三、2009年安全盘点:企业WEB安全威胁篇
经过近几年的发展,安全领域的革新技术已经极少出现。但是基于目前网络基础架构的网络攻击却在推陈出新。如何利用现有设备做好攻击防范,甚至于把威胁掐灭在萌芽中就成为用户关注的重点。此外,2009年也是Web应用发展突飞猛进的一年,厂商不仅在重视建设自身网站的同时,电子商务也在企业级市场高歌猛进。由此带来的Web安全威胁和数据库威胁等针对数据和应用层面手法的加强也是之前没有过的。这一点也从2009年接近56%的网站被黑客成功攻击过的数据可以看出来。
无论如何,Web应用从发展到成熟,必然要经历坎坷,安全问题也会在这个时期经常发生。不管是企业还是用户,都应该平静对待这个问题,以更加积极主动的去解决,而不是消极等待问题的发生。只有这样才能保护好企业的Web应用以及Web建设,不让成果毁于旦夕之间。
一、企业对公司网站安全的部门设置情况
09年的安全事件相比08年要少的多,但也不代表企业能在安全问题上喘口气。对于大多数企业而言,网络安全问题还是相当重要的,有44.4%的企业有专职团队在负责网络安全,另外还有20.8%的企业除了固定团队还有外聘专家服务检查加固。
企业对公司网站安全的部门设置情况
二、公司网站发生被挂马的情况
说2009年是挂马年也不为过,接近38.6%的网站都有不同程度的被挂马现象,而且由于挂马手段的愈发隐蔽性,17.4%的用户都不知道自己的网站是不是正在被人挂马。
公司网站发生被挂马的情况分布
三、对公司网站安全威胁最大的技术和行为
对于黑客来说,服务器是重点关注对象,在2009年内有将近63.3%的服务器被感染病毒、蠕虫或者木马程序,当然这里面有一些不都是黑客的原因。而对于Web服务器中的数据则是今年的攻击重点之一,想必这也是为什么Web应用安全领域今年如此受到关注的原因之一。此外,SQL注入(45.4%)、篡改网页(40.6%)、DDoS攻击(38.2%)、网络钓鱼(33.3%)、垃圾邮件(32.9%)、跨站脚本(27.5%)这些老牌攻击手法在今年也屡屡被使用。除了以上介绍的攻击手段之外,对网站威胁比较严重的权限弱口令(26.4%)的情况也不少见,由此来看防范攻击是重点不假,但起码自身要加强安全意识才是需要尽快解决的问题。
对公司网站安全威胁最大的技术和行为排名
四、公司网站发生WEB安全事件主要原因
由于2009年的Web应用发展异常迅猛,随之而来的则是大量针对Web应用的攻击手段的方法。对于Web应用而言,是离不开网络,更离不开网络安全。网络安全配置错误、遭受黑客攻击、未能及时修补软/硬件漏洞则为Web安全事件的前三甲。但是综合来看,除了黑客攻击,其他几项都是自身网络安全防范意识淡薄所至。这与上一部分分析的结论类似,防范是重点,但更需要有更警惕的安全意识。
公司网站发生WEB安全事件主要原因
五、企业网络遭遇到的最大安全风险
2009年也是企业积极开展网络建设的一年,但是,网络建设却面临着强大阻力。网络风险方面,依旧泛滥的木马和恶意软件占据54.6%的比例,内网客户端也是病毒高发的来源之一。除此之外没有预先报警、黑客攻击、尚未有真正有效的安全解决方案都是阻碍企业开展网络建设的原因之一。
企业网络遭遇到的最大安全风险分布
六、公司检查WEB安全的频率分布状况
对于大部分企业而言,定期检查整体安全性十分有必要,至少每月安全检查的企业占了73.9%。而达不到每月安全检查的企业扔占有26.1%左右的比例。
公司检查WEB安全的频率分布状况
七、企业解决WEB安全的有效办法
为了更好的建设Web应用,不少企业也采取了相关措施来防范风险。有48.3%的企业采用了客户端/.服务器端的整体防毒方案,有46.4%的企业采用网络层的解决方案,安全策略解决方案有44.0%的企业在使用。对于新兴的智能化网络,有30.0%的企业比较期待,但结合目前现阶段的技术发展来看。综合防病毒和网关层安全方案才是比较好的出路,仅仅依靠某一种方案就想达到理想的状况基本上不可能实现。2010年的安全发展仍然任重而道远。
企业解决WEB安全的有效办法