2014年實(shí)可謂是中國(guó)信息安全元年，這一年里信息與網(wǎng)絡(luò)安全領(lǐng)域里發(fā)生了很多重大事件。最重要的莫過(guò)于2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，習(xí)近平擔(dān)任組長(zhǎng)。這個(gè)事件標(biāo)志安全已經(jīng)上升到國(guó)家戰(zhàn)略高度。這也讓每一位中國(guó)安全行業(yè)的從業(yè)者，看到安全產(chǎn)業(yè)蓬勃發(fā)展的美好前景。

　　從另一個(gè)角度上來(lái)說(shuō)，對(duì)于安全行業(yè)來(lái)說(shuō)，2014年又是不平靜的一年。2014年高危漏洞頻發(fā)。心臟滴血（Heartbleed）漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光，震動(dòng)了整個(gè)互聯(lián)網(wǎng)，甚至有人稱這些漏洞帶給互聯(lián)網(wǎng)的是一場(chǎng)滅頂之災(zāi)。

　　然而，互聯(lián)網(wǎng)安全經(jīng)過(guò)2014年的洗禮，非但沒(méi)有“滅亡”，反而更加健康。再晴朗的天空也總可能會(huì)有那么一絲陰霾，盡管揮之不去，但仍舊無(wú)法遮擋燦爛的陽(yáng)光。

　　阿里云安全團(tuán)隊(duì)在2014年底收集和整理了去年一年曝光的安全漏洞，從數(shù)千個(gè)漏洞中評(píng)選出“影響2014年互聯(lián)網(wǎng)的十大安全漏洞”，與大家分享。

　　漏洞總結(jié)

　　1、2014年CVE漏洞分布

　　從上圖來(lái)看，2014年曝出的安全漏洞中，敏感信息泄露類漏洞數(shù)量最多，超過(guò)了2000個(gè)，這說(shuō)明黑客對(duì)用戶信息的關(guān)注，侵犯了用戶信息的隱私性。拒絕服務(wù)類（DoS）漏洞數(shù)量緊跟其后，超過(guò)了1500個(gè)。通過(guò)拒絕服務(wù)攻擊，可以破壞業(yè)務(wù)的可用性和穩(wěn)定性。此外，遠(yuǎn)程代碼執(zhí)行漏洞數(shù)量也非常多。

　　2、CVE漏洞總數(shù)趨勢(shì)

　　從上圖來(lái)看，2014年曝出的安全漏洞，從數(shù)量上創(chuàng)造了一個(gè)歷史之最。很難說(shuō)這是一個(gè)好或是不好的結(jié)果。好的一方面是安全越來(lái)越被重視，漏洞不斷挖掘和曝光出來(lái)，而漏洞的不斷修復(fù)可以很大程度上提升系統(tǒng)的安全性；不好的一方面是安全威脅的形勢(shì)越來(lái)越嚴(yán)峻，隨著漏洞數(shù)量的增加，特別對(duì)于企業(yè)來(lái)說(shuō)，安全維護(hù)團(tuán)隊(duì)的壓力越來(lái)越大。一個(gè)新漏洞被曝光，如果不能在第一時(shí)間盡快修復(fù)這個(gè)漏洞，很可能就會(huì)失去與黑客攻防大戰(zhàn)的先機(jī)，處于被動(dòng)的地位。

　　面對(duì)如此嚴(yán)峻的漏洞威脅形勢(shì)，云計(jì)算用戶和云服務(wù)提供商的安全團(tuán)隊(duì)必須是一個(gè)防護(hù)整體，能否在第一時(shí)間獲得漏洞的預(yù)警，能否在第一時(shí)間完成云平臺(tái)防護(hù)系統(tǒng)有效防御部署，是對(duì)這個(gè)防護(hù)整體的挑戰(zhàn)。

　　2014年十大安全漏洞

　　2014年十大安全漏洞如下，排名不分先后：

　　1、Heartbleed漏洞

　　【CVE編號(hào)】
　　CVE-2014-0160

　　【漏洞發(fā)現(xiàn)時(shí)間】
　　2014年4月份

　　【漏洞描述】
　　在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS實(shí)現(xiàn)中，由于不能正確處理心跳擴(kuò)展包，導(dǎo)致允許遠(yuǎn)程攻擊者通過(guò)觸發(fā)緩沖區(qū)的包獲得進(jìn)程內(nèi)存的敏感信息。

　　【漏洞危害】
　　導(dǎo)致服務(wù)器私鑰以及泄露會(huì)話Session、cookie、賬號(hào)密碼等敏感信息。