全國(guó)信息安(ān)全标準化技(jì )術委員會發布《網絡安(ān)全實踐指南—CPU熔斷和幽靈漏洞防範指引》

中(zhōng)國(guó)網信網1月16日消息 全國(guó)信息安(ān)全标準化技(jì )術委員會秘書處（以下簡稱“信安(ān)标委秘書處”）針對近期披露的CPU熔斷（Meltdown）和幽靈（Spectre）漏洞，組織相關廠商(shāng)和安(ān)全專家，編制發布了《網絡安(ān)全實踐指南—CPU熔斷和幽靈漏洞防範指引》（以下簡稱《防範指引》）。

信安(ān)标委秘書處相關負責人表示，熔斷和幽靈漏洞影響範圍覆蓋主流CPU，引發廣泛的關注。相關廠商(shāng)應及時應對，為(wèi)産(chǎn)品提供必要的技(jì )術支持，有(yǒu)序開展補丁升級工(gōng)作(zuò)，引導用(yòng)戶提高安(ān)全意識，有(yǒu)效控制相關風險，維護用(yòng)戶利益。

據介紹，本次披露的漏洞屬于芯片級漏洞，主要影響和風險包括竊取内存數據、造成敏感信息洩漏等。目前尚未發現利用(yòng)上述漏洞針對個人用(yòng)戶的直接攻擊。

《防範指引》就受熔斷和幽靈漏洞威脅的四類典型用(yòng)戶，包括雲服務(wù)提供商(shāng)、服務(wù)器用(yòng)戶、雲租戶、個人用(yòng)戶等，給出了詳細的防範指引，并提供了部分(fēn)廠商(shāng)安(ān)全公(gōng)告和補丁鏈接。其中(zhōng)，雲服務(wù)提供商(shāng)和服務(wù)器用(yòng)戶應在參考CPU廠商(shāng)和操作(zuò)系統廠商(shāng)建議的基礎上，結合自身環境制定升級方案，綜合考慮安(ān)全風險、性能(néng)損耗等因素，采取相關安(ān)全措施防範安(ān)全風險；雲租戶和個人用(yòng)戶應及時關注雲服務(wù)提供商(shāng)、操作(zuò)系統廠商(shāng)、浏覽器廠商(shāng)等提供的安(ān)全補丁，及時升級，避免受到漏洞的影響。《防範指引》全文(wén)可(kě)通過訪問信安(ān)标委網站獲得（www.tc260.org.cn）。