《2015年中国互联网安全报告》抢先看!
作者:星期二, 三月 1, 20160

截至2015年11月18日,补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,可能泄露的个人信息量高达55.3亿条。其中,IT、医疗、电信、金融、交通、教育等六大领域网约11.5亿条个人信息泄露。

360互联网安全中心今日凌晨发布《2015年中国互联网安全报告》,安全牛第一时间拿到报告全文。现经编辑整理后,将报告中的重要核心内容提炼出来,抢先分享给业界朋友们。

报告简介

《2015年中国互联网安全报告》共分为5个主要部分,恶意程序、钓鱼网站、电信骚扰、网络诈骗和网站安全,分别从终端安全、网站安全和网络诈骗这三个维度,分析了2015年中国互联网安全的整体情况。

报告目录:

第一章    恶意程序

一、恶意程序新增量与拦截量

二、恶意程序地域分布

第二章    钓鱼网站

一、钓鱼网站新增量与拦截量

二、钓鱼网站拦截量地域分布

三、钓鱼网站服务器地域分布

四、钓鱼网站举例

第三章    电信骚扰

一、骚扰电话号码标记量与拦截量

二、骚扰电话类型分布

三、骚扰电话归属地分布

四、垃圾短信拦截量

五、垃圾短信类型分析

六、垃圾短信地域分布

第四章    网络诈骗

一、网络诈骗总体情况

二、网络诈骗类型分析

三、网络诈骗传播途径

四、网络诈骗受害者地域分布

第五章    网站安全

一、漏洞扫描分析

二、漏洞收录情况分析

三、网页篡改与后门

四、漏洞攻击与类型

五、网站安全行业分析

六、个人信息泄露情况

附录1  2015年国内外重大网络信息安全事件

附录2  2015年各省区市互联网安全状况态势图

附录3  2015年各省互联网安全情况介绍

核心内容

一、恶意程序

2015年全年,360互联网安全中心共截获PC端新增恶意程序样本3.56亿个,和2014年相比增长9.9%;360安全卫士、360杀毒共为全国用户拦截恶意程序攻击855.4亿次,相比2014年大幅增长49.4%。

640.webp (22)

2015年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1874.0万个,是2014年的5.7倍;平均每天截获新增恶意程序样本也高达51342个。2015全年,360互联网安全中心累计监测到Android用户感染恶意程序3.7亿人次,较2014年增长了15.0%;平均每天恶意程序感染量达到了100.6万人次。

640.webp (23)

安全牛评

从PC端和移动端恶意程序数量的激增来看,当今的防恶意软件机制已经难以应对。尤其是移动端恶意程序的爆发,充分体现了移动设备的普及趋势,以及相应亟需的安全防护需求。

二、钓鱼网站

2015年全年,360互联网安全中心共截获各类新增钓鱼网站156.9万个,相比2014年下降了40.1%;平均每天截获新增钓鱼网站4299个。2015年,360互联网安全检测产品共为全国用户拦截各类钓鱼网站攻击379.3亿次,相比2014年(406亿)下降了6.6%。

640.webp (24)

2015年,在拦截的各类钓鱼网站攻击中,PC端为331.3亿次,占360各类终端安全产品拦截钓鱼网站总量的87.4%;手机端为48.0亿次,占12.6%。手机端拦截的总攻击次数和在总拦截量中的占比,均创历史新高。

640.webp (25)

在新增钓鱼网站中,虚假购物的占比最大,达到了44.7%,其次是金融理财13.6%、虚假中奖10.8%位列其后。而在钓鱼网站的拦截量方面,彩票钓鱼占到了72.9%,排名第一,其次是虚假购物10.8%、网站被黑4.9%。

640.webp (26)

综合PC端和手机端钓鱼网站情况,新增钓鱼网站服务器的地域分布情况为:大约有41.6%的钓鱼网站服务器分布在境内地区,58.4%在境外地区。

640.webp (27)

