上半年安全漏洞数据分析

　　2013年上半年新增安全漏洞3823个（数据来源CNNVD漏洞库），数量与上年同期基本持平略有上升。这些漏洞威胁等级分布如图2所示。

图2 漏洞威胁等级图

　　从图3可以看出，上半年新增的漏洞有如下特征：

图3 漏洞影响的对象图

　　应用程序漏洞数量占了整个漏洞的数量的一大半。这其中包括各类应用程序、浏览器、办公软件等的漏洞。值得关注的是Java程序的漏洞成为黑客们的新宠，从今年1月初曝出的Java的0day漏洞开始，上半年与Java有关的漏洞数量多达161个。由于Java程序的跨平台性，导致Java程序漏洞的影响范围远大于Windows操作系统的漏洞。

　　Web应用漏洞已超过操作系统漏洞位居第二。值得注意的是上半年针对院校的专有系统（包括：电子邮件系统、教务系统登）的漏洞曝出率有增加趋势。这些专有系统在开发之初没有考虑安全因素导致存在安全漏洞，不过之前由于是专有系统不被黑客关注，最近这段时间黑客将相应的关注重点转到了这些专有系统，相关的漏洞就被暴露出来。上半年被披露的存在漏洞的国内院校专有系统包括：

　　1.正方的教务管理系统；

　　2.快客邮件系统(QuarkMail)存在远程代码执行漏洞；

　　3.eYou电子邮件系统存在多个安全漏洞；

　　4.金智教育CMS系统存在SQL注入漏洞；

　　5.新利软件公司的银校通收费系统存在权限绕过漏洞；

　　6.清元优软科技有限公司的URP教务系统存在权限绕过漏洞；

　　7.育软教育电子政务平台存在Jboss未授权访问漏洞。

　　网络设备的漏洞数量呈上升趋势，一部分原因是因为网络业务发展使得网络设备的功能增多导致漏洞增多，另一方面也是因为无线网络的普及，各种品牌的即插即用无线路由设备数量增多，漏洞数量也跟着增多。这些设备的漏洞可能导致用户的上网信息完全被黑客掌控，危害与系统上被安装木马程序相同且无法使用杀毒软件防范。建议用户要加强在这方面的安全意识。

　　下半年安全趋势展望

　　美国棱镜门事件的曝光，显示互联网安全形势不容乐观。尤其是像高校这种带有研究性质的单位，更容易被黑客盯上。可能存在风险包括：

　　1.网络扩建及无线网络普及带来的风险；

　　2.移动终端无序接入网络带来的风险；

　　3.老旧应用无人更新带来的风险；

　　4.新应用（如云应用）上线带来的安全风险；

　　5.黑客APT攻击带来的风险；

　　针对上述风险，学校除了要加大在网络信息安全方面的投入外，还需要在人力配置和制度完善上下功夫。

　　（作者单位为中国教育和科研计算机网应急响应组）