報(bào)告概述
安全值行業(yè)報(bào)告是基于威脅情報(bào)數(shù)據(jù)���,利用大數(shù)據(jù)的分析方法對(duì)行業(yè)整體安全狀態(tài)進(jìn)行評(píng)價(jià)和分析���,本次對(duì)全國(guó)76家物流行業(yè)進(jìn)行數(shù)據(jù)采集,并進(jìn)行安全評(píng)價(jià)和量化風(fēng)險(xiǎn)分析���,包括業(yè)務(wù)安全�、隱私安全、應(yīng)用安全��、主機(jī)安全���、網(wǎng)絡(luò)安全�����、環(huán)境安全6個(gè)維度����。
通過(guò)安全值對(duì)第一季度的數(shù)據(jù)分析發(fā)現(xiàn):
根據(jù)2016-6-15安全值數(shù)據(jù)�����,物流行業(yè)的安全值為854�,整體評(píng)價(jià)為 “一般”,共76家物流公司��,其中45家(59%)評(píng)價(jià)為“良好”�����;25家(33%)評(píng)價(jià)為“一般”����;6家(8%)評(píng)價(jià)為“較差”����。
過(guò)去12個(gè)月內(nèi)共發(fā)現(xiàn)26家物流公司(34%)存在漏洞披露風(fēng)險(xiǎn)���。對(duì)2016-1-1至2016-6-15的數(shù)據(jù)進(jìn)行詳細(xì)分析�����,發(fā)現(xiàn)22家物流公司共有86個(gè)漏洞披露告警信息�。
1. 行業(yè)總體概況
根據(jù)2016-6-15安全值數(shù)據(jù)�,物流行業(yè)的安全值為854分����,整體評(píng)價(jià)為 “一般”,共76家物流公司����,其中45家(59%)評(píng)價(jià)為“良好”;25家(33%)評(píng)價(jià)為“一般”�����;6家(8%)評(píng)價(jià)為“較差”。
1.1 總體安全值分布
從安全值的分布情況來(lái)看���,其中49家物流公司得分高于或等于平均值854�����,27家得分低于平均值�����,最低分?jǐn)?shù)為416分��。
1.2 互聯(lián)網(wǎng)資產(chǎn)統(tǒng)計(jì)
安全值對(duì)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析統(tǒng)計(jì)�,包括各機(jī)構(gòu)注冊(cè)的域名����、面向互聯(lián)網(wǎng)開(kāi)放的主機(jī)服務(wù)(不僅限于Web服務(wù)的網(wǎng)站)和公網(wǎng)IP地址。
本次采集的數(shù)據(jù)中域名共有166個(gè)����,公網(wǎng)主機(jī)1419個(gè),公網(wǎng)IP地址1272個(gè)��,平均每個(gè)機(jī)構(gòu)有38個(gè)互聯(lián)網(wǎng)資產(chǎn)��。
2. 風(fēng)險(xiǎn)分布及量化評(píng)估
2.1 風(fēng)險(xiǎn)量化評(píng)估
根據(jù)業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)管理最佳實(shí)踐,結(jié)合風(fēng)險(xiǎn)等級(jí)�、影響范圍、頻率�����、數(shù)量��、時(shí)間各方面要素建立量化風(fēng)險(xiǎn)的計(jì)算模型�����,對(duì)整體情況的6個(gè)風(fēng)險(xiǎn)域(業(yè)務(wù)安全����、應(yīng)用安全�����、隱私安全�����、主機(jī)安全���、網(wǎng)絡(luò)安全和環(huán)境安全)進(jìn)行量化評(píng)價(jià)���。
2.2 存在風(fēng)險(xiǎn)的機(jī)構(gòu)數(shù)量
應(yīng)用安全和主機(jī)安全較為嚴(yán)重�����,有69家物流公司存在隱私安全風(fēng)險(xiǎn)�,26家存在應(yīng)用安全���,26家存在主機(jī)安全問(wèn)題���,報(bào)告第4章對(duì)“漏洞披露”風(fēng)險(xiǎn)進(jìn)行了詳細(xì)分析。
3. 風(fēng)險(xiǎn)指標(biāo)分析
安全值整體基于12個(gè)風(fēng)險(xiǎn)指標(biāo)支撐6個(gè)維度的安全評(píng)價(jià)����,分別對(duì)各項(xiàng)風(fēng)險(xiǎn)指標(biāo)影響的機(jī)構(gòu)數(shù)量進(jìn)行統(tǒng)計(jì)便于找出較集中的問(wèn)題。
