2015年3月20日,《中國互聯網站發展狀況及其安全報告(2015)》發布會暨“網站發展與安全趨勢論壇”在京召開。知道創宇監控預警中心負責人潘少華出席本次發布會,并在論壇上作了《從合規走向安全感知》的主題報告。
《中國互聯網站發展狀況及其安全報告(2015)》是在工業和信息化部的指導下,由中國互聯網協會聯合國家互聯網應急處理中心組織編撰的,知道創宇為該報告的編撰提供了全面的數據支持。
知道創宇監控預警中心負責人潘少華
2014 年是中國全功能接入國際互聯網20周年,中國互聯網行業創新活動頻繁,但市場競爭殘酷,據中國互聯網協會備案管理系統統計,2014年全年新開通的中國網站數量約95.2萬個,平均每月新開通網站7.9萬余個;全年網站主辦者自行停辦的中國網站81.1萬余個,平均每月自行停辦的網站6.7萬余個。
知道創宇監控預警中心負責人潘少華在演講中指出,諸如 OpenSSL“心臟出血”漏洞、bash“破殼”漏洞等第三方軟件高危漏洞頻出,對境內網站造成了大范圍的安全危害。然而,境內網站對零日類漏洞的處理和應對能力的不足,具體表現為“看不清”、“防不住”、“攻不克”等特點。以 2014 年 4 月的 OpenSSL“心臟出血”漏洞為例,在該漏洞爆發一周后,知道創宇利用ZoomEye探測得出境內互聯網上的漏洞修復率僅為 18%,相比全球 40%以上的修復率明顯落后。同年 9 月底爆發的又一嚴重漏洞 bash“破殼”漏洞,國內的修復時效再次反映了我國面對互聯網突發漏洞響應遲緩的問題。
知道創宇去年對重大信息安全事件進行了及時、嚴密的應急響應工作,據此建議網站監管部門、互聯網站運營者對自己所有或管轄的網絡設備和資源進行普查、進行分級管理,做到真正的心中有數;周期性監控,發現變化,防患于未然;第一時間感知最新漏洞,快速定位影響范圍,確認危害;管理部門下發整改通告,督促整改;啟動在線防護方案、應急方案;復查確認,確保問題根治。
在利用通用漏洞進行攻擊越來越流行的今天,唯有主動感知和快速響應,才能利用現有的技術和手段來應對日益嚴峻的來自整個網絡空間的威脅與挑戰。
(新聞稿 2015-03-31)