近日鬧的沸沸揚(yáng)揚(yáng)的網(wǎng)易郵箱數(shù)據(jù)泄露事件繼續(xù)發(fā)酵,幾日前烏云稱,根據(jù)白帽子報(bào)告,網(wǎng)易郵箱的用戶數(shù)據(jù)庫疑似泄露,數(shù)量多達(dá)5億條,其中包括用戶名、密碼、密碼提示問題和答案、注冊IP地址、生日等等,部分?jǐn)?shù)據(jù)甚至已經(jīng)在網(wǎng)上流傳。但隨后遭到易否認(rèn),稱不存在自身數(shù)據(jù)庫泄露問題。而國家互聯(lián)網(wǎng)應(yīng)急中心昨天通報(bào)稱,網(wǎng)易郵箱存在泄露情況,但不支持“過億數(shù)據(jù)泄露”這一判斷。
無論爭相如何,網(wǎng)絡(luò)安全形勢嚴(yán)峻已是不爭的事實(shí),而上個星期百略網(wǎng)也無端遭受了外部網(wǎng)絡(luò)攻擊,導(dǎo)致了一天的宕機(jī)。事實(shí)上我們對這種無良行為深惡痛絕,但在譴責(zé)這種犯罪行徑的同時,網(wǎng)絡(luò)安全也必須引起足夠的重視。
網(wǎng)站安全形勢嚴(yán)峻
從去年的iCloud好萊塢明星艷照、到Gmail、eBay數(shù)據(jù)泄密;從索尼遭遇黑客攻擊到12306網(wǎng)站用戶信息被出售,網(wǎng)絡(luò)安全事件層出窮,且有越演越烈的趨勢。
據(jù)360年初發(fā)布的2014年中國網(wǎng)站安全報(bào)告稱:
中國網(wǎng)站存在后門的網(wǎng)站數(shù)量大幅攀升
《報(bào)告》披露,目前有漏洞和高危漏洞的網(wǎng)站比例較2013年大幅下降,但網(wǎng)站存在后門的比例和絕對數(shù)量卻大幅攀升。2014年全年,360網(wǎng)站安全檢測共對覆蓋網(wǎng)站199.6萬個的8409臺網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門檢測,發(fā)現(xiàn)約3465臺服務(wù)器存在后門,占比41.2%,比2013年增多了7.4個百分點(diǎn)。
來自互聯(lián)網(wǎng)協(xié)會的網(wǎng)站安全報(bào)告也顯示
2013年,互聯(lián)網(wǎng)黑客地下產(chǎn)業(yè)仍然較為活躍,針對中國互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升趨勢,其中政府網(wǎng)站是重要的攻擊目標(biāo)。
據(jù)了解網(wǎng)站遭受攻擊方式則主要有以下3種方式
網(wǎng)站篡改與后門
2014年全年,360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個,其中,被篡改的網(wǎng)站17.7萬個,約占掃描網(wǎng)站總數(shù)的10.8%。這也直接導(dǎo)致了釣魚網(wǎng)站的增多。而這些被篡改的網(wǎng)站也導(dǎo)致了用戶的信息泄露,繼而受到電信、網(wǎng)絡(luò)詐騙。
通過對8409臺網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門檢測,覆蓋網(wǎng)站199.6萬個,掃描共發(fā)現(xiàn)約3465臺服務(wù)器存在后門,占所有掃描網(wǎng)站服務(wù)器的41.2%。統(tǒng)計(jì)顯示,服務(wù)器刪除新發(fā)現(xiàn)后門的平均周期為8.28天。這種后門漏洞也導(dǎo)致了大量網(wǎng)站頻繁被黑。
漏洞攻擊
2014年全年,360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次,平均每天攔截漏洞攻擊209.6萬次。
平均每月有11.0萬個網(wǎng)站遭遇各類漏洞攻擊,其中,11月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個月,平均每天約有6667個網(wǎng)站遭到漏洞攻擊。
