信息泄露,是政企机构面临的重要安全风险之一。2017年以来,国内外均有大量重大的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也引起了整个社会的高度关注。
2017年12月12日,360威胁情报中心发布了《2017政企机构信息泄露形势分析报告》。报告显示,信息泄露已经成为安全问题的风险源头,是政企机构面临的重要安全风险之一。2017年以来,国内外均有大量重大的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也引起了整个社会的高度关注。
网站漏洞可泄露信息形势
2017年1月至10月,补天平台共收录可导致信息泄露的网站漏洞251个,较2016年的359个下降了30.1%,约占补天平台全年漏洞收录总数(16427个)的1.5%,涉及网站150个,共可能泄露信息51.2亿条。
统计显示,251个可导致信息泄露的网站漏洞,总计可能泄露信息为51.1亿条,比2016年的60.5亿条下降了15.5%;比2015年的55.3亿条下降了7.6%。平均每个漏洞可导致2035.9万条个人信息泄露,单个漏洞的危害大大增加。
从危险等级看,2017年可能泄露信息的漏洞中,高危漏洞数量占97.6%,中危占比为2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。
从漏洞的技术类型看,2017年可能泄露信息的漏洞中,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。
2017年1至10月,补天平台收录的可导致信息泄露的网站漏洞,具体分布情况如下图 5个,1月份曝出的可能泄露的信息数量达到最高峰,为8.0亿条信息。
统计显示,在251个可导致信息泄露的网站漏洞中,共有24个网站漏洞可能泄露的信息在5000万条以上,其中还有11个漏洞可能泄露的信息数量在1亿条以上。下图给出了2017年网站漏洞可能泄露信息的规模分析。
网站漏洞可泄露信息类型分析
360威胁情报中心的监测显示,补天平台收录的信息泄露相关漏洞中,有85.3%的相关漏洞泄露的属于个人信息,14.7%相关漏洞泄露的属于机构机密信息。
按照数据的敏感度,本报告将补天平台收录的漏洞可能泄露的个信息数据划分为四个基本类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
2)保单信息:保单号、保险信息、车险信息等。
3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:
1) 财务信息
2) 合同信息
3) 企业资产
4) 公司注册信息
统计显示,在251个可能泄露信息的网站漏洞中:约85.7%的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达42.9亿条;约10.8%的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达4.5亿条;约14.7%的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达5.6亿条,具体如下图所示:
需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有1.6%漏洞会同时泄露上述3种不同类型的信息,约10.4%的漏洞会同时泄露上述两种不同类型的信息。
可泄露信息网站的行业分析
根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在251个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为236个,占比94.0%。
在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为69.7%,其次为政府机构网站,占比为19.5%,事业单位网站占比为4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为43.9亿条,约为全年可能泄露信息总量的85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的6.9%。
统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的79.7%。
从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
网站信息泄露的原因与趋势
综合补天平台过去三年来的监测与分析,一个明显的趋势就是可造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。
实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。但某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。
从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。
此外,报告分析了多起媒体披露的国内政府及事业单位的重大信息泄露事件,总体来看,互联网企业被曝出的信息泄露事件最多,影响也最大。其次是政府和事业单位网站。此外,金融、医疗等行业也有相关的信息泄露事件被曝出。
其中大多数事件是由于政府网站在政务公开环节,不必要的公开了相关人员完整的、详细的身份信息而造成的,被不当公开的信息包括了完整的身份证号码,联系电话等信息。
另一方面,在报告分析的国外政府机构重大信息泄露事件中,有多起超大规模的信息泄露事件,泄露信息数量动辄上千万;政府机构泄露的公民个人信息往往是综合性信息,包括姓名、身份ID(如身份证号码)、家庭住址、家庭关系、工作情况、电话号码和电子邮箱等。
《报告》认为,造成机构信息泄露的主要原因有两类,一是黑客入侵、二是内鬼出卖。而从机构泄露的信息类型来看,主要也分为两类,个人信息和机密信息,后者是指政企机构内部除个人信息之外的商业机密、技术机密及其他机密信息。
在大数据产业迅猛发展的浪潮中,我国个人信息安全和隐私保护面临着严峻形势。个人信息作为数据信息的核心内容,面临着采集、存储、加工、各环节的使用规范化问题,与个人隐私息息相关。目前,一些行业个人信息泄露事件频发,不法分子甚至还会利用已经泄露的海量数据信息进行关联分析,甚至做出客户画像,精准定位用户身份后,实施精准诈骗。
为了更加全面的分析2017年以来,国内外政企机构的信息泄露安全风险及由此引发的其他安全问题,报告从网站的信息泄露风险,及国内外重大信息泄露事件这两个方面,系统性的分析了政企机构信息泄露的风险及形势。
