2013 年 中国高校网站安全 检测报告 2013 年 6 月 摘 要  360 网站安全检测目前已收录国内高校网站总计约 5 万个（以二级域名计算，统计数据 包括院系主页，统计地域不含港澳台），其中，网站数量排名前五位的地区为：北 京（6415） 、江苏（5711） 、广东（3472） 、山东（3384）、上海（3357） 。而高校网站最 少的五个地区为：内蒙古（311）、宁夏（235）、海南（165）、青海（51）、西藏（5） 。  在 360 网站安全检测平台最新的数据统计中，高校网站安全平均得分由 2012 年的 37 分增长到了 55 分，平均分仍然不及格。同时，高校网站平均每五个漏洞就有一个高危 漏洞，这就意味着中国高校网站依然存在着大量高危漏洞。  全国高校网站安全情况按地区排名，安全得分排名前五位的地区分别为：北京、安徽、 西藏、天津、湖北，这些地区的高校网站相对漏洞较少；而高校网站安全得分最低的五 个地区分别为：贵州、山东、云南、吉林、海南。  据 360 网站卫士数据， 中国每个高校网站平均每天被黑客攻击 113 次（包含扫描等行为）。 高校网站被黑客入侵后通常受到的侵害有挂马、网站前台和后台被篡改、网站数据库 被“拖库”被篡改、网页被挂马、服务器被控制成为“肉鸡”等。其中以网站篡改最为 多见，比例占一半以上。  据 360 网站安全检测数据统计，高校网站存在的安全漏洞中，数量最多的为跨站脚本漏 洞、SQL 注入漏洞和信息泄露漏洞，分别占 22.1%、16.17%和 15.49%。其中 SQL 注入 漏洞危害最大，SQL 注入攻击也是黑客最常用的攻击手段。  中国高校网站安全普遍存在“网站建设和管理不统一、网站日常维护缺失、对于网站安 全不重视、网站信息保护意识差、软件系统漏洞、服务器漏洞”六大安全隐患。为黑客 入侵提供了机会。 目 第一章 录 中国高校网站基本情况..................................................................................................... 1 一、 二、 三、 数据样本说明........................................................................................................... 1 中国高校网站分布情况分析 ................................................................................... 1 中国高校网站用户情况分析 ................................................................................... 2 第二章 中国高校网站安全情况分析................................................................................................ 3 一、 二、 三、 四、 中国高校网站安全性排名全国倒数第二 ............................................................... 3 中国各地高校网站安全情况排名 ........................................................................... 3 中国高校网站安全漏洞类型分析 ........................................................................... 4 中国高校网站安全 6 大隐患 ................................................................................... 5 第三章 中国高校网站遭受恶意入侵情况分析................................................................................. 6 一、 二、 三、 四、 高校网站被侵害类型分布情况分析 ....................................................................... 6 高校网站被篡改情况分析 ....................................................................................... 6 为什么高校网站更容易受到黑客攻击 ................................................................... 9 黑客攻击高校网站技术手段分析 ......................................................................... 