热门:360：政府机关网站高危漏洞修复率高达90%

本篇文章2163字，读完约5分钟

据中新网1月5日360网络安全中心发布的《年中国网站安全漏洞状况分解报告》显示，网站高危漏洞大幅增加80%，在大厅平均修复率仅为42.9%的背景下，政府部门网站的 与此相对，社会团体、个人和公司网站的修复率需要公司网站提高45.5%，个人网站提高40.1%，社会团体网站提高38.3%。

这表明，在“网络安全”成为国家战术的背景下，中国各级政府机关对网站安全的重视程度空前高涨。

it/网络领域网站漏洞最多的政府部门网站的漏洞修复率最高

年补天平台上收录的网站备案类型集中在政府机关、事业单位、社会团体、公司、个体5个类别。 这是为了具体分解这五种备案类型。

总体来说，补天平台收录的备案网站的脆弱性中，公司网站的脆弱性数量最多，为50.3%，事业单位网站为24.7%，政府机关网站为16.0%，个人网站为6.6%，社会团体网站为2.5%。 从高危脆弱性网站来看，社会团体网站的高危脆弱性最多，为47.5%，公司网站为47.3%，事业部门网站为43.3%，政府机关网站为41.7%，个人网站为36.4%。

根据补天平台的统计，政府机关网站的脆弱性修复率最高，为77.1%，其次是事业单位网站为68.1%，公司网站为45.5%，个人网站为40.1%，社会团体网站为38.3%。 从高危脆弱性修复率来看，政府部门网站也同样修复最高，为90.0%，事业单位为56.7%，公司网站为48.5%，社会团体网站为48.2%，个人网站为42.7%。

公司网站本身的it/网络、金融、教育训练、汽车交通、生产制造、电信运营商等10个重要领域的网站本身，it/网络领域的网站报告的脆弱性最多，为23.5%。

与政府机构网站修复率最高的现象相比，360安全专家认为随着网络安全成为国家战术，政府机构重视包括网站安全在内的网络安全的程度曾经是

据说《网络安全法》特别强调保护重要的新闻基础设施。 上海交通大学新闻安全工程学院院长李建华表示，县级(包括)以上党政机关网站、要点信息网站、每天平均访问量超过100万人的网站，以及网络安全事故发生后可能泄露100万个人新闻的网站，

预计随着《网络安全法》的年度实施，网站的安全将在各个领域继续加强。

网站漏洞利用的目标都指向“钱”。

网站的高危漏洞急剧增加，与网站的漏洞攻击相比，泄露了很多消息。

根据补天平台的统计，在短短一年内收录的漏洞中，有1400个漏洞引起个人新闻泄露，新闻规模达到55.3亿条。 年新收录了导致300余条个人新闻泄露的脆弱性，可以泄露约50余亿条个人新闻。

许多实例和研究表明网站个人新闻泄露已经成为网络欺诈的助推器。 法尔平台诈骗报告显示，超过半数的诈骗案件与个人新闻泄露有关。

在年受到广泛关注的山东徐玉玉事件中，罪犯利用被盗的消息，伪装成教育局员工发放补助金进行诈骗。 据警方调查，徐玉玉的消息是黑客利用漏洞入侵“山东省高考网上注册新闻系统”网站而得到的。 黑客从这个网站上偷了60多万条个人新闻。

作为最接近“金钱”的领域，金融领域网站的脆弱性受到黑客的关注。 根据补天平台的统计，年金融领域网站的脆弱性数和高危脆弱性数均居各行业前列。 年前11个月的金融网站脆弱性暴露数(超过1700个)、高危脆弱性数(约700个)领先于教育训练、汽车交通、医疗卫生等领域。

报告显示，金融领域各行业的网站基本上明确了安全问题，特别是保险业最严重。 根据补天平台收录的漏洞数据，白帽子报告了保险行业260多个漏洞、银行行业130多个漏洞、证券领域70个漏洞、p2p资产管理服务类网站也有180多个漏洞。 例如，年4月公布的国内某保险协会网站上存在的安全漏洞风险可能会泄露8亿保单的消息，影响1亿客户。

新金融业务网站的安全也同样存在很多问题。 例如，某互联网金融社区的主站有svn的脆弱性，汽车金融平台的资金车的出借暴露了新闻泄露的脆弱性等，与这些金融新业务有一定程度的关联性，如果利用这些脆弱性，则在网站内

另外，每年多个第三方支付公司也暴露了一些漏洞，被利用会影响平台顾客资金转移的安全性。

众测将成为人民时评网站的安全防护方向

对许多网站运营者来说，人才短缺是应对安全漏洞的重要原因。 目前，中国网络安全人才缺口巨大，中国高校培养的新闻安全专业毕业生最近三年只有3万人，不到市场诉求量的70万5%。 在人才不足和费用紧张的情况下，期待各机构成立自己的安全应对团队并不容易。

比较网站安全保护的课题和人才不足的现状，安全专家认为，目前以众测为代表的模型创新、“终端+云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向，在近年来甚至遥远的未来

众测将在众包模式下发现漏洞问题的任务一个一个颁发给白帽，通过严格的审查、特定的加密数据通信渠道，一个一个地发挥自己的力量，目标公司发现潜在的安全问题，提供安全可靠的平台服务

安全专家认为众包/众包技术可能是企业增强响应能力的必然选择。 众包/众包不需要企业自己的安全响应中心( src )，而是通过第三方信息平台提供“src即服务”，完全

以前是纯公益开放招募的脆弱性模型，众测是完全和升级的。 现在，国内已经有包括补天平台在内的平台展开了安全公众测定的尝试。 这种模型有助于政府企业客户在缺乏安全人才的背景下处理网站安全问题。