日前，360互聯(lián)網(wǎng)安全中心發(fā)布《中國(guó)網(wǎng)站安全報(bào)告（2015）》，報(bào)告顯示在2015年國(guó)內(nèi)網(wǎng)站漏洞仍然比較嚴(yán)重，北京成為遭受漏洞攻擊最為嚴(yán)重地區(qū)。

三類安全漏洞為主

報(bào)告稱，2015年全年（截至11月18日），360互聯(lián)網(wǎng)安全中心網(wǎng)站安全檢測(cè)平臺(tái)共掃描各類網(wǎng)站231.2萬(wàn)個(gè)，其中，掃出存在漏洞的網(wǎng)站101.5萬(wàn)個(gè)，占比為43.9%，較2014年的61.7萬(wàn)個(gè)增長(zhǎng)了64.5%。其中，掃出存在高危漏洞的網(wǎng)站30.8萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的13.3%，較2014年的27.9萬(wàn)個(gè)增長(zhǎng)了10.4%。

大數(shù)據(jù)顯示，2015年全年（截至11月18日）360網(wǎng)站安全檢測(cè)平臺(tái)全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞265.1萬(wàn)次，約為2014年462.1萬(wàn)次的一半，平均每月掃出高危漏洞約24.1萬(wàn)次；平均每天掃出高危漏洞約0.8萬(wàn)次。

雖然數(shù)量下降，不過(guò)，由于2014年掃描網(wǎng)站164.2萬(wàn)個(gè)，只有2015年的71%，因此，2015年，高中危漏洞的掃出比例大幅下降。

互聯(lián)網(wǎng)安全專家裴智勇博士介紹，從各種漏洞類型來(lái)看，跨站腳本攻擊漏洞（21.9%）、異常頁(yè)面導(dǎo)致服務(wù)器路徑泄露（11.8%）和SQL注入漏洞（16.0%）這三類安全漏洞是占比最高的網(wǎng)站安全漏洞，三者之和接近網(wǎng)站所有漏洞檢出總次數(shù)的一半。相比2014年，“異常頁(yè)面導(dǎo)致服務(wù)器路徑泄露”之漏洞是去年的“黑馬”漏洞，超過(guò)SQL注入漏洞而躍居第二。

數(shù)十億個(gè)人信息或泄露

2015年關(guān)于網(wǎng)站被拖庫(kù)、撞庫(kù)的的事件可謂屢見(jiàn)不鮮。在2015年（截至2015年11月18日）中國(guó)最大的漏洞播報(bào)平臺(tái)補(bǔ)天平臺(tái)收錄的網(wǎng)站漏洞中，共有1410個(gè)漏洞可能造成網(wǎng)站上的個(gè)人信息泄露，這些漏洞共涉及網(wǎng)站1282個(gè)，可能泄露的個(gè)人信息量（下文簡(jiǎn)稱泄露信息量）高達(dá)55.3億條。這一數(shù)字較2014年的23.6億條翻了一倍還多。如果按照中國(guó)網(wǎng)民總數(shù)為6.5億計(jì)算，這一數(shù)字也就意味著，僅僅在2015年這一年，平均每個(gè)中國(guó)網(wǎng)民就至少可能泄漏了8條以上的個(gè)人信息。

360互聯(lián)網(wǎng)安全中心方面表示，在對(duì)IT/互聯(lián)網(wǎng)、電信運(yùn)營(yíng)商、金融理財(cái)、汽車交通、教育培訓(xùn)和醫(yī)療衛(wèi)生等六個(gè)重點(diǎn)領(lǐng)域網(wǎng)站存在的漏洞進(jìn)行分析，統(tǒng)計(jì)發(fā)現(xiàn)泄露信息漏洞可導(dǎo)致約11.5億條個(gè)人信息泄露。其中：IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個(gè)人信息最多，為5.23億條、其次是醫(yī)療衛(wèi)生網(wǎng)站2.40億條、電信運(yùn)營(yíng)商1.97億條、金融理財(cái)網(wǎng)站1.10億條；汽車交通網(wǎng)站5418萬(wàn)條、教育培訓(xùn)2462萬(wàn)條。

從可能泄露的個(gè)人信息量網(wǎng)站性質(zhì)來(lái)看，企業(yè)網(wǎng)站可能泄露的信息量為25.9億條，政府、事業(yè)單位、個(gè)人和社會(huì)團(tuán)體可能泄露的信息量也分別達(dá)到了9.5億、3.7億、0.4億和0.2億條。

“事實(shí)上，只要是人編寫的程序，都有可能出現(xiàn)漏洞，只要及時(shí)修復(fù)，就很大程度上避免信息泄露。”補(bǔ)天漏洞響應(yīng)平臺(tái)專家鮑宇介紹，雖然漏洞頻繁，但是網(wǎng)站漏洞修復(fù)率過(guò)低，是目前網(wǎng)站安全面臨的一個(gè)重大問(wèn)題。補(bǔ)天平臺(tái)在收到白帽子報(bào)告的網(wǎng)站安全漏洞后，都會(huì)在第一時(shí)間通過(guò)網(wǎng)站官網(wǎng)上提供的聯(lián)系方式向相關(guān)網(wǎng)站報(bào)告漏洞及漏洞細(xì)節(jié)。但2015年的統(tǒng)計(jì)數(shù)據(jù)顯示，網(wǎng)站在收到相關(guān)漏洞報(bào)告后，平均修復(fù)率仍然不超過(guò)10%，有的行業(yè)甚至低于5%。政府網(wǎng)站的漏洞修復(fù)率在所有備案類型網(wǎng)站中排名墊底，僅為1.8%，這與普通網(wǎng)民對(duì)政府網(wǎng)站的信賴度相對(duì)較高的情況非常不相稱。