八大国计民生行业网络安全差异分析报告

一、概述

网络安全已经是各行业专注的热点，并随着互联网技术的发展各行业面临着新的威胁，这让网络安全变得更加复杂。各行业迫切需要更加全面、多样的视角来评估安全风险。

2016年8月安全值团队利用大数据技术，通过对外部多种安全威胁情报数据的分析，对银行、证券业、保险业、互联网金融、物流服务、航空服务、高校、医院8大行业，共计1648家机构/单位进行安全现状分析，识别了域名劫持、域名被封、邮箱被封、IP被封、域名信息泄露、帐号信息泄露、恶意代码、僵尸网络、异常流量10大安全风险。

二、主要发现

1.        互联网资产越多，面临的安全风险也随之增大；

2.        375家未进行域名隐私保护，各行业均超过80%的机构对域名未进行隐私保护，是普遍存在的问题（edu.cn域名注册信息无法通过公开方法查询，不在本次分析范围之内）；

3.        安全漏洞仍然是主要问题，80%的“高校”被公开披露了安全漏洞；

4.        37个机构/单位的邮箱被列入垃圾邮件列表；

5.        医院和高校是“僵尸网络”的重灾区；

6.        互联网金融和医院面临着较严重的异常流量攻击。

三、行业安全值评价

通过大数据风险评估方法，从互联网角度对银行、证券业、保险业、互联网金融、物流服务、航空服务、高校、医院共8个行业，共计1648家机构和企业完成了安全评价，得分为1000分制，分为三个等级（良好900-1000，一般600-899，较差400-599）。

发现在8个行业评价结果中，115所“高校”的平均得分最低。

“高校”行业中仅仅有24%的获得了“良好”评价，其它行业中“良好”的机构均超过50%。 

其中：

l   银行业265家，包括204家银行和61家信托公司；

l   证券业199家，包括6家交易所、95家证券公司、98家基金公司；

l   保险业包括105家保险公司；

l   互联网金融336家，包括110家众筹平台、150家P2P平台、44家第三方支付和32家消费金融；

l   高校包括115所全国重点高级院校；

l   医院包括460家全国三甲医院；

l   航空服务85家，包括42家航空公司和43家机场；

l   物流服务包括全国83家物流服务公司。

四、评价“较差”行业

高校中 “较差”的比例达24%

全部1648家机构中1067家(65%)为“良好(900-1000)”,499家为“一般(600-899)”，82家为“较差(400-599)”，115所高校中被评价“较差” 的占24%。

五、互联网资产现状

随着互联网技术的发展，各行业互联网业务模式较快，互联网资产增多，同时面临的安全风险也随之增大。对比行业间互联网资产的数量，“高校”面向互联网开放程度最高。

行业机构单位数量各不相同，对比每个机构平均资产数量可以看出，“高校”平均每所院校互联网资产最多，有234个，其它行业均不超过100个。

互联网资产：

l   “域名” 机构所注册的域名；

l   “主机” 面向互联网开放的主机服务地址（Web服务、email服务等）；

l   “IP地址“在线系统所使用的IP地址（包括托管、云服务等）。

六、风险量化评估

根据业内的信息安全风险管理最佳实践，结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型，对5个风险域（业务安全、应用安全、隐私安全、主机安全、网络安全）进行打分。

8个行业大多数风险域得分均在70分以上， “高校”的应用安全和主机安全分别是 27分和69分，是行业需要重点关注的风险，80%的院校被公开披露了安全漏洞。

业务安全：域名劫持、域名被封、邮箱被封、IP被封

应用安全：漏洞披露

隐私安全：域名信息泄露、帐号信息泄露

主机安全：恶意代码、僵尸网络

网络安全：异常流量

七、普遍性风险分析

1375家机构未进行域名隐私保护

发现1375家机构未进行域名隐私保护，各行业均超过80%，是普遍存在的问题（edu.cn域名注册信息无法通过公开方法查询，不在本次分析范围之内）。

当你在注册商成功注册域名后，你的姓名、联系地址、电话、Email等注册信息将被存储到域名whois信息数据库中，任何人都可公开查询到这些信息，隐私无法保障。

域名隐私保护，指域名持有者可以通过自主设置保护域名注册人、电话、邮箱等信息不被公开，减少垃圾邮件、短信以及防止个人真实信息被窃取等。可以与域名服务商联系，申请域名隐私保护。

八、风险严重性分析

对各行业受到风险影响的机构进行分析，对比10类风险在其影响范围内的机构平均数量来寻找严重性较高的风险，发现“邮箱被封”、“僵尸网络”和“异常流量”是严重性最高的风险。

九、邮箱被封分析

37个机构的邮箱被列入垃圾邮件列表

对过去180天内8140条垃圾邮件数据分析，发现本次评估的行业机构中共有37个机构或公司被列入垃圾邮件列表，平均每个机构发生220条垃圾邮件行为，这可能对邮件通讯造成一定的风险影响，客户可能无法正常收到通讯邮件。

本次评估发现互联网金融公司中14家（4.2%）被发现频繁的垃圾邮件行为，在过去的180天内共发生6556次垃圾邮件通讯，平均每个机构发生468.29次，超过总体平均每机构220次（基线），其它行业均在此“基线” 以下。

被列入垃圾邮件列表的原因可能是被伪造的邮件引起或者行业营销推广行为所引起。企业可以利用SPF技术防范发信人伪造域名的垃圾邮件。

十、僵尸网络分析

院和高校是“僵尸网络”的重灾区

对过去180天内62163条僵尸网络报警数据分析，发现本次评估的行业机构中共有372个机构或公司存在僵尸网络，平均每个机构发生167次僵尸网络行为，类型主要是发起端口扫描和cc攻击。

分析发现，高校和医院分别有63和102个机构单位存在僵尸网络风险，平均每个机构单位发现的僵尸网络异常行为分别是234.95条和254.01条，僵尸网络的异常行为频繁，应尽快排插网络内的主机是否存在后门程序被远程控制。

十一、异常流量分析

联网金融和医院面临着较严重的异常流量攻击

对过去180天内71725条僵尸网络报警数据分析，发现本次评估的行业机构中共有469个机构或公司存在僵尸网络，平均每个机构发生153次僵尸网络行为，类型主要是发起端口扫描和cc攻击。

十二、易受到攻击的端口

受到攻击的端口 TOP 20

十三、十大风险说明

                        域名劫持：DNS服务问题引起的域名劫持事件，您的用户可能面临钓鱼的风险。

                        域名被封：被不同的第三方机构列入黑名单，网站的正常访问可能被禁止。

                        邮箱被封：被反垃圾邮件组织列入黑名单，用户可能无法正常收到您发出的邮件。

                        IP被封：被不同的第三方机构列入黑名单，网络的正常通信可能被阻断。

                        漏洞披露：第三方安全社区上公布的安全漏洞信息，系统存在安全漏洞并被高度关注。

                        域名信息泄漏：域名的注册信息可以利用whois在互联网公开查询，暴露了管理员的信息。

                        帐号信息泄露：第三方泄漏数据中存在企业用户的邮箱和密码信息，可能引来撞库攻击。

                        恶意代码：来自国内外安全厂商的恶意代码检测结果，系统可能被植入后门或恶意脚本。

                        僵尸网络：网络对外部发起的扫描或攻击行为，主机可能存在木马程序，被远程控制。

                        异常流量：网络遭遇到DDOS拒绝服务流量攻击行为。

转载来源：安全牛