漏洞，即計算機系統(tǒng)的弱點。

隨著近年來信息技術系統(tǒng)的廣泛應用，網絡的廣域連接，針對漏洞的攻擊也越來越多，利用漏洞的病毒、木馬技術進行網絡盜竊和詐騙的網絡犯罪活動呈快速上升趨勢。產生了大范圍的危害，由此給企業(yè)造成了重大經濟損失。而2017年上半年，當值我國網絡安全法從草案發(fā)布到實施的關鍵時段，其中對于企業(yè)進行漏洞修補相關的有專項條例，這意味著漏洞的問題成為危害整個信息安全業(yè)界的重要因素之一?？铝κ啃畔踩穆┒葱畔⑿〗M總結了2017年上半年的漏洞信息狀況，并作出了“2017信息安全漏洞半年報”供大家參考，本漏洞數據半年報大部分數據采集于整合世界三大漏洞庫的安犬漏洞管理云平臺漏洞庫。

一、2017上半年安全漏洞概況

2017上半年年共發(fā)布整理5966條漏洞信息(數據截止至2017.06/30)其中緊急級別漏洞數量為620個 嚴重級別漏洞為1014個 高危級別漏洞3602個 中危漏洞1504個 低危漏洞226個.

漏洞等級的劃分按照國際漏洞評分標準，以漏洞容易被利用的程度和影響劇烈度進行打分，簡單的危害程度排序為：緊急>嚴重>高危>中危>低危。

而從年份來看，2014上半年漏洞庫共收錄3573個漏洞，其中緊急漏洞數量為313個

2015上半年共收錄3770個漏洞，其中緊急漏洞數量為410個，而2016上半年為3650個漏洞，其中緊急漏洞數量為698個，而2017上半年竟達5966個漏洞，其中緊急漏洞數量為628個。

從數據上看，2014、2015、2016的上半年發(fā)生漏洞數量平穩(wěn)，但是緊急漏洞數量逐期上升，而今年2017年的上半年漏洞總數出現了爆發(fā)式增長，這是否是一次安全業(yè)界的量變?

漏洞數量呈上升趨勢，究竟是好還是壞?

隨著信息安全的發(fā)展，新的系統(tǒng)，新的構架，新的語言不斷的刷新信息社會的發(fā)展水平，隨之而來的則是新的信息安全漏洞。新的信息安全漏洞，不論是沒有范例的zero days漏洞還是危害級別較強的緊急漏洞，從被漏洞庫收錄記載下的那一刻，就已經在人類的控制之中。2017年五月席卷全球的微軟windows“永恒之藍”漏洞發(fā)布不到一周即已得到遏制。我們相信，越來越多的漏洞被發(fā)現，是我們的信息安全技術不斷發(fā)展的結果，也是我們信息安全意識得到提升的具體體現。

二、系統(tǒng)漏洞

2017上半年共有3005個漏洞屬于系統(tǒng)方面的漏洞，按照不同的系統(tǒng)類別統(tǒng)計成下面的表格：

其中，Linux的漏洞有794個，windows的漏洞有495個;而移動端方面安卓平臺的系統(tǒng)漏洞有762個，與之相比宣稱很安全的IOS也曝出327個漏洞，占所有系統(tǒng)漏洞的12%。系統(tǒng)級的漏洞占據總漏洞的52%，而Linux與windows的漏洞占據系統(tǒng)漏洞的大半江山。

傳統(tǒng)系統(tǒng)平臺漏洞依舊是主流，移動平臺逐現鋒芒

半數的系統(tǒng)漏洞都是來自傳統(tǒng)的系統(tǒng)平臺Linux和windows，這可能算是傳統(tǒng)系統(tǒng)更新的結果，這些漏洞也算是漏洞庫里面的?？土?，而來自移動平臺的漏洞數量比例在不斷變大，這一方面說明移動端的系統(tǒng)成為當前世界非常關注，發(fā)展迅速的重要組成部分。

而另一方面則表明，黑客或許也盯上了移動系統(tǒng)平臺，在過去的一年里，移動系統(tǒng)平臺，特別是IOS平臺的重大漏洞引起的信息安全事件層出不窮。這警醒著信息安全的從業(yè)人員們，一定要重視信息安全漏洞。

三、漏洞類型與影響

按照漏洞類型來進行分類，造成信息泄露和緩沖區(qū)溢出以及權限問題的漏洞占了較大比例，而這些影響可能引起更多的信息安全危害。對比前三個半年，這三類漏洞的占比逐年升高。

針對信息和數據的攻擊正逐漸成為主流

信息泄露漏洞的目的直接明了，利用漏洞的黑客專門盯著信息。而在緩沖區(qū)溢出之后，黑客先獲取權限，之后就可以獲取更多信息。而權限問題引起的后果更是造成重要信息泄露的主要原因之一。對于攻擊漏洞的攻擊者而言，能獲取到的信息才是有價值的信息，這與這些類別漏洞的多發(fā)有一定的聯系。從安全行業(yè)的角度分析，這些漏洞必須隔離于重要信息系統(tǒng)之外，杜絕攻擊者獲取有價值信息的可能才是重要的安全舉措。

四、總結

不管是對比前幾年，還是漏洞庫內部的對比，2017年上半的漏洞呈現出越來越嚴峻的形勢，越來越多的漏洞出現在網絡系統(tǒng)之間，而移動平臺的系統(tǒng)逐漸成為多發(fā)漏洞的地方，并且透過漏洞，攻擊者瞄準著個人信息。對于漏洞整體的攻擊體系正在不斷成型，展望下班了年，這種大趨勢可能還將繼續(xù)下去，信息安全行業(yè)人員，運維人員勢必迎來更多的挑戰(zhàn)。我們相信，只要正確的認識漏洞，了解攻擊者利用漏洞的方式，及時應對，漏洞并不足為懼。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉載請聯系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文