中国网站数量、网页数量、网站安全事件统计及网站安全管理防护
一、网站行业概况
网站是一个单位对外宣传、展示形象和提供服务的重要窗口,一旦网站信息被恶意篡改,将直接影响到一个单位的形象、信誉,严重的会造成经济损失甚至产生不利的社会影响,尤其是政府机关、企事业单位的网站。从建站的技术角度分类,网站主要分为静态网站和动态网站。
动态网站具有良好的交互性,开发技术丰富,应用广泛,管理简单,但是访问效率与静态网站相比较低,且如果开发技术人员在安全性方面考虑不周全会导致网站存在安全隐患。
二、中国网站数量统计
截止2020年12月,中国网站数量为443万个,相比2019年减少了54万个,同比下降10.9%;其中“.CN”下网站数量为295万个,同比下降13.5%。
二、中国网页数量统计
截至2020年12月,中国网页数量共计3155亿个,相比2019年增长了177亿个,同比增长5.9%。
其中静态网页数量为2155亿个,占比68.3%;动态网页数量为1000亿个,同比增长31.7%。
三、网站安全事件统计
1、被篡改网站数量
篡改指恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。2020年,国家互联网应急中心监测发现我国境内被篡改网站数量为243,709个,较2019年同期下降22.7%;其中我国境内被篡改政府网站数量为1030个,同比增长30.9%。
注:数据为《CNCERT互联网安全威胁报告》的月度数据加总,并未去重,下同。
2、境内被植入后门的网站数量统计
2020年,CNCERT共监测发现我国境内被植入后门的网站数量为61,948个,较2019年同期下降39.7%;其中我国境内被植入后门的政府网站数量为276个,同比下降73.6%。
四、网站被恶意攻击的主要途径
通过了解网站部署方式及运行机制,网站的运行主要依托web服务器、网站应用程序及相关组件和数据库系统(主要涉及动态网站)三个方面,任何一方面出现问题都会影响网站安全。再加之如果网站管理不善,存在管理上的安全风险,都会有被不法者扫描到网站漏洞的可能,从而对网站进行入侵乃至篡改网站数据信息。
五、网站安全管理及防护对策建
1、及时发现并修复各类系统自身漏洞
密切关注网站服务器操作系统、应用程序、数据库系统服务商及国家有关安全漏洞通报平台发布的漏洞信息,及时对与本网站有关的漏洞进行修复。
2、启用严格的访问控制策略
依据最小权限原则进行访问控制策略的配置。不论网站服务器操作系统、应用程序、数据库还是管理后台都授予相应的用户以最小权限。同时,明确用户、角、权限、资源之间的对应关系,针对各类管理用户进行严格的分角、分权限设置。删除无关账户,禁用或者限制各类默认账户权限,修改默认口令。对服务器管理、网站管理后台管理登录IP进行限制。对
操作系统和数据库系统特权用户进行权限分离。
3、提高网站代码编写质量
网站开发人员应规范编写代码,网站上线前对网站代码进行安全审查,清除不安全的代码。同时还应注意以下几点:一是对一些特殊字符、编码及SQL语句关键词进行过滤,限制各项输入字段的长度预防SQL注入和跨站攻击;二是对跨站脚本关键词进行过滤;三是对Html页面文件和脚本源文件进行MD5校验;四是所有用户的密码都采用MD5加密后再存入数据库;五是对上传页面的格式进行限制,防止上传后门脚本等。
4、合理采用安全设备和软件保护网站安全
静态网站和动态网站区别
采用防火墙、态势感知系统、IPS、Waf、防病毒系统甚至的防篡改工具等专业安全设备及软件进行防护,保障网站安全也是非常必要的。但是安全设备和软件也不能滥用,不能毫无选择的进行安全设备叠加,而应根据网站实际运行情况,科学选择、合理配置,以免顾此失彼,影响网站的正常运行。
5、优化网页发布机制
可以采用动静结合方式提高动态网站的安全性,将动态网站的所有网页内容以静态网页的形式发布出来。具体可采用“后台动态制作与管理维护服务器+静态页面发布服务器”的部署方式。为了进一步提高网站访问速度和安全性,可建立多台静态页面发布服务器,在静态页面发布服务器前端部署负载均衡,可通过负载均衡建立网站的虚拟IP(VIP),隐藏所有内部服务器使用的真实IP,保证服务器的安全性。