360：2017政企机构信息泄露形势分析报告(33页)（33页）.pdf

《360：2017政企机构信息泄露形势分析报告(33页)（33页）.pdf》由会员分享，可在线阅读，更多相关《360：2017政企机构信息泄露形势分析报告(33页)（33页）.pdf（33页珍藏版）》请在三个皮匠报告上搜索。

1、 2017 政企机构信息泄露形势分析报告 2017 年 12 月 12 日 摘 要 信息泄露，是政企机构面临的重要安全风险之一。2017 年以来，国内外均有大量重大 的信息泄露事件被媒体曝光，泄露信息少则数十万条，多则数亿条，信息泄露的危害也 引起了整个社会的高度关注。信息泄露已经成为安全问题的风险源头。 网站漏洞泄露信息风险分析网站漏洞泄露信息风险分析 2017 年 1 月至 10 月，补天平台共收录可导致信息泄露的网站漏洞 251 个，较 2016 年 的 359 个下降了 30.1%，约占补天平台全年漏洞收录总数（16427 个）的 1.5%，涉及网 站 150 个，共可能泄露信息 51

2、.2 亿条。 从危险等级看，高危漏洞数量占 97.6%，中危占比为 2.4%。 从漏洞的技术类型看， 命令执行 （占比为 63.7%） 、 代码执行 （14.7%） 和 SQL 注入 （8.8%） 占比最高，三者之和占全部信息泄露漏洞的八成以上。 在 251 个可导致信息泄露的网站漏洞中， 共有 24 个网站漏洞可能泄露的信息在 5000 万 条以上，其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。 补天平台收录的信息泄露相关漏洞中， 有 85.3%的相关漏洞泄露的属于个人信息， 14.7% 相关漏洞泄露的属于机构机密信息。 在 251 个可能泄露信息的网站漏洞中：约 85.7%的网

3、站漏洞可能泄露用户的实名信息， 可能泄露实名信息数量多达 42.9 亿条； 约 14.7%的网站漏洞可能泄露机构机密信息， 可 能泄露机构机密信息数量多达 5.6 亿条。 在 251 个补天平台收录的信息泄露漏洞中，备案的网站漏洞有为 236 个，占比 94.0%。 在已备案的网站中，被报漏洞的企业网站数量是最多的，占比为 74.2%。 从可泄露的信息数量来看， 不同备案类型网站漏洞可能泄露信息数量的差异较大。 企业 网站漏洞可能泄露的信息数量最多，分别为 43.9 亿条，约为全年可能泄露信息总量的 85.8%。另外，未备案网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。 金融网站

4、、 政府机构及事业单位网站、 通信运营商网站被报告的可泄露信息的漏洞最多， 占比分别为 28.3%、26.7%、24.7%，三大行业网站的漏洞报告数量约占所有网站被报告 漏洞数量的 79.7%。 从可能泄露信息数量来看，金融行业（22.1 亿条） 、通信运营商（18.9 亿条）网站可能 泄露的信息数量也是最多的，远高于其他行业。 国内国内、外外机构机构重大信息泄露事件分析重大信息泄露事件分析 政府及事业单位的重大信息泄露事件：2017 年，国内发生了一系列的政府机构泄露信 息事件。让人惊讶的是，这些事件大多是由于政府网站在政务公开环节，不必要的公开 了相关人员完整的、 详细的身份信息而造成的，

5、 被不当公开的信息包括完整的身份证号 码，联系电话等信息。 国外军事机构重大信息泄露事件： 军事机构的内部信息无疑是最为敏感的机密信息。 在 2017 年媒体披露的军事机构重大泄密事件中，美国上榜次数最多。CIA、NSA、美国国 防部，美国陆、海、空军等都未能幸免。从国外军事机构机密信息泄露的原因和结果来 看， 主要有以下几个明显的特点： 内鬼问题； 供应链安全问题； 网络武器成为攻击目标； 低级运维错误仍普遍存在。 国外政府机构重大信息泄露事件：2017 年媒体公布的国外政府机构重大信息泄露事件 中， 美国和印度的上榜次数最多。 国外政府机构的信息泄露事件主要表现出以下几个明 显特点： 政府

6、机构信息泄露的重要原因在于网络服务商或云服务商的管理疏失或安全漏 洞；超大规模的信息泄露事件频发，泄露信息数量动辄上千万；政府机构泄露的公民个 人信息往往是综合性信息， 包括姓名、 身份 ID （如身份证号码） 、 家庭住址、 家庭关系、 工作情况、电话号码和电子邮箱等。 国外金融行业重大信息泄露事件： 国外金融机构的信息泄露事件主要表现为以下几个特 点值得关注：信息泄露伴随财产损失；误操作也可能引起重大损失；内鬼问题和技术窃 密值得关注。 交通行业重大信息泄露事件： 交通行业发生重大信息泄露事件的机构主要集中在民航和 汽车领域。泄密原因多种多样，其中也有一些高级机密信息泄露的事件发生，如英国