三、电信骚扰

2015年,用户通过360手机卫士标记各类骚扰电话号码(包括360手机卫士自动检出的响一声电话)约2.62亿个(全年去重),比2014年(2.56亿)增加了2.3%;平均每天被用户标记的各类骚扰电话号码约106.4万个(当日去重)。2015年,360手机卫士共为全国用户识别和拦截各类骚扰电话272.6亿次,比2014年(165.9亿)增加了64.3%;平均每天识别和拦截骚扰电话7468.5万次。

640.webp (28)

2015年,360手机卫士共为全国用户拦截各类垃圾短信约318.3亿条,较2014年(613亿)下降了48.1%,相比2013年更是下降了67.3%。

640.webp (29)

垃圾短信拦截量的大幅下降反映出垃圾短信发送量同步下降。之所以垃圾短信的数量会连续三年年会出现持续下降,主要有以下几方面的原因:

1)手机安全厂商通过不断的技术进步,对垃圾短信的识别率和拦截率不断提高,使得垃圾短信绕过手机安全软件防护的机会越来越低,从而使发送垃圾短信的商业价值越来越低。

2)工信部等行业主管部门从2013年年末开始持续实施的垃圾短信严格治理政策成效日益明显。

3)各大电信运营商也开始越来越重视用户体验,对于垃圾短信的过滤技术也得到了不断的提升。

通过用户举报的垃圾短信内容分析来看,广告推销类短信最多,占比达91.9%;其次是诈骗短信约占垃圾短信总量的4.3%;违法短信占比为3.8%。具体见下图。

640.webp (30)

安全牛评

短信发送量的下降直接导致垃圾短信绝对数量的下降,但电信骚扰的大幅上升,则很可能是由大量的信息泄漏事件所导致。

四、网络诈骗

2015年,猎网平台共收到全国用户提交的网络诈骗举报24886例,举报总金额1.27亿余元,人均损失5106元。与2014年相比,虽然网络诈骗的举报数量只增长了7.96%,但人均损失却增长了146.67%,将近1.5倍。

640.webp (31)

其中,PC用户举报15913例,涉案总金额为7702.47万元,人均损失4840元;手机用户举报8973例,涉案总金额为5004.50万元,人均损失约为5577元。虽然手机用户举报量大大低于PC用户举报量,但被骗金额均较高,平均损失比PC端高出737元。

640.webp (32)

而从涉案总金额来看,金融理财类诈骗最高,达3768.6万元,占比为29.7%;其次是虚假兼职诈骗,涉案总金额为2043.2万元,占比为16.1%;虚假中奖诈骗排第三,涉案总金额1066.7万元,占比为8.40%。

下图给出了主要网络诈骗类型的举报量和涉案总金额分布情况。

640.webp (33)

下图给出了2015年网络诈骗信息传播主要途径比例分布图。社交工具为诈骗信息的主要传播途径,占比将近60%。

640.webp (34)

安全牛评

社交平台及其应用,尤其是移动端的应用已经得到大范围的普及。由于社交应用的天然可信性,再加上信息泄露的推波助澜,社交工具成为诈骗信息的主要传播途径几成必然。

五、网站安全

2015年全年(截至11月18日),360网站安全检测平台共扫描各类网站231.2万个,较2014年的164.2万个增加了40.8%。其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较2014年的61.7万个增长了64.5%。其中,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%,较2014年的27.9万个增长了10.4%。

640.webp (35)

2015年1月1日-11月18日,补天平台共收录各类网站安全漏洞37943个,涉及网站26370个。

漏洞修复率过低,是目前网站安全面临的一个重大问题。2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仅为4.7%。(网站修复漏洞后,需要在补天平台上进行标注,未进行标注的一律视为漏洞未修复。)也就是说,超过95%的网站漏洞长期得不到修复,这就给黑客对网站发动攻击留下了非常充分的时间。

而在已修复的网站漏洞中,24小时内修复的比例为10.3%,2-3天内修复的比例为14.1%,4-7天内修复的比例为23.8%,8-30天内修复的比例为24.2%,而修复周期大于30天的,占比为27.7%。总体而言,即便是在能够修复漏洞的网站中,仍有至少一半以上的网站,漏洞修复周期过长,修复很不及时(大于7天)。

