我国重要信息系统处于高风险状态

　　由上海社科院信息研究所及社会科学文献出版社共同推出的首部网络空间安全蓝皮书《中国网络空间安全发展报告(2015)》今日在京发布。蓝皮书指出，据中国国家信息安全漏洞库(CNNVD)资料显示，2014年1～10月我国共新增安全漏洞7510个，日平均新增漏洞数量约25个，整体呈现上升趋势。

　　其中，从漏洞类型来看，加密问题类的安全漏洞最多，占漏洞总数的比例为20.43%;从厂商分布来看，甲骨文公司产品的漏洞数量最多，达451个;从漏洞危害等级来看，危急漏洞268个，高危漏洞1206个，中危漏洞5392个，低危漏洞644个。新增的漏洞中，4704个漏洞已有修复补丁发布，修复率为62.64%，其中包括被修复的235个危急漏洞，危急漏洞修复率为87.69%。

　　从趋势特征来看，2014年的信息安全漏洞具有出新快、危害大、针对政府网站等重要特征。如“面具”病毒等新型病毒不仅以单纯破坏为主，而且由于其后门功能强大，逐步具有间谍性质，危害度呈几何级放大;又如，微软Internet Explorer(IE)浏览器存在“零日漏洞”(又称零时差攻击，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现)，这种攻击往往具有很大的突发性与破坏性，致使多个版本的IE浏览器都受到影响，波及超过50%的电脑用户。

　　此外，2014年国家与省部级重要网站漏洞减少，但地市级政府网站隐患偏大，这些网站成为黑客组织的重要靶场。2014年约有200多个政府网站存在严重安全隐患，多个政府网站遭“反攻黑客联盟”“匿名者菲律宾”等黑客组织攻击篡改;由于被植入非法链接、OpenSSL TLS远程信息泄露漏洞等，我国300多个政府网站发生安全事件。令人震惊的是，2014年还出现了不少“核弹”级的漏洞，影响范围极广，危害极大。如OpenSSL缓冲区溢出漏洞(“心脏出血”漏洞)、Struts2连续曝出的数个漏洞、GNU Bash远程代码执行漏洞(“破壳”漏洞)、Windows OLE远程代码执行漏洞(“沙虫”漏洞)、SSL 3.0加密协议信息泄露漏洞(“POODLE”攻击漏洞)等。这些出现漏洞的软件涉及各行各业的大量终端用户，而上述相关软件多为国外开源软件和国外厂商的产品，这给我们敲响了警钟，我国重要信息系统和关键基础设施的信息安全处于高风险状态。