【51CTO.com 獨(dú)家特稿】隨著網(wǎng)站安全，IM即時(shí)通訊安全，郵件安全三個(gè)專題的相繼推出，終于在2008年年底，安全頻道大型Web安全活動(dòng)月的系列活動(dòng)也圓滿結(jié)束了。為了深入了解國(guó)內(nèi)用戶應(yīng)對(duì)Web安全威脅的現(xiàn)狀，幫助他們找出隱患、提高防范能力，國(guó)內(nèi)領(lǐng)先的中文IT技術(shù)網(wǎng)站51CTO.com于2008年12月特別推出了“Web安全威脅在線調(diào)查”活動(dòng)，邀請(qǐng)廣大用戶參與線上調(diào)查，為當(dāng)前Web安全及威脅現(xiàn)狀提供更為有力的數(shù)據(jù)依據(jù)；同時(shí)，51CTO.com安全頻道為廣大用戶量身定做了系列Web安全相關(guān)技術(shù)專題，幫助用戶提高自身Web安全防御能力。

調(diào)查報(bào)告概述

本次調(diào)查按照問卷形式進(jìn)行，分三個(gè)主題，共有14道調(diào)查選項(xiàng)，由51CTO.com安全頻道和業(yè)內(nèi)相關(guān)專家共同擬定。分別調(diào)查用戶在“網(wǎng)站安全”、“IM即時(shí)通訊安全”、“郵件安全”三個(gè)方面的安全現(xiàn)狀。根據(jù)用戶所選項(xiàng)的比重，將安全狀況分為三個(gè)等級(jí)：

◆低度風(fēng)險(xiǎn)   防護(hù)較為完善，遭遇Web威脅的可能性較低；

◆中度風(fēng)險(xiǎn)   可能存在有明顯漏洞，有較大可能性遭遇Web威脅；

◆高度風(fēng)險(xiǎn)   存在較大安全隱患，很有可能被入侵，嚴(yán)重情況下可能會(huì)造成關(guān)鍵數(shù)據(jù)丟失。

圖1：用戶總體Web安全風(fēng)險(xiǎn)等級(jí)分布

網(wǎng)站安全：SQL注入攻擊是最大的安全威脅

“網(wǎng)站安全”偏重于調(diào)查用戶網(wǎng)站安全威脅和IT管理人員的技術(shù)能力。調(diào)查顯示，目前用戶在網(wǎng)站安全管理方面已經(jīng)有了相當(dāng)?shù)闹匾暋?2.2%的用戶具備專業(yè)的運(yùn)維團(tuán)隊(duì)在保護(hù)網(wǎng)站安全，其中更有8.1%的用戶定期外請(qǐng)專業(yè)安全服務(wù)團(tuán)隊(duì)做檢查加固等；但也有29.7%的網(wǎng)站處于無人看管的處境，毫無疑問，這些網(wǎng)站往往是被最先攻陷的。

圖2：網(wǎng)站常見威脅類型

綜合分析可以看出，當(dāng)前用戶對(duì)網(wǎng)站安全威脅普遍擔(dān)憂，對(duì)用戶來說，怎樣合理地、有效地保障網(wǎng)站安全是Web安全中令大多數(shù)人困惑的事情。

IM安全：一半用戶遭受過IM安全威脅

眾所周知，網(wǎng)絡(luò)安全最大的隱患來自內(nèi)部；要想保證用戶的網(wǎng)絡(luò)安全，必須對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行管理和規(guī)范。“IM即時(shí)通訊安全”偏重于遍歷性調(diào)查，重點(diǎn)了解當(dāng)前用戶內(nèi)部IM產(chǎn)品使用情況，以及IM安全管理相關(guān)策略。本次調(diào)查從IM產(chǎn)品、威脅類型、管理策略三個(gè)方面進(jìn)行調(diào)查。

圖3：IM即時(shí)通訊軟件安全威脅類型

相對(duì)而言，IM即時(shí)通訊軟件是企業(yè)Web應(yīng)用的典型例子，它不僅使企業(yè)降低成本，更重要的是，通過即時(shí)通訊軟件，可以使員工工作效率大大提升，但問題是目前Web安全威脅日益增多，手段多樣，使IM軟件安全問題浮出水面?？上驳氖?，有43.2%的企業(yè)用戶正在從管理及技術(shù)手段上努力保障IM即時(shí)通訊軟件的正常運(yùn)行。

郵件安全：垃圾郵件仍然是最大安全隱患

“郵件安全”主要偏重于遍歷性調(diào)查，重點(diǎn)了解用戶的郵件系統(tǒng)的安全性及防護(hù)措施。本次調(diào)查從郵件系統(tǒng)、威脅類型、垃圾郵件和郵件安全防范這四個(gè)方面進(jìn)行評(píng)估。

從總體評(píng)估的情況看，認(rèn)為自己郵件系統(tǒng)存在安全威脅的用戶占全部調(diào)查用戶的44.7%。這充分說明了用戶當(dāng)前Web安全威脅下，郵件安全防護(hù)嚴(yán)峻形勢(shì)。

圖4：郵件安全威脅類型分布

那么，影響郵件安全的隱患又有哪些呢？用戶認(rèn)為郵件系統(tǒng)面臨的最大安全隱患是什么呢？答案是：垃圾郵件！調(diào)查顯示，有89.2%的用戶明確表示垃圾郵件嚴(yán)重浪費(fèi)企業(yè)生產(chǎn)力，浪費(fèi)企業(yè)IT資源，而且其中有78.4%的用戶認(rèn)為，垃圾郵件可能造成病毒傳播，信息泄密等其他方面的Web安全威脅。

調(diào)查顯示，確保企業(yè)郵件安全的措施中，用戶普遍認(rèn)為制定安全策略和員工安全意識(shí)培訓(xùn)是非常重要的。此外還有67.6%用戶認(rèn)為反垃圾郵件產(chǎn)品是必不可少的安全采購項(xiàng)目，也愿意購買此類產(chǎn)品。值得注意的是，在本次郵件安全調(diào)查中，有35.1%的用戶認(rèn)為為保障郵件系統(tǒng)安全，某些員工郵箱不能發(fā)送外網(wǎng)。這意味著用戶已經(jīng)發(fā)現(xiàn)郵件安全漏洞，有意識(shí)的保護(hù)自己的信息資源?？梢哉f這是一件好事情。

總結(jié)： Web安全現(xiàn)狀不容樂觀

根據(jù)前面的調(diào)查，總體看來，可以發(fā)現(xiàn)我國(guó)用戶面臨的Web安全威脅是非常嚴(yán)重的；而一旦出現(xiàn)網(wǎng)站掛馬、病毒爆發(fā)，入侵攻擊等問題，完全有可能馬上造成災(zāi)難性后果?？紤]到目前用戶正常業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依存度日益嚴(yán)重，這種后果更讓人感到迫在眉睫。在此51CTO.com也呼吁廣大用戶、網(wǎng)絡(luò)和安全管理人員，重視前面調(diào)查介紹的各個(gè)環(huán)節(jié)，特別是不僅僅強(qiáng)調(diào)安全產(chǎn)品和技術(shù)，更要強(qiáng)調(diào)安全流程管理和組織體系以及內(nèi)部培訓(xùn)，將安全隱患消滅在萌芽狀態(tài)。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 網(wǎng)站常見的攻擊與防御
2. Web安全總動(dòng)員活動(dòng)月技術(shù)專題
3. 云安全技術(shù)專題