10 第四章 中国高校网站安全建设亟待加强 ...................................................................................... 11 一、 二、 三、 网站被篡改，损害学校形象、毒害学生身心、增加政治风险 ......................... 11 网站被挂马、成肉鸡，危害互联网安全 ............................................................. 11 网站数据库被窃取、篡改，影响学生录取和毕业 ............................................. 11 附 1 学校网站安全事件典型案例 .................................................................................................. 12 附 2 各地高校网站安全平均得分表（不包括港澳台） ................................................................ 13 第一章 中国高校网站基本情况 一、 数据样本说明 本报告数据样本来自 2013 年 1 月 1 日-2013 年 5 月 30 日 360 网站安全检测和 360 网站卫士产品数据库中的高校网站安全数据，采用全量样本进行分析，共涉及全国 30 个省级行政区约 5 万个高校网站。由于高校各分院网站相对独立，安全情况也和主站差 别 较大 ，所 以本 次报 告内网 站以 二级 域名 为单位进 行计 算， 如清 华大 学人文 学 院（rwxy.tsinghua.edu.cn）即算成一个高校网站，所以报告内高校网站数大于高校数量。 二、 中国高校网站分布情况分析 根据 360 网站安全检测平台的数据统计，目前已经收录的国内高校网站总计约 5 万个（精确到二级域名，不包括港澳台），高校网站数量排名前五位的地区为：北 京（6415） 、江苏（5711） 、广东（3472） 、山东（3384）、上海（3357） 。而高校网站最 少的五个地区为：内蒙古（311）、宁夏（235）、海南（165）、青海（51）、西藏（5） 。 1 三、 中国高校网站用户情况分析 据 360 网站安全检测数据，中国平均每个高校网站的日浏览量（PV）约为 5 万次，最 高日浏览量可以达百万，学校知名度越高，访问量越大。中国高校网站的主要用户为在校大 学生、报考大学生、学生家长、教师、社会其他访问者等。 2 第二章 中国高校网站安全情况分析 一、 中国高校网站安全性排名全国倒数第二 中国高校网站安全情况极差，根据《2012 年中国互联网安全报告》数据，在全国各类 网站安全情况排名中，高校网站安全性排名倒数第二，体检结果仅为 37 分。这样的成绩意 味着，高校网站非常容易被黑客入侵、篡改数据和窃取资料。 二、 中国各地高校网站安全情况排名 在 360 网站安全检测最新的数据统计中，高校网站安全平均得分有所提升，由 2012 年 的 37 分增长到了 55 分。但这一分数仍然较低，而且据 360 网站安全检测数据，高校网站平 均每 5 个漏洞就有一个高危漏洞。这意味着中国高校网站依然存在着大量高危漏洞。 以下为全国高校网站安全情况按地区排名，其中网站安全得分排名前五位的地区分别 为：北京（71.0 分） 、安徽（68.8 分）、西藏（67.9 分）、天津（66.7 分）、湖北（66.7 分）； 而高校网站安全得分最低的五个地区分别为：贵州（43.7 分） 、山东（40.8 分）、云南（40.2 分） 、吉林（39.5 分） 、海南（33.0 分）。 3 令人担忧的是，高校网站上往往存有大量的敏感数据和个人信息，因此也一直是黑客 窃取资料和篡改数据的重要目标。另外，高校网站在搜索引擎中的权重也比较高，因此也是 钓鱼网站通过植入黑链进行 SEO 的重点攻击目标。所以说，高校网站在安全性方面的严重 欠缺，直接威胁着公共安全的多个方面。 三、 中国高校网站安全漏洞类型分析 据 360 网站安全检测数据统计，高校网站存在的安全漏洞中，数量最多的为跨站脚本漏 洞、SQL 注入漏洞和信息泄露漏洞，分别占 22%、16%和 16%,其中 SQL 注入漏洞多为高危 漏洞。以下为高校网站安全漏洞类型分布： 4 四、 中国高校网站安全 6 大隐患 1） 网站建设和管理不统一 很多高校的网站建设不是由学校统一进行，而是各个学院分别开发建设自己的子页面， 这就导致了学校网站安全整体上管理困难。一旦一个学院的子页面出现漏洞被攻破，整个学 校网站服务器都面临危险。 2） 网站日常维护缺失 高校网站的日常维护尤其是漏洞修复等安全维护与商业网站相比相对较差，一些已公布 的漏洞常常过了很久也得不到修复。 3） 对于网站安全不重视 由于高校网站的公益属性，即使被入侵和篡改也不会立刻看到明显的损失，所以网站安 全往往得不到重视。尤其是一些学院分站的安全性更差。 4） 网站信息保护意识差，弱口令、信息泄露随处可见。 5） 软件系统漏洞 软件或系统漏洞无法及时更新；常常被一个公开已久的漏洞轻而易举