360威脅情報(bào)中心發(fā)布《2017政企機(jī)構(gòu)信息泄露形勢分析報(bào)告》
原創(chuàng)信息泄露,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一。2017年以來,國內(nèi)外均有大量重大的信息泄露事件被媒體曝光,泄露信息少則數(shù)十萬條,多則數(shù)億條,信息泄露的危害也引起了整個(gè)社會的高度關(guān)注。
2017年12月12日,360威脅情報(bào)中心發(fā)布了《2017政企機(jī)構(gòu)信息泄露形勢分析報(bào)告》。報(bào)告顯示,信息泄露已經(jīng)成為安全問題的風(fēng)險(xiǎn)源頭,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一。2017年以來,國內(nèi)外均有大量重大的信息泄露事件被媒體曝光,泄露信息少則數(shù)十萬條,多則數(shù)億條,信息泄露的危害也引起了整個(gè)社會的高度關(guān)注。
網(wǎng)站漏洞可泄露信息形勢
2017年1月至10月,補(bǔ)天平臺共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞251個(gè),較2016年的359個(gè)下降了30.1%,約占補(bǔ)天平臺全年漏洞收錄總數(shù)(16427個(gè))的1.5%,涉及網(wǎng)站150個(gè),共可能泄露信息51.2億條。
統(tǒng)計(jì)顯示,251個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞,總計(jì)可能泄露信息為51.1億條,比2016年的60.5億條下降了15.5%;比2015年的55.3億條下降了7.6%。平均每個(gè)漏洞可導(dǎo)致2035.9萬條個(gè)人信息泄露,單個(gè)漏洞的危害大大增加。
從危險(xiǎn)等級看,2017年可能泄露信息的漏洞中,高危漏洞數(shù)量占97.6%,中危占比為2.4%。與高危漏洞相比,中危和低危漏洞的利用難度相對較小。
從漏洞的技術(shù)類型看,2017年可能泄露信息的漏洞中,命令執(zhí)行(占比為63.7%)、代碼執(zhí)行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下圖給出了相關(guān)漏洞的技術(shù)類型詳細(xì)分布情況。
2017年1至10月,補(bǔ)天平臺收錄的可導(dǎo)致信息泄露的網(wǎng)站漏洞,具體分布情況如下圖 5個(gè),1月份曝出的可能泄露的信息數(shù)量達(dá)到最高峰,為8.0億條信息。
統(tǒng)計(jì)顯示,在251個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞中,共有24個(gè)網(wǎng)站漏洞可能泄露的信息在5000萬條以上,其中還有11個(gè)漏洞可能泄露的信息數(shù)量在1億條以上。下圖給出了2017年網(wǎng)站漏洞可能泄露信息的規(guī)模分析。
網(wǎng)站漏洞可泄露信息類型分析
360威脅情報(bào)中心的監(jiān)測顯示,補(bǔ)天平臺收錄的信息泄露相關(guān)漏洞中,有85.3%的相關(guān)漏洞泄露的屬于個(gè)人信息,14.7%相關(guān)漏洞泄露的屬于機(jī)構(gòu)機(jī)密信息。
按照數(shù)據(jù)的敏感度,本報(bào)告將補(bǔ)天平臺收錄的漏洞可能泄露的個(gè)信息數(shù)據(jù)劃分為四個(gè)基本類型:
1)實(shí)名信息:如姓名、電話、身份證、銀行卡、家庭住址等信息。
2)保單信息:保單號、保險(xiǎn)信息、車險(xiǎn)信息等。
3)帳號密碼:如各類網(wǎng)站登錄帳號密碼、游戲帳號密碼、電子郵箱帳號密碼等。
4)行為記錄:如聊天記錄,購物記錄、差旅信息等。
而相關(guān)漏洞可能泄露的機(jī)構(gòu)機(jī)密信息中,根據(jù)潛在風(fēng)險(xiǎn)程度,依次主要包括以下幾個(gè)大類:
1) 財(cái)務(wù)信息
