網(wǎng)站漏洞修復率不到一成 專(zhuān)家建議要及時(shí)修復

據悉，數十億條個(gè)人信息面臨泄露危險。按照被攻擊次數，2015年北京、蘇州等十城市遭受漏洞攻擊超過(guò)12億次，其中，北京遭到攻擊的IP最多，高達2.9億個(gè)。

黑客對網(wǎng)站發(fā)動(dòng)攻擊包括用漏洞入侵網(wǎng)站，對網(wǎng)站發(fā)動(dòng)流量攻擊，或在網(wǎng)站內植入木馬，引導網(wǎng)民轉向惡意網(wǎng)址。

據360互聯(lián)網(wǎng)安全中心專(zhuān)家裴智勇博士介紹，從各種漏洞類(lèi)型來(lái)看，跨站腳本攻擊漏洞（21.9%）、異常頁(yè)面導致服務(wù)器路徑泄露（11.8%）和SQL注入漏洞（16.0%）這三類(lèi)安全漏洞是占比最高的網(wǎng)站安全漏洞，三者之和接近網(wǎng)站所有漏洞檢出總次數的一半。相比2014年，“異常頁(yè)面導致服務(wù)器路徑泄露”之漏洞是2015年的“黑馬”漏洞，超過(guò)SQL注入漏洞而躍居第二。

在萬(wàn)物互聯(lián)時(shí)代，物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、互聯(lián)網(wǎng)+金融、O2O創(chuàng )業(yè)等領(lǐng)域方興未艾，廠(chǎng)商重視客戶(hù)端應用界面的快速上線(xiàn)，而忽略了應用背后常規、基礎的安全保障功能，以致對安全投入成本跟不上，導致大量應用及網(wǎng)站服務(wù)器端漏洞曝出。360互聯(lián)網(wǎng)安全中心專(zhuān)家對IT/互聯(lián)網(wǎng)、電信運營(yíng)商六個(gè)重點(diǎn)領(lǐng)域網(wǎng)站存在的漏洞進(jìn)行分析，發(fā)現泄露信息漏洞共可導致約11.5億條個(gè)人信息泄露。其中：IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個(gè)人信息最多，其次是醫療衛生網(wǎng)站，電信運營(yíng)商‘金融理財網(wǎng)站，汽車(chē)交通網(wǎng)站，教育培訓。

“事實(shí)上，只要是人編寫(xiě)的程序，都有可能出現漏洞，只要及時(shí)修復，就很大程度上避免信息泄露。”補天漏洞響應平臺專(zhuān)家鮑宇介紹，雖然漏洞頻繁，但網(wǎng)站漏洞修復率過(guò)低，是目前網(wǎng)站安全面臨的重大問(wèn)題。2015年的統計數據顯示，網(wǎng)站在收到相關(guān)漏洞報告后，平均修復率仍然不超過(guò)10%，有的行業(yè)甚至低于5%。

裴智勇博士建議，鑒于多數通用型漏洞屬于可以檢測的已知漏洞，事件型漏洞則存在一定的偶發(fā)性和不可預測性。如果網(wǎng)站加入補天平臺，就會(huì )安排專(zhuān)人對補天平臺報告的漏洞進(jìn)行響應和處理。統計顯示，在2015年被報告漏洞的備案網(wǎng)站中，有22.0%的網(wǎng)站已加入補天平臺。

裴智勇博士表示，2015年，“數據驅動(dòng)安全”的全新技術(shù)理念正在逐步取代傳統的被動(dòng)防御、靜態(tài)防御、孤立防御的技術(shù)理念，成為廣泛認可的重要的網(wǎng)絡(luò )安全發(fā)展趨勢，并且已經(jīng)取得了一系列的重要成果。威脅情報將是未來(lái)一兩年內，最具發(fā)展潛力的新興安全服務(wù)技術(shù)。人工智能、機器學(xué)習以及大數據可視化等一系列新興的網(wǎng)絡(luò )安全技術(shù)，將成為網(wǎng)絡(luò )安全企業(yè)競爭力的核心體現。 （記者向陽(yáng)）