(wǎng)站漏洞中:約85.7%的網(wǎng)站漏洞可能泄露用戶的實(shí)名信息����,可能泄露實(shí)名信息數(shù)量多達(dá)42.9億條;約10.8%的網(wǎng)站漏洞可能泄露用戶的保單信息,可能泄露保單信息數(shù)量多達(dá)4.5億條;約14.7%的網(wǎng)站漏洞可能泄露機(jī)構(gòu)機(jī)密信息�,可能泄露機(jī)構(gòu)機(jī)密信息數(shù)量多達(dá)5.6億條,具體如下圖所示:
需要特別說(shuō)明的是����,由于網(wǎng)站數(shù)據(jù)形式的多樣性,一個(gè)網(wǎng)站漏洞可能泄露的信息的類型未必是單一的�,約有1.6%漏洞會(huì)同時(shí)泄露上述3種不同類型的信息,約10.4%的漏洞會(huì)同時(shí)泄露上述兩種不同類型的信息�����。
可泄露信息網(wǎng)站的行業(yè)分析
根據(jù)工信部網(wǎng)站查詢結(jié)果�����,一般網(wǎng)站備案的類型分為:軍隊(duì)�、政府機(jī)構(gòu)、事業(yè)單位��、社會(huì)團(tuán)體����、企業(yè)�、個(gè)人等類型�。在251個(gè)補(bǔ)天平臺(tái)收錄的信息泄露漏洞中,其中有備案的網(wǎng)站漏洞有為236個(gè)�����,占比94.0%��。
在已備案的網(wǎng)站中��,被報(bào)漏洞的企業(yè)網(wǎng)站數(shù)量是最多的�����,占比為69.7%�,其次為政府機(jī)構(gòu)網(wǎng)站,占比為19.5%��,事業(yè)單位網(wǎng)站占比為4.0%��。從下圖可以看出�,企業(yè)和政府機(jī)構(gòu)網(wǎng)站存在的信息泄露漏洞的情況明顯多于其他。
從可泄露的信息數(shù)量來(lái)看���,不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大�。從下圖可以看出,企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多����,約為43.9億條,約為全年可能泄露信息總量的85.8%��。另外���,未備案,網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的6.9%�。
統(tǒng)計(jì)顯示,金融網(wǎng)站(金融行業(yè)的相關(guān)漏洞主要集中在中小保險(xiǎn)機(jī)構(gòu)及中小信貸平臺(tái)��,而銀行等大型金融機(jī)構(gòu)的安全性相對(duì)較高�,問(wèn)題較少)、政府機(jī)構(gòu)及事業(yè)單位網(wǎng)站���、通信運(yùn)營(yíng)商(含虛擬運(yùn)營(yíng)商)網(wǎng)站被報(bào)告的可泄露信息的漏洞最多����,占比分別為28.3%���、26.7%���、24.7%�����,三大行業(yè)網(wǎng)站的漏洞報(bào)告數(shù)量約占所有網(wǎng)站被報(bào)告漏洞數(shù)量的79.7%��。
從可能泄露信息數(shù)量來(lái)看����,金融行業(yè)(22.1億條)����、通信運(yùn)營(yíng)商(18.9億條)網(wǎng)站可能泄露的信息數(shù)量也是最多的,遠(yuǎn)高于其他行業(yè)��。
網(wǎng)站信息泄露的原因與趨勢(shì)
綜合補(bǔ)天平臺(tái)過(guò)去三年來(lái)的監(jiān)測(cè)與分析�����,一個(gè)明顯的趨勢(shì)就是可造成重大信息泄露的漏洞數(shù)量每年都在大幅下降�,但同時(shí),單個(gè)漏洞可能造成的信息泄露數(shù)量卻在大幅增加����。這一方面反應(yīng)出國(guó)內(nèi)網(wǎng)站在信息保護(hù)方面的建設(shè)在不斷加強(qiáng)��,整體形式明顯好轉(zhuǎn);另一方面也反應(yīng)出��,信息泄露的風(fēng)險(xiǎn)正在逐步向少數(shù)領(lǐng)域集中��,而且大型民用服務(wù)系統(tǒng)一旦出現(xiàn)安全問(wèn)題�����,往往會(huì)給整個(gè)社會(huì)帶來(lái)巨大的損失。
實(shí)際上���,信息泄露問(wèn)題是政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過(guò)程中普遍存在的安全問(wèn)題�。數(shù)字化轉(zhuǎn)型較早�,信息系統(tǒng)網(wǎng)絡(luò)化程度相對(duì)較高的行業(yè)和領(lǐng)域,被暴露出來(lái)的問(wèn)題也相對(duì)較多�。如金融、通信����、新興互聯(lián)網(wǎng)等領(lǐng)域。但隨著數(shù)字化轉(zhuǎn)型的逐漸深入以及網(wǎng)絡(luò)安全建設(shè)水平的不斷提高����,這些行業(yè)或領(lǐng)域在度過(guò)信息泄露的高峰期后��,安全問(wèn)題會(huì)逐漸緩和���。但某些數(shù)字化轉(zhuǎn)型相對(duì)較晚的行業(yè)或領(lǐng)域,如某些大型政府機(jī)構(gòu)��、制造業(yè)�,以及某些傳統(tǒng)實(shí)體經(jīng)濟(jì),現(xiàn)在暴露出來(lái)的問(wèn)題就相對(duì)較少�,但在未來(lái)不可避免的數(shù)字化轉(zhuǎn)型過(guò)程中,也必然會(huì)逐漸暴露出越來(lái)越多的安全問(wèn)題�����,面臨越來(lái)越大的信息泄露風(fēng)險(xiǎn)��。
