我國重要資訊系統和關鍵基礎設施的資訊安全風險高
- 發佈時間:2015-04-28 11:11:00 來源:中國經濟網 責任編輯:羅伯特
中國經濟網北京4月28日(記者 陳鬱)上海社科院資訊研究所和社會科學文獻出版社日前共同發佈我國首部網路空間安全藍皮書《中國網路空間安全發展報告(2015)》。報告指出,我國重要資訊系統和關鍵基礎設施的資訊安全處於高風險狀態,資料顯示,2014年1—10月,我國共新增安全漏洞7510個,日平均新增漏洞數量約25個,整體呈現上升趨勢。
根據這份中國國家資訊安全漏洞庫(CNNVD)提供的數據,從漏洞類型來看,加密問題類的安全漏洞最多,佔漏洞總數的比例為20.43%;從廠商分佈來看,甲骨文公司産品的漏洞數量最多,達451個;從漏洞危害等級來看,危急漏洞268個,高危漏洞1206個,中危漏洞5392個,低危漏洞644個。新增的漏洞中,4704個漏洞已有修復補丁發佈,修復率為62.64%,其中包括被修復的235個危急漏洞,危急漏洞修復率為87.69%。
報告指出,2014年的資訊安全漏洞具有出新快、危害大、針對政府網站等重要特徵。如“面具”病毒等新型病毒不僅以單純破壞為主,而且由於其後門功能強大,逐步具有間諜性質,危害度呈幾何級放大;微軟Internet Explorer(IE)瀏覽器存在“零日漏洞”(又稱零時差攻擊,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現),這種攻擊往往具有很大的突發性與破壞性,致使多個版本的IE瀏覽器都受到影響,波及超過50%的電腦用戶。此外,2014年國家與省部級重要網站漏洞減少,但地市級政府網站隱患偏大,這些網站成為駭客組織的重要靶場。2014年約有200多個政府網站存在嚴重安全隱患,多個政府網站遭“反攻駭客聯盟”、“匿名者菲律賓”等駭客組織攻擊篡改;由於被植入非法連結、OpenSSL TLS遠端資訊洩露漏洞等,我國300多個政府網站發生安全事件。令人震驚的是,2014年還出現了不少“核彈”級的漏洞,影響範圍極廣,危害極大。如OpenSSL緩衝區溢出漏洞(“心臟出血”漏洞)、Struts2連續曝出的數個漏洞、GNU Bash遠端代碼執行漏洞(“破殼”漏洞)、Windows OLE遠端代碼執行漏洞(“沙蟲”漏洞)、SSL 3.0加密協議資訊洩露漏洞(“POODLE”攻擊漏洞)等。這些出現漏洞的軟體涉及各行各業的大量終端用戶,而上述相關軟體多為國外開源軟體和國外廠商的産品,這給我們敲響了警鐘,我國重要資訊系統和關鍵基礎設施的資訊安全處於高風險狀態。
