TOM某分站存在多处漏洞、华为IPTV运维不当导致系统重要敏感信息泄漏(包括用户个人信息)、天融信防火墙openssl漏洞可能导致信息泄漏、人人网某站点存在sql注入漏洞、中国邮政某处设计不当可更改任意用户名且百万用户敏感信息可遍历、优酷某管理后台账户密码泄漏可登录……这些“骇人听闻”的消息并非玩笑，而是一个专门报告网络安全漏洞的网站上的最新内容。

 

　　【15个安全团队，均每天发布35个安全漏洞】漏洞发布网站的技术人员叫做“白帽子”，目前有889人。当然，他们并非乌云网的员工，而是志愿者。所谓“白帽子”，是黑客的一类，是正面的黑客，他们可以识别计算机系统或网络系统中的安全漏洞，但并不会去恶意利用，而是告知厂商修复漏洞，以免被“黑帽子”利用。

 

　　根据该网站的规则，“白帽子”向网站提交发现的漏洞，需要经过网站的审核，然后发给相关厂商，同时在网站发布漏洞名称和简要的说明，但暂时不会公布细节。相关厂商则必须在5日内进行确认，然后厂商会获得45天漏洞修复周期(软件类90天)，其间漏洞细节不会对外公开，如果5日内没有回应，该网站将漏洞细节公布。

 

　　网站负责人说，经过几年的发展，随着网站影响力的扩大，现在厂商们对于提交的漏洞信息，都非常重视，很多厂商会根据漏洞的严重程度给予“白帽子”物质奖励，以鼓励他们继续帮助自己找漏洞。

 

　　漏洞恐慌：漏洞或引起不安情绪 安全变革迫在眉睫

 

　　自4月7日以来因OpenSSL“心脏出血”漏洞引起的不安情绪仍在蔓延，安全厂商们的争论仍在继续，这些争论又进一步加剧了不安情绪的蔓延。

 

　　SSL是为网络通信提供安全及数据完整性的一种安全协议，此次OpenSSL爆出的漏洞被业内命名为“心脏出血”。此漏洞可以让攻击者获得服务器上64K内存中的数据内容，这部分数据中可能存有安全证书、用户名与密码等数据。

 

　　奇虎360副总裁谭晓生接受笔者采访时表示，OpenSSL“心脏出血”漏洞是一个分水岭，在木马、流氓软件、钓鱼网站、病毒、漏洞威胁等信息安全威胁中，漏洞将上升为最主要的安全威胁，取代木马与流氓软件。

 

　　这是消费者们感知到的变化，而对于信息安全厂商来说，这一变化则是一场挑战：首先是产品模式发生了变化。在病毒时代，产品模式是盒装软件;在流氓软件与木马病毒时代，产品模式是联网云查杀;在漏洞时代，上述模式均将过时。

 

　　漏洞历史：老牌厂商依然受困于漏洞问题 发布补丁已成常态

 

　　4月18日消息，甲骨文周四发布Java SE更新，修复了大量被评为10级的高危漏洞。此级别的漏洞通常能导致黑客轻而易举地获得计算机系统控制权，从而窃取用户电脑中的任何信息。甲骨文强烈推荐家庭用户安装该Java更新。

 

　　这并不是甲骨文的第一次漏洞补丁发布，也必将不是最后一次，面对漏洞的历史遗留问题，或将成为今后更大老牌IT公司或者新崛起的公司需要共同面临的问题。

 

　　治“漏”新思路 从威胁对象的防护入手或是另一种选择

 

　　对于漏洞，IT企业及时发布相关补丁进行修复是最常用的手段。但这种先“有”后“解决”的模式或多或少会对这些漏洞威胁的对象造成影响，这是由于这种防护或者解决方案非即时所造成的。如果想在威胁来临之前就保护好自身的安全，从威胁对象本身入手进行防护或是另一种可靠的选择。而面对信息时代唯一的威胁对象，数据和信息的安全依靠能对数据本源起到防护效果的棱镜加密技术进行防护或是最好的选择。