資源描述:
《360-2017政企機(jī)構(gòu)信息泄露形勢(shì)分析報(bào)告(信息安全)》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、2017政企機(jī)構(gòu)信息泄露形勢(shì)分析報(bào)告2017年12月12日摘要?信息泄露�,是政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一�。2017年以來(lái)���,國(guó)內(nèi)外均有大量重大的信息泄露事件被媒體曝光���,泄露信息少則數(shù)十萬(wàn)條���,多則數(shù)億條���,信息泄露的危害也引起了整個(gè)社會(huì)的高度關(guān)注。信息泄露已經(jīng)成為安全問(wèn)題的風(fēng)險(xiǎn)源頭���。網(wǎng)站漏洞泄露信息風(fēng)險(xiǎn)分析?2017年1月至10月����,補(bǔ)天平臺(tái)共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞251個(gè)���,較2016年的359個(gè)下降了30.1%��,約占補(bǔ)天平臺(tái)全年漏洞收錄總數(shù)(16427個(gè))的1.5%�,涉及網(wǎng)站150個(gè)�����,共可能泄露信息51.2億條。?從危險(xiǎn)等級(jí)看�,高危漏洞
2、數(shù)量占97.6%�,中危占比為2.4%。?從漏洞的技術(shù)類型看����,命令執(zhí)行(占比為63.7%)、代碼執(zhí)行(14.7%)和SQL注入(8.8%)占比最高�,三者之和占全部信息泄露漏洞的八成以上。?在251個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞中�����,共有24個(gè)網(wǎng)站漏洞可能泄露的信息在5000萬(wàn)條以上��,其中還有11個(gè)漏洞可能泄露的信息數(shù)量在1億條以上��。?補(bǔ)天平臺(tái)收錄的信息泄露相關(guān)漏洞中�,有85.3%的相關(guān)漏洞泄露的屬于個(gè)人信息,14.7%相關(guān)漏洞泄露的屬于機(jī)構(gòu)機(jī)密信息�。?在251個(gè)可能泄露信息的網(wǎng)站漏洞中:約85.7%的網(wǎng)站漏洞可能泄露用戶的實(shí)名信息,可能泄露實(shí)名信
3�����、息數(shù)量多達(dá)42.9億條;約14.7%的網(wǎng)站漏洞可能泄露機(jī)構(gòu)機(jī)密信息���,可能泄露機(jī)構(gòu)機(jī)密信息數(shù)量多達(dá)5.6億條�����。?在251個(gè)補(bǔ)天平臺(tái)收錄的信息泄露漏洞中��,備案的網(wǎng)站漏洞有為236個(gè),占比94.0%����。在已備案的網(wǎng)站中,被報(bào)漏洞的企業(yè)網(wǎng)站數(shù)量是最多的��,占比為74.2%��。?從可泄露的信息數(shù)量來(lái)看�,不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大。企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多����,分別為43.9億條�,約為全年可能泄露信息總量的85.8%�����。另外����,未備案網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的6.9%。?金融網(wǎng)站���、政府機(jī)構(gòu)及事業(yè)單位網(wǎng)站���、通信運(yùn)營(yíng)
4、商網(wǎng)站被報(bào)告的可泄露信息的漏洞最多�,占比分別為28.3%、26.7%�����、24.7%����,三大行業(yè)網(wǎng)站的漏洞報(bào)告數(shù)量約占所有網(wǎng)站被報(bào)告漏洞數(shù)量的79.7%。?從可能泄露信息數(shù)量來(lái)看,金融行業(yè)(22.1億條)��、通信運(yùn)營(yíng)商(18.9億條)網(wǎng)站可能泄露的信息數(shù)量也是最多的�����,遠(yuǎn)高于其他行業(yè)��。國(guó)內(nèi)�����、外機(jī)構(gòu)重大信息泄露事件分析?政府及事業(yè)單位的重大信息泄露事件:2017年����,國(guó)內(nèi)發(fā)生了一系列的政府機(jī)構(gòu)泄露信息事件。讓人驚訝的是���,這些事件大多是由于政府網(wǎng)站在政務(wù)公開環(huán)節(jié),不必要的公開了相關(guān)人員完整的����、詳細(xì)的身份信息而造成的,被不當(dāng)公開的信息包括完整的身份證號(hào)碼��,
