由上海社科院信息研究所及社會科學文獻出版社共同推出的首部網絡空間安全藍皮書《中國網絡空間安全發展報告(2015)》今日在京發布。藍皮書指出，據中國國家信息安全漏洞庫(CNNVD)資料顯示，2014年1～10月我國共新增安全漏洞7510個，日平均新增漏洞數量約25個，整體呈現上升趨勢。

其中，從漏洞類型來看，加密問題類的安全漏洞最多，占漏洞總數的比例為20.43%；從廠商分布來看，甲骨文公司產品的漏洞數量最多，達451個；從漏洞危害等級來看，危急漏洞268個，高危漏洞1206個，中危漏洞5392個，低危漏洞644個。新增的漏洞中，4704個漏洞已有修復補丁發布，修復率為62.64%，其中包括被修復的235個危急漏洞，危急漏洞修復率為87.69%。

從趨勢特征來看，2014年的信息安全漏洞具有出新快、危害大、針對政府網站等重要特征。如，“面具”病毒等新型病毒不僅以單純破壞為主，而且由于其后門功能強大，逐步具有間諜性質，危害度呈幾何級放大；又如，微軟Internet Explorer(IE)瀏覽器存在“零日漏洞”(又稱零時差攻擊，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現)，這種攻擊往往具有很大的突發性與破壞性，致使多個版本的IE瀏覽器都受到影響，波及超過50%的電腦用戶。

此外，2014年國家與省部級重要網站漏洞減少，但地市級政府網站隱患偏大，這些網站成為黑客組織的重要靶場。2014年約有200多個政府網站存在嚴重安全隱患，多個政府網站遭“反攻黑客聯盟”“匿名者菲律賓”等黑客組織攻擊篡改；由于被植入非法鏈接、OpenSSL TLS遠程信息泄露漏洞等，我國300多個政府網站發生安全事件。令人震驚的是，2014年還出現了不少“核彈”級的漏洞，影響范圍極廣，危害極大。如OpenSSL緩沖區溢出漏洞(“心臟出血”漏洞)、Struts2連續曝出的數個漏洞、GNU Bash遠程代碼執行漏洞(“破殼”漏洞)、Windows OLE遠程代碼執行漏洞(“沙蟲”漏洞)、SSL 3.0加密協議信息泄露漏洞(“POODLE”攻擊漏洞)等。這些出現漏洞的軟件涉及各行各業的大量終端用戶，而上述相關軟件多為國外開源軟件和國外廠商的產品，這給我們敲響了警鐘，我國重要信息系統和關鍵基礎設施的信息安全處于高風險狀態。