640.webp (36)

网站漏洞的性质可以分为事件型漏洞和通用型漏洞。所谓事件型漏洞就是仅对该网站有危害,而对其他网站无影响的漏洞;通用型漏洞则是会对有相同技术架构、相近应用业务的网站皆有影响的漏洞。在2015年补天平台收录的网站安全漏洞中,事件型漏洞占比86.3%,通用型漏洞占比13.7%。

640.webp (37)

网站备案可以分为政府、事业单位、社会团体、企业、个人等五个类别。下图给出了补天平台收录的备案网站漏洞中,不同备案类型网站的漏洞数量和高危漏洞数量对比情况。其中,涉及备案网站的漏洞总量为28050个(共涉及22084个网站),其中高危漏洞为18974个。总体而言,补天平台收录的备案网站漏洞中,企业网站的漏洞和高危漏洞的数量都是最多的。企业网站报告的漏洞最多,达14981个,其中高危漏洞10092个,政府、事业单位、社会团体、个人等漏洞及高危漏洞数量具体见下图。从受影响网站角度看,上述漏洞涉及11453家企业网站、5179家事业单位网站、3315家政府网站、1583家个人网站、554家社会团体网站。

640.webp (38)

统计显示,在2015年(截至2015年11月18日)补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,本章统简称此类漏洞为“泄露信息漏洞”(这与单纯技术上的“信息泄露漏洞”不是一个概念),这些漏洞共涉及网站1282个,可能泄露的个人信息量(本章下文简称泄露信息量)高达55.3亿条。

从可能泄露的个人信息量上来看:企业网站可能泄露的信息量为25.9亿条,政府、事业单位、个人和社会团体网站可能泄露的信息量分别为9.5亿、3.7亿、0.4亿和0.2亿条,占比分别为65.2%、23.9%、9.3%、1.0%、0.5%。

640.webp (39)

在所有存在泄露信息漏洞的企业和个人备案的网站中,我们选择了332个可以明确确认其所属行业的网站进行个人信息泄漏的行业分析。这332个网站主要分布在IT/互联网、电信运营商、金融理财、汽车交通、教育培训和医疗卫生等六个重点领域。这六个领域的网站存在的泄露信息漏洞共可导致约11.5亿条个人信息泄露,占到了企业/个人网站可能泄露信息总量(26.3亿条)的43.7%。其中:IT/互联网网站可能泄漏的个人信息最多,为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站1.10亿条;汽车交通网站5418万条;教育培训2462万条。

640.webp (40)

安全牛评

缺乏对安全的了解,以及对安全工作的漠视和安全人员的缺乏,是导致大多数网站修复率低、修复周期长的主要原因。此外,随着数字支付的普及和物联网的即将到来,个人信息的价值越来越高,相关的网络犯罪已呈现出愈演愈烈的态势。普及并提高全民全社会网络安全防范意识的工作仍需要不断进行,深入开展。

《2015中国互联网报告》的最大特点是,在360的互联网安全产品运维数据的基础上,融入了大量网民的智慧,特别是来自补天平台和猎网平台这两大平台的技术和数据支撑。

者是一个第三方付费漏洞征集平台,是连接白帽子与网站的桥梁纽带。网站漏洞修复率极低、网站惊人的个人信息泄漏等问题,都是在这一平台上,通过白帽子的报告而暴露出来的。后者则是一个警民联合创办的网络诈骗举报平台(由北京市公安局与360联合创办),该平台目前已经是国内最大的,面向全体网民的网络诈骗信息举报平台。关于网络诈骗的形势分析,关于最新的网络诈骗手法等,都是通过这一平台向全国网民征集而来。

据悉,这是360首次将上述两大平台的数据全面纳入互联网安全报告的研究之中。

完整报告下载地址:

PDF版 —— https://yunpan.cn/cxTSuYQNLeKPr

Word版 —— https://yunpan.cn/cxTSrGhMLBGbv

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章