信息泄露，是政企機構面臨的重要安全風險之一。2017年以來，國內(nèi)外均有大量重大的信息泄露事件被媒體曝光，泄露信息少則數(shù)十萬條，多則數(shù)億條，信息泄露的危害也引起了整個社會的高度關注。

2017年12月12日，360威脅情報中心發(fā)布了《2017政企機構信息泄露形勢分析報告》。報告顯示，信息泄露已經(jīng)成為安全問題的風險源頭，是政企機構面臨的重要安全風險之一。2017年以來，國內(nèi)外均有大量重大的信息泄露事件被媒體曝光，泄露信息少則數(shù)十萬條，多則數(shù)億條，信息泄露的危害也引起了整個社會的高度關注。

網(wǎng)站漏洞可泄露信息形勢

2017年1月至10月，補天平臺共收錄可導致信息泄露的網(wǎng)站漏洞251個，較2016年的359個下降了30.1%，約占補天平臺全年漏洞收錄總數(shù)(16427個)的1.5%，涉及網(wǎng)站150個，共可能泄露信息51.2億條。

統(tǒng)計顯示，251個可導致信息泄露的網(wǎng)站漏洞，總計可能泄露信息為51.1億條，比2016年的60.5億條下降了15.5%;比2015年的55.3億條下降了7.6%。平均每個漏洞可導致2035.9萬條個人信息泄露，單個漏洞的危害大大增加。

從危險等級看，2017年可能泄露信息的漏洞中，高危漏洞數(shù)量占97.6%，中危占比為2.4%。與高危漏洞相比，中危和低危漏洞的利用難度相對較小。

從漏洞的技術類型看，2017年可能泄露信息的漏洞中，命令執(zhí)行(占比為63.7%)、代碼執(zhí)行(14.7%)和SQL注入(8.8%)占比最高，三者之和占全部信息泄露漏洞的八成以上。下圖給出了相關漏洞的技術類型詳細分布情況。

2017年1至10月，補天平臺收錄的可導致信息泄露的網(wǎng)站漏洞，具體分布情況如下圖 5個，1月份曝出的可能泄露的信息數(shù)量達到最高峰，為8.0億條信息。

統(tǒng)計顯示，在251個可導致信息泄露的網(wǎng)站漏洞中，共有24個網(wǎng)站漏洞可能泄露的信息在5000萬條以上，其中還有11個漏洞可能泄露的信息數(shù)量在1億條以上。下圖給出了2017年網(wǎng)站漏洞可能泄露信息的規(guī)模分析。

網(wǎng)站漏洞可泄露信息類型分析

360威脅情報中心的監(jiān)測顯示，補天平臺收錄的信息泄露相關漏洞中，有85.3%的相關漏洞泄露的屬于個人信息，14.7%相關漏洞泄露的屬于機構機密信息。

按照數(shù)據(jù)的敏感度，本報告將補天平臺收錄的漏洞可能泄露的個信息數(shù)據(jù)劃分為四個基本類型：

1)實名信息：如姓名、電話、身份證、銀行卡、家庭住址等信息。

2)保單信息：保單號、保險信息、車險信息等。

3)帳號密碼：如各類網(wǎng)站登錄帳號密碼、游戲帳號密碼、電子郵箱帳號密碼等。

4)行為記錄：如聊天記錄，購物記錄、差旅信息等。

而相關漏洞可能泄露的機構機密信息中，根據(jù)潛在風險程度，依次主要包括以下幾個大類：

1) 財務信息

2) 合同信息

3) 企業(yè)資產(chǎn)

4) 公司注冊信息

統(tǒng)計顯示，在251個可能泄露信息的網(wǎng)站漏洞中：約85.7%的網(wǎng)站漏洞可能泄露用戶的實名信息，可能泄露實名信息數(shù)量多達42.9億條;約10.8%的網(wǎng)站漏洞可能泄露用戶的保單信息，可能泄露保單信息數(shù)量多達4.5億條;約14.7%的網(wǎng)站漏洞可能泄露機構機密信息，可能泄露機構機密信息數(shù)量多達5.6億條，具體如下圖所示：

需要特別說明的是，由于網(wǎng)站數(shù)據(jù)形式的多樣性，一個網(wǎng)站漏洞可能泄露的信息的類型未必是單一的，約有1.6%漏洞會同時泄露上述3種不同類型的信息，約10.4%的漏洞會同時泄露上述兩種不同類型的信息。

可泄露信息網(wǎng)站的行業(yè)分析

根據(jù)工信部網(wǎng)站查詢結果，一般網(wǎng)站備案的類型分為：軍隊、政府機構、事業(yè)單位、社會團體、企業(yè)、個人等類型。在251個補天平臺收錄的信息泄露漏洞中，其中有備案的網(wǎng)站漏洞有為236個，占比94.0%。

在已備案的網(wǎng)站中，被報漏洞的企業(yè)網(wǎng)站數(shù)量是最多的，占比為69.7%，其次為政府機構網(wǎng)站，占比為19.5%，事業(yè)單位網(wǎng)站占比為4.0%。從下圖可以看出，企業(yè)和政府機構網(wǎng)站存在的信息泄露漏洞的情況明顯多于其他。

