隨着網站安全,IM即時通訊安全,郵件安全三個專題的相繼推出,終於在2008年年底,安全頻道大型Web安全活動月的系列活動也圓滿結束了。爲了深入瞭解國內用戶應對Web安全威脅的現狀,幫助他們找出隱患、提高防範能力,國內領先的中文IT技術網站51CTO.com於2008年12月特別推出了“Web安全威脅在線調查”活動,邀請廣大用戶參與線上調查,爲當前Web安全及威脅現狀提供更爲有力的數據依據;同時,51CTO.com安全頻道爲廣大用戶量身定做了系列Web安全相關技術專題,幫助用戶提高自身Web安全防禦能力。
調查報告概述
本次調查按照問卷形式進行,分三個主題,共有14道調查選項,由51CTO.com安全頻道和業內相關專家共同擬定。分別調查用戶在“網站安全”、“IM即時通訊安全”、“郵件安全”三個方面的安全現狀。根據用戶所選項的比重,將安全狀況分爲三個等級:
◆低度風險 防護較爲完善,遭遇Web威脅的可能性較低;
◆中度風險 可能存在有明顯漏洞,有較大可能性遭遇Web威脅;
◆高度風險 存在較大安全隱患,很有可能被***,嚴重情況下可能會造成關鍵數據丟失。
 |
|
圖1:用戶總體Web安全風險等級分佈 |
網站安全:SQL注入***是最大的安全威脅
“網站安全”偏重於調查用戶網站安全威脅和IT管理人員的技術能力。調查顯示,目前用戶在網站安全管理方面已經有了相當的重視。62.2%的用戶具備專業的運維團隊在保護網站安全,其中更有8.1%的用戶定期外請專業安全服務團隊做檢查加固等;但也有29.7%的網站處於無人看管的處境,毫無疑問,這些網站往往是被最先攻陷的。
 |
|
圖2:網站常見威脅類型 |
綜合分析可以看出,當前用戶對網站安全威脅普遍擔憂,對用戶來說,怎樣合理地、有效地保障網站安全是Web安全中令大多數人困惑的事情。
IM安全:一半用戶遭受過IM安全威脅
衆所周知,網絡安全最大的隱患來自內部;要想保證用戶的網絡安全,必須對內部網絡進行管理和規範。“IM即時通訊安全”偏重於遍歷性調查,重點了解當前用戶內部IM產品使用情況,以及IM安全管理相關策略。本次調查從IM產品、威脅類型、管理策略三個方面進行調查。
 |
|
圖3:IM即時通訊軟件安全威脅類型 |
相對而言,IM即時通訊軟件是企業Web應用的典型例子,它不僅使企業降低成本,更重要的是,通過即時通訊軟件,可以使員工工作效率大大提升,但問題是目前Web安全威脅日益增多,手段多樣,使IM軟件安全問題浮出水面。可喜的是,有43.2%的企業用戶正在從管理及技術手段上努力保障IM即時通訊軟件的正常運行。
郵件安全:垃圾郵件仍然是最大安全隱患
“郵件安全”主要偏重於遍歷性調查,重點了解用戶的郵件系統的安全性及防護措施。本次調查從郵件系統、威脅類型、垃圾郵件和郵件安全防範這四個方面進行評估。
從總體評估的情況看,認爲自己郵件系統存在安全威脅的用戶佔全部調查用戶的44.7%。這充分說明了用戶當前Web安全威脅下,郵件安全防護嚴峻形勢。
 |
|
圖4:郵件安全威脅類型分佈 |
那麼,影響郵件安全的隱患又有哪些呢?用戶認爲郵件系統面臨的最大安全隱患是什麼呢?答案是:垃圾郵件!調查顯示,有89.2%的用戶明確表示垃圾郵件嚴重浪費企業生產力,浪費企業IT資源,而且其中有78.4%的用戶認爲,垃圾郵件可能造成病毒傳播,信息泄密等其他方面的Web安全威脅。
調查顯示,確保企業郵件安全的措施中,用戶普遍認爲制定安全策略和員工安全意識培訓是非常重要的。此外還有67.6%用戶認爲反垃圾郵件產品是必不可少的安全採購項目,也願意購買此類產品。值得注意的是,在本次郵件安全調查中,有35.1%的用戶認爲爲保障郵件系統安全,某些員工郵箱不能發送外網。這意味着用戶已經發現郵件安全漏洞,有意識的保護自己的信息資源。可以說這是一件好事情。
總結: Web安全現狀不容樂觀
根據前面的調查,總體看來,可以發現我國用戶面臨的Web安全威脅是非常嚴重的;而一旦出現網站掛馬、病毒爆發,******等問題,完全有可能馬上造成災難性後果。考慮到目前用戶正常業務對網絡的依存度日益嚴重,這種後果更讓人感到迫在眉睫。在此51CTO.com也呼籲廣大用戶、網絡和安全管理人員,重視前面調查介紹的各個環節,特別是不僅僅強調安全產品和技術,更要強調安全流程管理和組織體系以及內部培訓,將安全隱患消滅在萌芽狀態。