從另外一個(gè)角度來(lái)看��,在消費(fèi)互聯(lián)網(wǎng)時(shí)代�,聚集大量個(gè)人服務(wù)的信息系統(tǒng),往往容易成為信息泄露的高發(fā)點(diǎn)��。而在未來(lái)���,隨著智慧城市的建設(shè)�����,產(chǎn)業(yè)互聯(lián)網(wǎng)的出現(xiàn)�,傳統(tǒng)的實(shí)體經(jīng)濟(jì)的互聯(lián)網(wǎng)化,政務(wù)云和互聯(lián)網(wǎng)+的普及�����,政府機(jī)構(gòu)和實(shí)體經(jīng)濟(jì)將有可能面臨更大的信息泄露風(fēng)險(xiǎn)���,成為信息泄露新的高發(fā)領(lǐng)域���。
此外�,報(bào)告分析了多起媒體披露的國(guó)內(nèi)政府及事業(yè)單位的重大信息泄露事件,總體來(lái)看��,互聯(lián)網(wǎng)企業(yè)被曝出的信息泄露事件最多����,影響也最大。其次是政府和事業(yè)單位網(wǎng)站��。此外,金融��、醫(yī)療等行業(yè)也有相關(guān)的信息泄露事件被曝出�����。
其中大多數(shù)事件是由于政府網(wǎng)站在政務(wù)公開(kāi)環(huán)節(jié)��,不必要的公開(kāi)了相關(guān)人員完整的����、詳細(xì)的身份信息而造成的,被不當(dāng)公開(kāi)的信息包括了完整的身份證號(hào)碼�����,聯(lián)系電話等信息�����。
另一方面�����,在報(bào)告分析的國(guó)外政府機(jī)構(gòu)重大信息泄露事件中�����,有多起超大規(guī)模的信息泄露事件,泄露信息數(shù)量動(dòng)輒上千萬(wàn);政府機(jī)構(gòu)泄露的公民個(gè)人信息往往是綜合性信息�����,包括姓名���、身份ID(如身份證號(hào)碼)��、家庭住址����、家庭關(guān)系�、工作情況、電話號(hào)碼和電子郵箱等���。
《報(bào)告》認(rèn)為,造成機(jī)構(gòu)信息泄露的主要原因有兩類�����,一是黑客入侵��、二是內(nèi)鬼出賣。而從機(jī)構(gòu)泄露的信息類型來(lái)看����,主要也分為兩類,個(gè)人信息和機(jī)密信息��,后者是指政企機(jī)構(gòu)內(nèi)部除個(gè)人信息之外的商業(yè)機(jī)密��、技術(shù)機(jī)密及其他機(jī)密信息�����。
在大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展的浪潮中�,我國(guó)個(gè)人信息安全和隱私保護(hù)面臨著嚴(yán)峻形勢(shì)。個(gè)人信息作為數(shù)據(jù)信息的核心內(nèi)容�,面臨著采集、存儲(chǔ)��、加工��、各環(huán)節(jié)的使用規(guī)范化問(wèn)題��,與個(gè)人隱私息息相關(guān)�。目前,一些行業(yè)個(gè)人信息泄露事件頻發(fā)�����,不法分子甚至還會(huì)利用已經(jīng)泄露的海量數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)分析,甚至做出客戶畫像��,精準(zhǔn)定位用戶身份后���,實(shí)施精準(zhǔn)詐騙����。
為了更加全面的分析2017年以來(lái)����,國(guó)內(nèi)外政企機(jī)構(gòu)的信息泄露安全風(fēng)險(xiǎn)及由此引發(fā)的其他安全問(wèn)題,報(bào)告從網(wǎng)站的信息泄露風(fēng)險(xiǎn)�����,及國(guó)內(nèi)外重大信息泄露事件這兩個(gè)方面�,系統(tǒng)性的分析了政企機(jī)構(gòu)信息泄露的風(fēng)險(xiǎn)及形勢(shì)。
本文來(lái)自安全咨詢
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”、“制度流程”�����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢�、評(píng)估、規(guī)劃����、管控、建設(shè)�、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商���!