4. “漏洞披露”風(fēng)險(xiǎn)詳細(xì)分析
指標(biāo)說(shuō)明:互聯(lián)網(wǎng)公開(kāi)的安全社區(qū)上披露的企業(yè)安全漏洞應(yīng)該優(yōu)先處理���,避免漏洞在修復(fù)之前被公開(kāi)�����,引來(lái)惡意攻擊和影響形象��,應(yīng)通過(guò)安全顧問(wèn)的幫助分析問(wèn)題的根源�,避免同類(lèi)漏洞的產(chǎn)生。
過(guò)去12個(gè)月內(nèi)共發(fā)現(xiàn)26家物流公司(34%)存在漏洞披露風(fēng)險(xiǎn)�����。對(duì)2016-1-1至2016-6-15的數(shù)據(jù)進(jìn)行詳細(xì)分析���,發(fā)現(xiàn)22家物流公司共有86個(gè)漏洞披露告警信息��。
可以從漏洞分布圖看出�,sql注入與邏輯漏洞(設(shè)計(jì)錯(cuò)誤/邏輯缺陷�、未授權(quán)訪(fǎng)問(wèn)/權(quán)限繞過(guò))還是占最多(50%)。
處置建議:
1. 加強(qiáng)開(kāi)發(fā)安全編程培訓(xùn)����,提高人員安全開(kāi)發(fā)水平和安全意識(shí),了解安全風(fēng)險(xiǎn)的標(biāo)準(zhǔn)應(yīng)對(duì)方案等;
2. 加強(qiáng)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的識(shí)別���,對(duì)信息系統(tǒng)風(fēng)險(xiǎn)可能的對(duì)業(yè)務(wù)的影響進(jìn)行分析,為風(fēng)險(xiǎn)處置計(jì)劃提供輸入��;
3. 測(cè)試過(guò)程中從信息系統(tǒng)的安全漏洞中發(fā)現(xiàn)�����,信息系統(tǒng)可能繞過(guò)業(yè)務(wù)流程的管控,確定業(yè)務(wù)流程與信息系統(tǒng)流程的一致性����,加強(qiáng)信息系統(tǒng)設(shè)計(jì)的風(fēng)險(xiǎn)考慮;
4. 加強(qiáng)應(yīng)用上線(xiàn)的安全測(cè)試機(jī)制�,建議上線(xiàn)過(guò)程中通過(guò)黑盒測(cè)試,開(kāi)發(fā)過(guò)程中加強(qiáng)安全開(kāi)發(fā)管理�����;
5. 部分已經(jīng)應(yīng)用的安全措施能力不足���,可能造成安全防護(hù)的盲區(qū)�,建議加強(qiáng)關(guān)鍵點(diǎn)的安全防護(hù)保證客戶(hù)的信息安全及業(yè)務(wù)的正常開(kāi)展�����。
風(fēng)險(xiǎn)指標(biāo)說(shuō)明
安全值根據(jù)外部大數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)行挖掘��,建立并持續(xù)更新指標(biāo)體系�����,當(dāng)前由12項(xiàng)安全風(fēng)險(xiǎn)指標(biāo)支撐安全評(píng)價(jià)和分析。
域名劫持:域名解析異常����,部分用戶(hù)數(shù)據(jù)可能被非法劫持;
域名被封:域名被判定為不可信任的域名����,部分用戶(hù)可能無(wú)法訪(fǎng)問(wèn);
郵箱被封:郵件地址被認(rèn)為垃圾郵件域����,發(fā)出的郵件可能被認(rèn)為垃圾郵件;
IP被封:IP被判定為惡意地址����,可能影響網(wǎng)絡(luò)正常通訊;
漏洞披露:在互聯(lián)網(wǎng)安全社區(qū)上披露了系統(tǒng)的安全漏洞��;
Web攻擊:在線(xiàn)Web系統(tǒng)遭受了黑客的Web攻擊或掃描���;
域名信息泄露:域名未做隱私保護(hù)��,域名管理員可能會(huì)遭受釣魚(yú)攻擊��;
帳號(hào)信息泄露:企業(yè)的員工帳號(hào)在第三方數(shù)據(jù)庫(kù)中被泄露���,可能包括密碼等敏感信息;
惡意代碼:信息系統(tǒng)上發(fā)現(xiàn)后門(mén)�、病毒、木馬等惡意代碼��;
僵尸網(wǎng)絡(luò):網(wǎng)絡(luò)內(nèi)的主機(jī)可能已經(jīng)被入侵��,并植入木馬�、后門(mén)程序;
異常流量:在線(xiàn)系統(tǒng)或網(wǎng)絡(luò)遭受DDOS拒絕服務(wù)攻擊��;
公有云風(fēng)險(xiǎn):您正在與惡意網(wǎng)站共用同一個(gè)云服務(wù)資源�。
附表1:
附表2:
