2017年12月13日
信息泄露,是政企機構面臨的重要安全風險之一。2017年以來,國內外均有大量重大的信息泄露事件被媒體曝光,泄露信息少則數十萬條,多則數億條,信息泄露的危害也引起了整個社會的高度關注。
2017年12月12日,360威脅情報中心發布了《2017政企機構信息泄露形勢分析報告》。報告顯示,信息泄露已經成為安全問題的風險源頭,是政企機構面臨的重要安全風險之一。2017年以來,國內外均有大量重大的信息泄露事件被媒體曝光,泄露信息少則數十萬條,多則數億條,信息泄露的危害也引起了整個社會的高度關注。
網站漏洞可泄露信息形勢
2017年1月至10月,補天平臺共收錄可導致信息泄露的網站漏洞251個,較2016年的359個下降了30.1%,約占補天平臺全年漏洞收錄總數(16427個)的1.5%,涉及網站150個,共可能泄露信息51.2億條。
統計顯示,251個可導致信息泄露的網站漏洞,總計可能泄露信息為51.1億條,比2016年的60.5億條下降了15.5%;比2015年的55.3億條下降了7.6%。平均每個漏洞可導致2035.9萬條個人信息泄露,單個漏洞的危害大大增加。
從危險等級看,2017年可能泄露信息的漏洞中,高危漏洞數量占97.6%,中危占比為2.4%。與高危漏洞相比,中危和低危漏洞的利用難度相對較小。
從漏洞的技術類型看,2017年可能泄露信息的漏洞中,命令執行(占比為63.7%)、代碼執行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下圖給出了相關漏洞的技術類型詳細分布情況。
2017年1至10月,補天平臺收錄的可導致信息泄露的網站漏洞,具體分布情況如下圖 5個,1月份曝出的可能泄露的信息數量達到最高峰,為8.0億條信息。
統計顯示,在251個可導致信息泄露的網站漏洞中,共有24個網站漏洞可能泄露的信息在5000萬條以上,其中還有11個漏洞可能泄露的信息數量在1億條以上。下圖給出了2017年網站漏洞可能泄露信息的規模分析。
網站漏洞可泄露信息類型分析
360威脅情報中心的監測顯示,補天平臺收錄的信息泄露相關漏洞中,有85.3%的相關漏洞泄露的屬于個人信息,14.7%相關漏洞泄露的屬于機構機密信息。
按照數據的敏感度,本報告將補天平臺收錄的漏洞可能泄露的個信息數據劃分為四個基本類型:
1)實名信息:如姓名、電話、身份證、銀行卡、家庭住址等信息。
2)保單信息:保單號、保險信息、車險信息等。
3)帳號密碼:如各類網站登錄帳號密碼、游戲帳號密碼、電子郵箱帳號密碼等。
4)行為記錄:如聊天記錄,購物記錄、差旅信息等。
而相關漏洞可能泄露的機構機密信息中,根據潛在風險程度,依次主要包括以下幾個大類:
1) 財務信息
2) 合同信息
3) 企業資產
4) 公司注冊信息
統計顯示,在251個可能泄露信息的網站漏洞中:約85.7%的網站漏洞可能泄露用戶的實名信息,可能泄露實名信息數量多達42.9億條;約10.8%的網站漏洞可能泄露用戶的保單信息,可能泄露保單信息數量多達4.5億條;約14.7%的網站漏洞可能泄露機構機密信息,可能泄露機構機密信息數量多達5.6億條,具體如下圖所示:
需要特別說明的是,由于網站數據形式的多樣性,一個網站漏洞可能泄露的信息的類型未必是單一的,約有1.6%漏洞會同時泄露上述3種不同類型的信息,約10.4%的漏洞會同時泄露上述兩種不同類型的信息。
可泄露信息網站的行業分析
根據工信部網站查詢結果,一般網站備案的類型分為:軍隊、政府機構、事業單位、社會團體、企業、個人等類型。在251個補天平臺收錄的信息泄露漏洞中,其中有備案的網站漏洞有為236個,占比94.0%。
在已備案的網站中,被報漏洞的企業網站數量是最多的,占比為69.7%,其次為政府機構網站,占比為19.5%,事業單位網站占比為4.0%。從下圖可以看出,企業和政府機構網站存在的信息泄露漏洞的情況明顯多于其他。
從可泄露的信息數量來看,不同備案類型網站漏洞可能泄露信息數量的差異較大。從下圖可以看出,企業網站漏洞可能泄露的信息數量最多,約為43.9億條,約為全年可能泄露信息總量的85.8%。另外,未備案,網站的漏洞可能泄露的信息數量也約占全年泄露總量的6.9%。
統計顯示,金融網站(金融行業的相關漏洞主要集中在中小保險機構及中小信貸平臺,而銀行等大型金融機構的安全性相對較高,問題較少)、政府機構及事業單位網站、通信運營商(含虛擬運營商)網站被報告的可泄露信息的漏洞最多,占比分別為28.3%、26.7%、24.7%,三大行業網站的漏洞報告數量約占所有網站被報告漏洞數量的79.7%。
從可能泄露信息數量來看,金融行業(22.1億條)、通信運營商(18.9億條)網站可能泄露的信息數量也是最多的,遠高于其他行業。
網站信息泄露的原因與趨勢
綜合補天平臺過去三年來的監測與分析,一個明顯的趨勢就是可造成重大信息泄露的漏洞數量每年都在大幅下降,但同時,單個漏洞可能造成的信息泄露數量卻在大幅增加。這一方面反應出國內網站在信息保護方面的建設在不斷加強,整體形式明顯好轉;另一方面也反應出,信息泄露的風險正在逐步向少數領域集中,而且大型民用服務系統一旦出現安全問題,往往會給整個社會帶來巨大的損失。
實際上,信息泄露問題是政企機構數字化轉型過程中普遍存在的安全問題。數字化轉型較早,信息系統網絡化程度相對較高的行業和領域,被暴露出來的問題也相對較多。如金融、通信、新興互聯網等領域。但隨著數字化轉型的逐漸深入以及網絡安全建設水平的不斷提高,這些行業或領域在度過信息泄露的高峰期后,安全問題會逐漸緩和。但某些數字化轉型相對較晚的行業或領域,如某些大型政府機構、制造業,以及某些傳統實體經濟,現在暴露出來的問題就相對較少,但在未來不可避免的數字化轉型過程中,也必然會逐漸暴露出越來越多的安全問題,面臨越來越大的信息泄露風險。
從另外一個角度來看,在消費互聯網時代,聚集大量個人服務的信息系統,往往容易成為信息泄露的高發點。而在未來,隨著智慧城市的建設,產業互聯網的出現,傳統的實體經濟的互聯網化,政務云和互聯網+的普及,政府機構和實體經濟將有可能面臨更大的信息泄露風險,成為信息泄露新的高發領域。
此外,報告分析了多起媒體披露的國內政府及事業單位的重大信息泄露事件,總體來看,互聯網企業被曝出的信息泄露事件最多,影響也最大。其次是政府和事業單位網站。此外,金融、醫療等行業也有相關的信息泄露事件被曝出。
其中大多數事件是由于政府網站在政務公開環節,不必要的公開了相關人員完整的、詳細的身份信息而造成的,被不當公開的信息包括了完整的身份證號碼,聯系電話等信息。
另一方面,在報告分析的國外政府機構重大信息泄露事件中,有多起超大規模的信息泄露事件,泄露信息數量動輒上千萬;政府機構泄露的公民個人信息往往是綜合性信息,包括姓名、身份ID(如身份證號碼)、家庭住址、家庭關系、工作情況、電話號碼和電子郵箱等。
《報告》認為,造成機構信息泄露的主要原因有兩類,一是黑客入侵、二是內鬼出賣。而從機構泄露的信息類型來看,主要也分為兩類,個人信息和機密信息,后者是指政企機構內部除個人信息之外的商業機密、技術機密及其他機密信息。
在大數據產業迅猛發展的浪潮中,我國個人信息安全和隱私保護面臨著嚴峻形勢。個人信息作為數據信息的核心內容,面臨著采集、存儲、加工、各環節的使用規范化問題,與個人隱私息息相關。目前,一些行業個人信息泄露事件頻發,不法分子甚至還會利用已經泄露的海量數據信息進行關聯分析,甚至做出客戶畫像,精準定位用戶身份后,實施精準詐騙。
為了更加全面的分析2017年以來,國內外政企機構的信息泄露安全風險及由此引發的其他安全問題,報告從網站的信息泄露風險,及國內外重大信息泄露事件這兩個方面,系統性的分析了政企機構信息泄露的風險及形勢。
本文來自安全咨詢
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商!