2) 合同信息
3) 企業(yè)資產(chǎn)
4) 公司注冊信息
統(tǒng)計(jì)顯示,在251個(gè)可能泄露信息的網(wǎng)站漏洞中:約85.7%的網(wǎng)站漏洞可能泄露用戶的實(shí)名信息,可能泄露實(shí)名信息數(shù)量多達(dá)42.9億條;約10.8%的網(wǎng)站漏洞可能泄露用戶的保單信息,可能泄露保單信息數(shù)量多達(dá)4.5億條;約14.7%的網(wǎng)站漏洞可能泄露機(jī)構(gòu)機(jī)密信息,可能泄露機(jī)構(gòu)機(jī)密信息數(shù)量多達(dá)5.6億條,具體如下圖所示:
需要特別說明的是,由于網(wǎng)站數(shù)據(jù)形式的多樣性,一個(gè)網(wǎng)站漏洞可能泄露的信息的類型未必是單一的,約有1.6%漏洞會同時(shí)泄露上述3種不同類型的信息,約10.4%的漏洞會同時(shí)泄露上述兩種不同類型的信息。
可泄露信息網(wǎng)站的行業(yè)分析
根據(jù)工信部網(wǎng)站查詢結(jié)果,一般網(wǎng)站備案的類型分為:軍隊(duì)、政府機(jī)構(gòu)、事業(yè)單位、社會團(tuán)體、企業(yè)、個(gè)人等類型。在251個(gè)補(bǔ)天平臺收錄的信息泄露漏洞中,其中有備案的網(wǎng)站漏洞有為236個(gè),占比94.0%。
在已備案的網(wǎng)站中,被報(bào)漏洞的企業(yè)網(wǎng)站數(shù)量是最多的,占比為69.7%,其次為政府機(jī)構(gòu)網(wǎng)站,占比為19.5%,事業(yè)單位網(wǎng)站占比為4.0%。從下圖可以看出,企業(yè)和政府機(jī)構(gòu)網(wǎng)站存在的信息泄露漏洞的情況明顯多于其他。
從可泄露的信息數(shù)量來看,不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大。從下圖可以看出,企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多,約為43.9億條,約為全年可能泄露信息總量的85.8%。另外,未備案,網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的6.9%。
統(tǒng)計(jì)顯示,金融網(wǎng)站(金融行業(yè)的相關(guān)漏洞主要集中在中小保險(xiǎn)機(jī)構(gòu)及中小信貸平臺,而銀行等大型金融機(jī)構(gòu)的安全性相對較高,問題較少)、政府機(jī)構(gòu)及事業(yè)單位網(wǎng)站、通信運(yùn)營商(含虛擬運(yùn)營商)網(wǎng)站被報(bào)告的可泄露信息的漏洞最多,占比分別為28.3%、26.7%、24.7%,三大行業(yè)網(wǎng)站的漏洞報(bào)告數(shù)量約占所有網(wǎng)站被報(bào)告漏洞數(shù)量的79.7%。
從可能泄露信息數(shù)量來看,金融行業(yè)(22.1億條)、通信運(yùn)營商(18.9億條)網(wǎng)站可能泄露的信息數(shù)量也是最多的,遠(yuǎn)高于其他行業(yè)。
網(wǎng)站信息泄露的原因與趨勢
綜合補(bǔ)天平臺過去三年來的監(jiān)測與分析,一個(gè)明顯的趨勢就是可造成重大信息泄露的漏洞數(shù)量每年都在大幅下降,但同時(shí),單個(gè)漏洞可能造成的信息泄露數(shù)量卻在大幅增加。這一方面反應(yīng)出國內(nèi)網(wǎng)站在信息保護(hù)方面的建設(shè)在不斷加強(qiáng),整體形式明顯好轉(zhuǎn);另一方面也反應(yīng)出,信息泄露的風(fēng)險(xiǎn)正在逐步向少數(shù)領(lǐng)域集中,而且大型民用服務(wù)系統(tǒng)一旦出現(xiàn)安全問題,往往會給整個(gè)社會帶來巨大的損失。
