日前，互联网安全公司360发布了《2014年中国网站安全报告》（以下简称《报告》）。《报告》指出，2014年，网络安全问题呈现网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发，以及网站攻击开始规模化、产业化等显著特点，安全形势不容乐观。

　　存在后门网站的数量大幅攀升《报告》称，目前有漏洞和高危漏洞的网站比例较2013年大幅下降，但网站存在后门的比例和绝对数量却大幅攀升。2014年全年，360网站安全检测共对覆盖网站199.6万个的8409台网站服务器进行了网站后门检测，发现约3465台服务器存在后门，占比41.2%，比2013年增多了7.4个百分点。

　　后门是一段恶意代码，攻击者通过植入这段精心设计的代码来控制网站，同时，还可以获得某些敏感的信息，进一步获得服务器的控制权限。后门一般具有很强的隐蔽性，从而来达到长期控制网站的目的。

　　无论是网站服务器后门还是网站漏洞，都极易被黑客所利用。这些漏洞或被黑客用于盗取银行卡账号密码，或者通过漏洞植入木马进行破坏。此前有媒体报道称，大量12306网站用户信息遭泄露，即是网站漏洞所致。

　　电商类网站安全形势堪忧

　　《报告》显示，2014年全年网站安全检测平台共扫描各类网站164.2万个，其中存在安全漏洞的网站61.7万个，占37.6%；存在高危安全漏洞的网站共27.9万个，占17.0%。有漏洞和有高危漏洞的网站比例都较2013年大幅下降。

　　从行业来看，电子商务类网站存在高危漏洞的比例最高，达到26%；其次为生活信息类（24%）、医疗卫生类（22%）和企业公司类（21%）。银行类网站安全性相对较高，存在高危漏洞比例最低。

　　相较于2013年，电子商务类网站虽然有高危漏洞的网站比例下降了3个百分点，但排名却从第四名跃升为第一名，安全性在各行业网站中最为堪忧。

　　由于电商网站自身的特殊性，电商网站服务器中保有大量用户个人信息和财务信息，因此电商网站安全漏洞危害极大，一旦被不法分子利用，将给网站本身和网站用户乃至互联网安全带来极大的危害。不法分子利用电商网站的漏洞通常会篡改网站内容，利用支付链接URL跳转对消费者进行钓鱼等；盗取用户账户，进行恶意消费；盗取电商网站数据库，用于诈骗等违法行为。

　　十大安全事件四起在我国

　　《报告》总结了2014年全球范围内的十起网站安全事件，包括“OpenSSL心脏出血漏洞”、“eBay数据泄漏”、“索尼被黑客攻击”等，其中有四起发生在我国。它们分别是：“121中国互联网DNS大劫难”、“携程漏洞事件”、“中国快递1400万信息泄露”、“12306用户数据泄露”，这四起网站安全事件在全社会造成了很大影响。

　　从去年发生的多起网站安全事件来看，网站攻击与漏洞利用正在向批量化、规模化方向发展，主要表现在以下五个方面：撞库攻击愈演愈烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。

　　研究发现，91.4%的攻击者IP来自境内，来自境外的攻击仅为8.6%。其中，境内攻击主要来自北京（32.9%）、江苏（13.9%）、浙江（11.4%）、山东（10.0%）、广东（7.40%）。

　　值得一提的是，2014年，360补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个。该平台是国内首个现金奖励漏洞平台，旨在建立企业与白帽子之间的桥梁，帮助企业建立SRC（安全应急响应中心）。