2014年實可謂是中國信息安全元年，這一年里信息與網(wǎng)絡(luò)安全領(lǐng)域里發(fā)生了很多重大事件。最重要的莫過于2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，習近平擔任組長。這個事件標志安全已經(jīng)上升到國家戰(zhàn)略高度。這也讓每一位中國安全行業(yè)的從業(yè)者，看到安全產(chǎn)業(yè)蓬勃發(fā)展的美好前景。

　　從另一個角度上來說，對于安全行業(yè)來說，2014年又是不平靜的一年。2014年高危漏洞頻發(fā)。心臟滴血（Heartbleed）漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光，震動了整個互聯(lián)網(wǎng)，甚至有人稱這些漏洞帶給互聯(lián)網(wǎng)的是一場滅頂之災(zāi)。

　　然而，互聯(lián)網(wǎng)安全經(jīng)過2014年的洗禮，非但沒有“滅亡”，反而更加健康。再晴朗的天空也總可能會有那么一絲陰霾，盡管揮之不去，但仍舊無法遮擋燦爛的陽光。

　　阿里云安全團隊在2014年底收集和整理了去年一年曝光的安全漏洞，從數(shù)千個漏洞中評選出“影響2014年互聯(lián)網(wǎng)的十大安全漏洞”，與大家分享。

　　漏洞總結(jié)

　　1、2014年CVE漏洞分布

　　從上圖來看，2014年曝出的安全漏洞中，敏感信息泄露類漏洞數(shù)量最多，超過了2000個，這說明黑客對用戶信息的關(guān)注，侵犯了用戶信息的隱私性。拒絕服務(wù)類（DoS）漏洞數(shù)量緊跟其后，超過了1500個。通過拒絕服務(wù)攻擊，可以破壞業(yè)務(wù)的可用性和穩(wěn)定性。此外，遠程代碼執(zhí)行漏洞數(shù)量也非常多。

　　2、CVE漏洞總數(shù)趨勢

　　從上圖來看，2014年曝出的安全漏洞，從數(shù)量上創(chuàng)造了一個歷史之最。很難說這是一個好或是不好的結(jié)果。好的一方面是安全越來越被重視，漏洞不斷挖掘和曝光出來，而漏洞的不斷修復(fù)可以很大程度上提升系統(tǒng)的安全性；不好的一方面是安全威脅的形勢越來越嚴峻，隨著漏洞數(shù)量的增加，特別對于企業(yè)來說，安全維護團隊的壓力越來越大。一個新漏洞被曝光，如果不能在第一時間盡快修復(fù)這個漏洞，很可能就會失去與黑客攻防大戰(zhàn)的先機，處于被動的地位。

　　面對如此嚴峻的漏洞威脅形勢，云計算用戶和云服務(wù)提供商的安全團隊必須是一個防護整體，能否在第一時間獲得漏洞的預(yù)警，能否在第一時間完成云平臺防護系統(tǒng)有效防御部署，是對這個防護整體的挑戰(zhàn)。

　　2014年十大安全漏洞

　　2014年十大安全漏洞如下，排名不分先后：

　　1、Heartbleed漏洞

　　【CVE編號】
　　CVE-2014-0160

　　【漏洞發(fā)現(xiàn)時間】
　　2014年4月份

　　【漏洞描述】
　　在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS實現(xiàn)中，由于不能正確處理心跳擴展包，導(dǎo)致允許遠程攻擊者通過觸發(fā)緩沖區(qū)的包獲得進程內(nèi)存的敏感信息。

　　【漏洞危害】
　　導(dǎo)致服務(wù)器私鑰以及泄露會話Session、cookie、賬號密碼等敏感信息。