實(shí)際上,信息泄露問題是政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過程中普遍存在的安全問題。數(shù)字化轉(zhuǎn)型較早,信息系統(tǒng)網(wǎng)絡(luò)化程度相對較高的行業(yè)和領(lǐng)域,被暴露出來的問題也相對較多。如金融、通信、新興互聯(lián)網(wǎng)等領(lǐng)域。但隨著數(shù)字化轉(zhuǎn)型的逐漸深入以及網(wǎng)絡(luò)安全建設(shè)水平的不斷提高,這些行業(yè)或領(lǐng)域在度過信息泄露的高峰期后,安全問題會逐漸緩和。但某些數(shù)字化轉(zhuǎn)型相對較晚的行業(yè)或領(lǐng)域,如某些大型政府機(jī)構(gòu)、制造業(yè),以及某些傳統(tǒng)實(shí)體經(jīng)濟(jì),現(xiàn)在暴露出來的問題就相對較少,但在未來不可避免的數(shù)字化轉(zhuǎn)型過程中,也必然會逐漸暴露出越來越多的安全問題,面臨越來越大的信息泄露風(fēng)險(xiǎn)。
從另外一個(gè)角度來看,在消費(fèi)互聯(lián)網(wǎng)時(shí)代,聚集大量個(gè)人服務(wù)的信息系統(tǒng),往往容易成為信息泄露的高發(fā)點(diǎn)。而在未來,隨著智慧城市的建設(shè),產(chǎn)業(yè)互聯(lián)網(wǎng)的出現(xiàn),傳統(tǒng)的實(shí)體經(jīng)濟(jì)的互聯(lián)網(wǎng)化,政務(wù)云和互聯(lián)網(wǎng)+的普及,政府機(jī)構(gòu)和實(shí)體經(jīng)濟(jì)將有可能面臨更大的信息泄露風(fēng)險(xiǎn),成為信息泄露新的高發(fā)領(lǐng)域。
此外,報(bào)告分析了多起媒體披露的國內(nèi)政府及事業(yè)單位的重大信息泄露事件,總體來看,互聯(lián)網(wǎng)企業(yè)被曝出的信息泄露事件最多,影響也最大。其次是政府和事業(yè)單位網(wǎng)站。此外,金融、醫(yī)療等行業(yè)也有相關(guān)的信息泄露事件被曝出。
其中大多數(shù)事件是由于政府網(wǎng)站在政務(wù)公開環(huán)節(jié),不必要的公開了相關(guān)人員完整的、詳細(xì)的身份信息而造成的,被不當(dāng)公開的信息包括了完整的身份證號碼,聯(lián)系電話等信息。
另一方面,在報(bào)告分析的國外政府機(jī)構(gòu)重大信息泄露事件中,有多起超大規(guī)模的信息泄露事件,泄露信息數(shù)量動輒上千萬;政府機(jī)構(gòu)泄露的公民個(gè)人信息往往是綜合性信息,包括姓名、身份ID(如身份證號碼)、家庭住址、家庭關(guān)系、工作情況、電話號碼和電子郵箱等。
《報(bào)告》認(rèn)為,造成機(jī)構(gòu)信息泄露的主要原因有兩類,一是黑客入侵、二是內(nèi)鬼出賣。而從機(jī)構(gòu)泄露的信息類型來看,主要也分為兩類,個(gè)人信息和機(jī)密信息,后者是指政企機(jī)構(gòu)內(nèi)部除個(gè)人信息之外的商業(yè)機(jī)密、技術(shù)機(jī)密及其他機(jī)密信息。
在大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展的浪潮中,我國個(gè)人信息安全和隱私保護(hù)面臨著嚴(yán)峻形勢。個(gè)人信息作為數(shù)據(jù)信息的核心內(nèi)容,面臨著采集、存儲、加工、各環(huán)節(jié)的使用規(guī)范化問題,與個(gè)人隱私息息相關(guān)。目前,一些行業(yè)個(gè)人信息泄露事件頻發(fā),不法分子甚至還會利用已經(jīng)泄露的海量數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)分析,甚至做出客戶畫像,精準(zhǔn)定位用戶身份后,實(shí)施精準(zhǔn)詐騙。
為了更加全面的分析2017年以來,國內(nèi)外政企機(jī)構(gòu)的信息泄露安全風(fēng)險(xiǎn)及由此引發(fā)的其他安全問題,報(bào)告從網(wǎng)站的信息泄露風(fēng)險(xiǎn),及國內(nèi)外重大信息泄露事件這兩個(gè)方面,系統(tǒng)性的分析了政企機(jī)構(gòu)信息泄露的風(fēng)險(xiǎn)及形勢。
