报告概述
安全值行业报告是基于威胁情报数据,利用大数据的分析方法对行业整体安全状态进行评价和分析,本次对985和211工程的115所高校数据采集,并进行安全评价和量化风险分析,包括业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度。
通过安全值对第一季度的数据分析发现:
根据2016-5-23安全值数据,重点高校的安全值为683,整体评价为 “一般”,共115所,其中21所(18%)评价为“良好”;54所(47%)评价为“一般”;40所(35%)评价为“较差”。
过去12个月内共发现 54所高校(47%)存在恶意代码风险。对2016-2-24至2016-5-23(近3个月)的数据进行详细分析,发现40所高校64个网站存在恶意代码,201次恶意代码报警。对恶意代码平均的响应时间为321天。其中4所高校对恶意代码的响应较快,1天之内就进行了清除,最慢的网站1486天才进行清理。
1. 行业总体概况
根据2016-5-23安全值数据,重点高校的安全值为683,整体评价为 “一般”,共115个,其中21所(18%)评价为“良好”;54所(47%)评价为“一般”;40所(35%)评价为“较差”。
1.1. 总体安全值分布
从安全值的分布情况来看,其中59所高校得分高于或等于平均值683,56所得分低于平均值,最低分数为372分。
1.2. 互联网资产统计
安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。
本次采集的数据中域名共有115个,公网主机14647个,公网IP地址8896个,平均每个机构有206个互联网资产。
2. 风险分布及量化评估
2.1. 风险量化评估
根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价。
2.2. 存在风险的机构数量
应用安全和主机安全较为严重,有102所高校存在应用安全风险,84所存在主机安全问题,报告第4章对恶意代码风险进行了详细分析。
3. 风险指标分析
安全值整体基于12个风险指标支撑6个维度的安全评价,分别对各项风险指标影响的机构数量进行统计便于找出较集中的问题。
4. “恶意代码”风险详细分析
指标说明:在线系统上发现了后门、病毒、木马等类型的恶意代码,系统很可以已经被攻击,蓄意植入这些恶意代码,也可能是系统文件被感染,根据恶意代码的不同对系统造成不同程度的影响。
过去12个月内共发现 54所高校(47%)存在恶意代码风险。
对2016-2-24至2016-5-23(约3个月)的数据进行详细分析,发现40所高校64个网站存在恶意代码,201次恶意代码报警。
近3个月发生恶意代码的40所高校中,对恶意代码平均的响应时间为321天。其中4所高校对恶意代码的响应较快,1天之内就进行了清除,最慢的网站1486天才进行清理。
处置建议:
1.对系统进行漏洞检查和渗透测试,分析系统潜在隐患;
2.使用不同的安全产品全面检查网站系统,发现恶意代码应及时清除,例如:Blueliv、Websense ThreatSeeker、Trustwave、ESET、Sucuri SiteCheck、Certly、Tencent、ADMINUSLabs、Kaspersky、Netcraft、Antiy-AVL、Google Safebrowsing、CLEAN MX、Yandex Safebrowsing、Avira、SCUMWARE.org、Sophos、ParetoLogic、Dr.Web、Fortinet等;
3.严格要求系统上线的安全测试。
风险指标说明
安全值根据外部大数据和威胁情报数据进行挖掘,建立并持续更新指标体系,当前由12项安全风险指标支撑安全评价和分析。
- 域名劫持:域名解析异常,部分用户数据可能被非法劫持;
- 域名被封:域名被判定为不可信任的域名,部分用户可能无法访问;
- 邮箱被封:邮件地址被认为垃圾邮件域,发出的邮件可能被认为垃圾邮件;
- IP被封:IP被判定为恶意地址,可能影响网络正常通讯;
- 漏洞披露:在互联网安全社区上披露了系统的安全漏洞;
- Web攻击:在线Web系统遭受了黑客的Web攻击或扫描;
- 域名信息泄露:域名未做隐私保护,域名管理员可能会遭受钓鱼攻击;
- 帐号信息泄露:企业的员工帐号在第三方数据库中被泄露,可能包括密码等敏感信息;
- 恶意代码:信息系统上发现后门、病毒、木马等恶意代码;
- 僵尸网络:网络内的主机可能已经被入侵,并植入木马、后门程序;
- 异常流量:在线系统或网络遭受DDOS拒绝服务攻击;
- 公有云风险:您正在与恶意网站共用同一个云服务资源。
附表:重点高校采样名单
(字母排序,不分先后)