從可泄露的信息數(shù)量來看，不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大。從下圖可以看出，企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多，約為43.9億條，約為全年可能泄露信息總量的85.8%。另外，未備案，網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的6.9%。

統(tǒng)計顯示，金融網(wǎng)站(金融行業(yè)的相關漏洞主要集中在中小保險機構及中小信貸平臺，而銀行等大型金融機構的安全性相對較高，問題較少)、政府機構及事業(yè)單位網(wǎng)站、通信運營商(含虛擬運營商)網(wǎng)站被報告的可泄露信息的漏洞最多，占比分別為28.3%、26.7%、24.7%，三大行業(yè)網(wǎng)站的漏洞報告數(shù)量約占所有網(wǎng)站被報告漏洞數(shù)量的79.7%。

從可能泄露信息數(shù)量來看，金融行業(yè)(22.1億條)、通信運營商(18.9億條)網(wǎng)站可能泄露的信息數(shù)量也是最多的，遠高于其他行業(yè)。

網(wǎng)站信息泄露的原因與趨勢

綜合補天平臺過去三年來的監(jiān)測與分析，一個明顯的趨勢就是可造成重大信息泄露的漏洞數(shù)量每年都在大幅下降，但同時，單個漏洞可能造成的信息泄露數(shù)量卻在大幅增加。這一方面反應出國內(nèi)網(wǎng)站在信息保護方面的建設在不斷加強，整體形式明顯好轉;另一方面也反應出，信息泄露的風險正在逐步向少數(shù)領域集中，而且大型民用服務系統(tǒng)一旦出現(xiàn)安全問題，往往會給整個社會帶來巨大的損失。

實際上，信息泄露問題是政企機構數(shù)字化轉型過程中普遍存在的安全問題。數(shù)字化轉型較早，信息系統(tǒng)網(wǎng)絡化程度相對較高的行業(yè)和領域，被暴露出來的問題也相對較多。如金融、通信、新興互聯(lián)網(wǎng)等領域。但隨著數(shù)字化轉型的逐漸深入以及網(wǎng)絡安全建設水平的不斷提高，這些行業(yè)或領域在度過信息泄露的高峰期后，安全問題會逐漸緩和。但某些數(shù)字化轉型相對較晚的行業(yè)或領域，如某些大型政府機構、制造業(yè)，以及某些傳統(tǒng)實體經(jīng)濟，現(xiàn)在暴露出來的問題就相對較少，但在未來不可避免的數(shù)字化轉型過程中，也必然會逐漸暴露出越來越多的安全問題，面臨越來越大的信息泄露風險。 

從另外一個角度來看，在消費互聯(lián)網(wǎng)時代，聚集大量個人服務的信息系統(tǒng)，往往容易成為信息泄露的高發(fā)點。而在未來，隨著智慧城市的建設，產(chǎn)業(yè)互聯(lián)網(wǎng)的出現(xiàn)，傳統(tǒng)的實體經(jīng)濟的互聯(lián)網(wǎng)化，政務云和互聯(lián)網(wǎng)+的普及，政府機構和實體經(jīng)濟將有可能面臨更大的信息泄露風險，成為信息泄露新的高發(fā)領域。

此外，報告分析了多起媒體披露的國內(nèi)政府及事業(yè)單位的重大信息泄露事件，總體來看，互聯(lián)網(wǎng)企業(yè)被曝出的信息泄露事件最多，影響也最大。其次是政府和事業(yè)單位網(wǎng)站。此外，金融、醫(yī)療等行業(yè)也有相關的信息泄露事件被曝出。

其中大多數(shù)事件是由于政府網(wǎng)站在政務公開環(huán)節(jié)，不必要的公開了相關人員完整的、詳細的身份信息而造成的，被不當公開的信息包括了完整的身份證號碼，聯(lián)系電話等信息。

另一方面，在報告分析的國外政府機構重大信息泄露事件中，有多起超大規(guī)模的信息泄露事件，泄露信息數(shù)量動輒上千萬;政府機構泄露的公民個人信息往往是綜合性信息，包括姓名、身份ID(如身份證號碼)、家庭住址、家庭關系、工作情況、電話號碼和電子郵箱等。

《報告》認為，造成機構信息泄露的主要原因有兩類，一是黑客入侵、二是內(nèi)鬼出賣。而從機構泄露的信息類型來看，主要也分為兩類，個人信息和機密信息，后者是指政企機構內(nèi)部除個人信息之外的商業(yè)機密、技術機密及其他機密信息。

在大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展的浪潮中，我國個人信息安全和隱私保護面臨著嚴峻形勢。個人信息作為數(shù)據(jù)信息的核心內(nèi)容，面臨著采集、存儲、加工、各環(huán)節(jié)的使用規(guī)范化問題，與個人隱私息息相關。目前，一些行業(yè)個人信息泄露事件頻發(fā)，不法分子甚至還會利用已經(jīng)泄露的海量數(shù)據(jù)信息進行關聯(lián)分析，甚至做出客戶畫像，精準定位用戶身份后，實施精準詐騙。

為了更加全面的分析2017年以來，國內(nèi)外政企機構的信息泄露安全風險及由此引發(fā)的其他安全問題，報告從網(wǎng)站的信息泄露風險，及國內(nèi)外重大信息泄露事件這兩個方面，系統(tǒng)性的分析了政企機構信息泄露的風險及形勢。