注册
登录
由上海社科院信息研究所及社会科学文献出版社共同推出的首部网络空间安全蓝皮书《中国网络空间安全发展报告(2015)》近日在京发布。蓝皮书指出,据中国国家信息安全漏洞库(CNNVD)资料显示,2014年1~10月我国共新增安全漏洞7510个,日平均新增漏洞数量约25个,整体呈现上升趋势。
其中,从漏洞类型来看,加密问题类的安全漏洞最多,占漏洞总数的比例为20.43%;从厂商分布来看,甲骨文公司产品的漏洞数量最多,达451个;从漏洞危害等级来看,危急漏洞268个,高危漏洞1206个,中危漏洞5392个,低危漏洞644个。新增的漏洞中,4704个漏洞已有修复补丁发布,修复率为62.64%,其中包括被修复的235个危急漏洞,危急漏洞修复率为87.69%。
从趋势特征来看,2014年的信息安全漏洞具有出新快、危害大、针对政府网站等重要特征。如,“面具”病毒等新型病毒不仅以单纯破坏为主,而且由于其后门功能强大,逐步具有间谍性质,危害度呈几何级放大;又如,微软Internet Explorer(IE)浏览器存在“零日漏洞”(又称零时差攻击,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现),这种攻击往往具有很大的突发性与破坏性,致使多个版本的IE浏览器都受到影响,波及超过50%的电脑用户。
此外,2014年国家与省部级重要网站漏洞减少,但地市级政府网站隐患偏大,这些网站成为黑客组织的重要靶场。2014年约有200多个政府网站存在严重安全隐患,多个政府网站遭“反攻黑客联盟”“匿名者菲律宾”等黑客组织攻击篡改;由于被植入非法链接、OpenSSL TLS远程信息泄露漏洞等,我国300多个政府网站发生安全事件。 令人震惊的是,2014年还出现了不少“核弹”级的漏洞,影响范围极广,危害极大。如OpenSSL缓冲区溢出漏洞(“心脏出血”漏洞)、Struts2连续曝出的数个漏洞、GNU Bash远程代码执行漏洞(“破壳”漏洞)、Windows OLE远程代码执行漏洞(“沙虫”漏洞)、SSL 3.0加密协议信息泄露漏洞(“POODLE”攻击漏洞)等。这些出现漏洞的软件涉及各行各业的大量终端用户,而上述相关软件多为国外开源软件和国外厂商的产品,这给我们敲响了警钟,我国重要信息系统和关键基础设施的信息安全处于高风险状态。 华信逸腾诚聘英才: 如果您有兴趣从事云计算、虚拟化与信息安全行业,可与我们联系:电话:0311-85119616 长按二维码直接识别关注 专注云计算、虚拟化与信息安全的独立自媒体 微信互动:河北老赵 85054458 河北华信逸腾科技有限公司是河北省领先的虚拟化和云计算解决方案咨询与服务提供商,河北省唯一一家Vmware企业级合作伙伴。公司成立于2004 年,一直专注于虚拟化数据中心建设、云平台建设与信息安全领域。公司有具国家信息安全服务一级、河北省政府信息安全应急响应支撑单位等资质,是河北首家全方位为客户提供信息安全解决方案、产品、服务、咨询、评估与认证的服务性企业。 |