5、聯(lián)系電話等信息����。?國(guó)外軍事機(jī)構(gòu)重大信息泄露事件:軍事機(jī)構(gòu)的內(nèi)部信息無(wú)疑是最為敏感的機(jī)密信息。在2017年媒體披露的軍事機(jī)構(gòu)重大泄密事件中�����,美國(guó)上榜次數(shù)最多��。CIA���、NSA�����、美國(guó)國(guó)防部���,美國(guó)陸、海���、空軍等都未能幸免�。從國(guó)外軍事機(jī)構(gòu)機(jī)密信息泄露的原因和結(jié)果來(lái)看�����,主要有以下幾個(gè)明顯的特點(diǎn):內(nèi)鬼問(wèn)題;供應(yīng)鏈安全問(wèn)題���;網(wǎng)絡(luò)武器成為攻擊目標(biāo)�����;低級(jí)運(yùn)維錯(cuò)誤仍普遍存在���。?國(guó)外政府機(jī)構(gòu)重大信息泄露事件:2017年媒體公布的國(guó)外政府機(jī)構(gòu)重大信息泄露事件中,美國(guó)和印度的上榜次數(shù)最多�����。國(guó)外政府機(jī)構(gòu)的信息泄露事件主要表現(xiàn)出以下幾個(gè)明顯特點(diǎn):政府機(jī)構(gòu)信息泄露的重要原
6�����、因在于網(wǎng)絡(luò)服務(wù)商或云服務(wù)商的管理疏失或安全漏洞�����;超大規(guī)模的信息泄露事件頻發(fā)�,泄露信息數(shù)量動(dòng)輒上千萬(wàn);政府機(jī)構(gòu)泄露的公民個(gè)人信息往往是綜合性信息��,包括姓名�、身份ID(如身份證號(hào)碼)、家庭住址�����、家庭關(guān)系���、工作情況�、電話號(hào)碼和電子郵箱等��。?國(guó)外金融行業(yè)重大信息泄露事件:國(guó)外金融機(jī)構(gòu)的信息泄露事件主要表現(xiàn)為以下幾個(gè)特點(diǎn)值得關(guān)注:信息泄露伴隨財(cái)產(chǎn)損失���;誤操作也可能引起重大損失���;內(nèi)鬼問(wèn)題和技術(shù)竊密值得關(guān)注。?交通行業(yè)重大信息泄露事件:交通行業(yè)發(fā)生重大信息泄露事件的機(jī)構(gòu)主要集中在民航和汽車領(lǐng)域�����。泄密原因多種多樣��,其中也有一些高級(jí)機(jī)密信息泄露的事件發(fā)生,
7����、如英國(guó)女王安保路線這樣高度機(jī)密的信息被泄露等。?國(guó)外互聯(lián)網(wǎng)企業(yè)重大信息泄露事件:從2017年互聯(lián)網(wǎng)企業(yè)重大信息泄露事件來(lái)看�,主要表現(xiàn)出以下幾個(gè)特點(diǎn)值得關(guān)注:帳號(hào)密碼仍然是互聯(lián)網(wǎng)企業(yè)信息泄露的主要形式;技術(shù)資料泄密事件多發(fā)��,并可能引發(fā)難以估計(jì)的損失���;互聯(lián)網(wǎng)企業(yè)的安全漏洞或管理疏失�����,往往會(huì)殃及大量使用這些互聯(lián)網(wǎng)企業(yè)服務(wù)的企業(yè)和個(gè)人�����;物聯(lián)網(wǎng)服務(wù)可能引發(fā)的信息泄露成為現(xiàn)實(shí)���。?醫(yī)療衛(wèi)生機(jī)構(gòu)重大信息泄露事件:醫(yī)療衛(wèi)生行業(yè)的信息泄露一般可以分為病患信息泄露和醫(yī)院信息泄露兩個(gè)方面。特別讓人擔(dān)憂的是���,病患信息屬于極其敏感的個(gè)人信息�����,知名人士病患信息的泄露甚
8�����、至可能引發(fā)社會(huì)不安�。?傳媒機(jī)構(gòu)重大信息泄露事件:2017年國(guó)外傳媒機(jī)構(gòu)重大信息泄露事件大多與黑客攻擊有關(guān)����,也有個(gè)別情況是由于運(yùn)維不當(dāng)造成的。媒體機(jī)構(gòu)泄露信息的內(nèi)容也是多種多樣�,包括用戶信息、商