流量攻擊
流量攻擊一般分為兩類:
1.通過帶有欺騙性的合法大量數(shù)據(jù)請求,大流量像洪水一樣來壓垮網(wǎng)絡(luò)設(shè)備和服務(wù)器;(類似于將通道堵塞,使交通癱瘓)
2.有意制造大量無法完成的不完全請求來快速消耗計(jì)算資源,使服務(wù)器沒辦法處理正常的事物和請求。(類似于不斷打騷擾電話,讓服務(wù)器沒辦法正常工作)
2014年全年,360網(wǎng)站衛(wèi)士共攔截各類CC攻擊205.0億次,平均每天攔截CC攻擊6138萬次。統(tǒng)計(jì)顯示,全年共有15.6萬個網(wǎng)站被遭遇CC攻擊。
全年,360網(wǎng)站衛(wèi)士平均每月攔截各類DDoS攻擊744.4Gb/s。5月(1389Gb/s)和7月(1444Gb/s)是全年攔截DDoS攻擊的高峰期。
網(wǎng)站安全問題頻繁,呼喚HTTPS
面對嚴(yán)峻的安全形勢,專家一直呼吁網(wǎng)站能用上加密技術(shù)。比如目前,計(jì)算機(jī)業(yè)界以及美國政府正在發(fā)起聲勢浩大、牽涉面極廣的網(wǎng)站加密運(yùn)動,即HTTPS。
HTTPS是一種網(wǎng)站加密技術(shù),在說HTTPS之前先講什么是HTTP,HTTP就是我們平時瀏覽網(wǎng)頁時候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的,因此使HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,二十年前,網(wǎng)景公司設(shè)計(jì)了SSL(SecureSocketsLayer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而就誕生了HTTPS。簡單講是HTTP的安全版。
繼谷歌之后,百度也在今年年初已經(jīng)實(shí)現(xiàn)全站HTTPS加密搜索,不過我國網(wǎng)站的HTTPS加密普及率仍舊較低,HTTPS加密未來在中國仍然有很長一段路程要走。
HTTPS能解決網(wǎng)站安全問題嗎
不過網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)的工程,涉及到個人計(jì)算機(jī)的安全,協(xié)議的安全,傳輸數(shù)據(jù)的安全,以及軟件開發(fā)公司和網(wǎng)站的安全,單純的依靠一個HTTPS協(xié)議并不能解決所有的問題。
因此雖然采用HTTPS協(xié)議確實(shí)可以讓網(wǎng)站的安全性大大提高,但是HTTPS協(xié)議所針對的加密范圍較為有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面卻起不到什么作用。
要不要采用HTTPS
那么“到底該不該采用HTTPS協(xié)議呢?”如果也有這個疑問的話,就想想怎樣做對你的用戶更友好吧!
如果網(wǎng)站屬于資金安全的電子商務(wù)、金融、以及用戶隱私的社交網(wǎng)絡(luò)等領(lǐng)域的話,那最好是采用HTTPS協(xié)議;反之;如果只是獲取信息的博客、宣傳類網(wǎng)站、分類信息網(wǎng)站、抑或是新聞網(wǎng)站等不要求用戶登錄的,可不必跟風(fēng)。畢竟使用HTTPS協(xié)議既耗錢,又浪費(fèi)精力,甚至由于加載緩慢,服務(wù)器資源占用高等原因在一定程度上不利于用戶的瀏覽體驗(yàn)。
正如360在分析報(bào)告中稱:企業(yè)網(wǎng)站與管理系統(tǒng)的主要安全問題往往并不是那些技術(shù)復(fù)雜度很高的網(wǎng)站漏洞,而是一些比較低級的技術(shù)錯誤或人為的失誤,主要表現(xiàn)在以下三個方面:密碼安全性不足、運(yùn)維配置不當(dāng)、SQL注入漏洞。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。