云南電網(wǎng)公司信息中心預(yù)警CPU處理器內(nèi)核高危漏洞
1月4日,國(guó)家信息安全漏洞共享平臺(tái)收錄了CPU處理器內(nèi)核的Meltdown漏洞和Spectre漏洞。利用上述高危漏洞,攻擊者可以繞過(guò)內(nèi)存訪問(wèn)的安全
1月4日,國(guó)家信息安全漏洞共享平臺(tái)收錄了CPU處理器內(nèi)核的Meltdown漏洞和Spectre漏洞。利用上述高危漏洞,攻擊者可以繞過(guò)內(nèi)存訪問(wèn)的安全隔離機(jī)制,使用惡意程序來(lái)獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù),造成內(nèi)存敏感信息泄露。
據(jù)了解,Meltdown漏洞“熔斷”了由硬件來(lái)實(shí)現(xiàn)的安全邊界,破壞了位于用戶和操作系統(tǒng)之間的基本隔離,直接打破核心內(nèi)存的保護(hù)機(jī)制,允許惡意代碼直接訪問(wèn)敏感內(nèi)存,從而造成數(shù)據(jù)泄露;Spectre“幽靈”漏洞破壞了不同應(yīng)用程序之間的隔離,通過(guò)篡改其他應(yīng)用程序的內(nèi)存,欺騙訪問(wèn)核心內(nèi)存的地址,使攻擊者可以利用惡意應(yīng)用程序獲取應(yīng)該被隔離的私有數(shù)據(jù)。
1月5日,公司信息中心接到上級(jí)預(yù)警通報(bào)后,立刻對(duì)漏洞進(jìn)行研判,向云南電網(wǎng)全省范圍發(fā)布《2018年通報(bào)第03號(hào):關(guān)于利用CPU 處理器內(nèi)核存在 Meltdown 和 Spectre漏洞預(yù)警通報(bào)》,并迅速召集網(wǎng)絡(luò)安全人員采取相關(guān)應(yīng)對(duì)措施:
第一,排查漏洞影響范圍內(nèi)的所有設(shè)備,評(píng)價(jià)漏洞對(duì)云南電網(wǎng)的影響范圍。向各單位發(fā)送《CPU處理器內(nèi)核Meltdown和Spectre漏洞影響范圍及整改情況統(tǒng)計(jì)表》,于1月5日摸清受漏洞影響終端和服務(wù)器的數(shù)量,并將統(tǒng)計(jì)分析結(jié)果上報(bào)南網(wǎng)。
第二,深入分析漏洞實(shí)現(xiàn)機(jī)制并進(jìn)行驗(yàn)證,提出漏洞檢測(cè)方法和相關(guān)防御措施,于1月5日23時(shí)形成《關(guān)于利用CPU處理器內(nèi)核存在Meltdown和Spectre漏洞技術(shù)分析報(bào)告》發(fā)送至各單位。
第三,組織信息中心信息安全實(shí)驗(yàn)室對(duì)操作系統(tǒng)廠商發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試,全面審慎評(píng)估補(bǔ)丁修復(fù)工作。通過(guò)搭建測(cè)試環(huán)境,選取云南電網(wǎng)主要業(yè)務(wù)系統(tǒng)涉及的3個(gè)操作系統(tǒng)和用戶終端常用的2個(gè)操作系統(tǒng)進(jìn)行測(cè)試,對(duì)比分析升級(jí)CVE-2017-5715和CVE-2017-5753補(bǔ)丁對(duì)系統(tǒng)性能造成的影響,形成《云南電網(wǎng)關(guān)于CPU處理器內(nèi)核存在Meltdown和 Spectre漏洞的性能比對(duì)測(cè)試報(bào)告》。
第四,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)和威脅情報(bào)收集工作,密切跟蹤該漏洞的最新情況,并對(duì)公司互聯(lián)網(wǎng)出口和各網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè),嚴(yán)防網(wǎng)絡(luò)入侵。
本次漏洞涉及范圍較廣,影響較大,且部分操作系統(tǒng)補(bǔ)丁升級(jí)完后可能對(duì)處理器性能造成影響,處理器型號(hào)越舊,受影響的程度可能越大。公司各單位暫停了補(bǔ)丁升級(jí)等工作,待網(wǎng)公司網(wǎng)絡(luò)安全實(shí)驗(yàn)室測(cè)試完成,綜合各實(shí)驗(yàn)室意見(jiàn)和建議,并結(jié)合國(guó)家部委要求、其他央企實(shí)際情況以及互聯(lián)網(wǎng)輿情進(jìn)行綜合研判后,再進(jìn)行下一步工作。
責(zé)任編輯:大云網(wǎng)
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 國(guó)家電網(wǎng)
- 南方電網(wǎng)
- 地方電網(wǎng)
-
中央廣播電視總臺(tái)專訪國(guó)網(wǎng)董事長(zhǎng)毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國(guó)家電網(wǎng),毛偉明,5G -
人民日?qǐng)?bào)刊載|國(guó)家電網(wǎng)董事長(zhǎng)毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國(guó)家電網(wǎng),毛偉明,電氣裝備 -
南方供暖路徑初探——?jiǎng)傂孕枨笙碌捻槃?shì)而為
2020-09-24清潔供暖,綜合能源服務(wù),清潔供熱
-
中央廣播電視總臺(tái)專訪國(guó)網(wǎng)董事長(zhǎng)毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國(guó)家電網(wǎng),毛偉明,5G -
人民日?qǐng)?bào)刊載|國(guó)家電網(wǎng)董事長(zhǎng)毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國(guó)家電網(wǎng),毛偉明,電氣裝備 -
國(guó)家電網(wǎng):光伏扶貧總關(guān)情
