全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處（以下簡稱“信安標(biāo)委秘書處”）針對近期披露的CPU熔斷（Meltdown）和幽靈（Spectre）漏洞，組織相關(guān)廠商和安全專家，編制發(fā)布了《網(wǎng)絡(luò)安全實踐指南—CPU熔斷和幽靈漏洞防范指引》（以下簡稱《防范指引》）。

信安標(biāo)委秘書處相關(guān)負(fù)責(zé)人表示，熔斷和幽靈漏洞影響范圍覆蓋主流CPU，引發(fā)廣泛的關(guān)注。相關(guān)廠商應(yīng)及時應(yīng)對，為產(chǎn)品提供必要的技術(shù)支持，有序開展補丁升級工作，引導(dǎo)用戶提高安全意識，有效控制相關(guān)風(fēng)險，維護用戶利益。

據(jù)介紹，本次披露的漏洞屬于芯片級漏洞，主要影響和風(fēng)險包括竊取內(nèi)存數(shù)據(jù)、造成敏感信息泄漏等。目前尚未發(fā)現(xiàn)利用上述漏洞針對個人用戶的直接攻擊。

《防范指引》就受熔斷和幽靈漏洞威脅的四類典型用戶，包括云服務(wù)提供商、服務(wù)器用戶、云租戶、個人用戶等，給出了詳細(xì)的防范指引，并提供了部分廠商安全公告和補丁鏈接。其中，云服務(wù)提供商和服務(wù)器用戶應(yīng)在參考CPU廠商和操作系統(tǒng)廠商建議的基礎(chǔ)上，結(jié)合自身環(huán)境制定升級方案，綜合考慮安全風(fēng)險、性能損耗等因素，采取相關(guān)安全措施防范安全風(fēng)險；云租戶和個人用戶應(yīng)及時關(guān)注云服務(wù)提供商、操作系統(tǒng)廠商、瀏覽器廠商等提供的安全補丁，及時升級，避免受到漏洞的影響。《防范指引》全文可通過訪問信安標(biāo)委網(wǎng)站獲得（www.tc260.org.cn）。