前言
伴随计算机和网络技术的日益普及,互联网飞速发展,计算机应用数量也在迅速增加,高质量、高效率的信息系统给企业的经营管理带来了巨大的经济效益,提高了工作效率并提升了企业竞争力。但随之而来的信息安全问题也在困扰着用户。隐藏在其中的恶意软件,如木马和蠕虫病毒也随之而来,对企业可持续健康发展带来了严重威胁,因此对企业信息安全提出了更高的要求。
对此现状,我国成立了国家信息安全漏洞共享平台,简称CNVD,国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库,致力于建立完善的信息安全漏洞收集、发布、验证、分析等应急处理体系。主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
国家信息安全漏洞共享平台上收录了大量漏洞信息,以下仅针对CNVD 2020年度数据的统计,从以下六个维度进行汇总和分享,希望可以对行业用户起到一些帮助。
一、漏洞收录
2020年,CNVD共收录通用软硬件漏洞19964个。其中,高危漏洞6906个(占34.6%)、中危漏洞10633个(占53.3%)、低危漏洞2425个(占12.1%),各级别漏洞比例分布与月度数量统计如下图所示。较2019年漏洞收录总数16050环比增加24.39%。
二、漏洞趋势
◆ 月统计
2020年1月至2020年12月,CNVD每月收录的漏洞数量变化不一,但通过下面趋势图的对比可以发现,漏洞数量在第一二季度呈增长趋势,第三四季度呈下降趋势,但漏洞数量减少并不意味着安全风险降低,漏洞的严重性对安全风险有着很大的影响,相关用户对自身的安全策略不能松懈,需要时刻保持警惕。
◆ 季度统计
三、漏洞类型分布情况
2020年CNVD漏洞类型主要分为十大类,分别是配置错误、边界条件错误、输入验证错误、访问验证错误、竞争条件、环境错误、意外情况处理错误、设计错误和未知错误及其他错误,按占比比例以设计错误和输入验证错误为主,占总比分别为65.4%和25.4%。
漏洞类型分布情况图如下:
四、漏洞行业分布情况
2020年CNVD漏洞行业分布情况,根据影响对象的类型分为九大类,分别是:工控漏洞、操作系统漏洞、WEB应用漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、电信行业漏洞、移动互联网、物联网终端设备和其他。
其中,WEB应用漏洞占总比27.7%,操作系统漏洞占总比10.3%,网络设备漏洞占总比6.8%,数据库漏洞占总比1.4%,电信行业漏洞占总比4.4%, 移动互联网占总比7.3%,工控漏洞占总比3.2%,物联网终端设备占总比2.1% ,总体情况如下图:
五、工控厂商漏洞统计
工控漏洞在2020全年漏洞比重中虽然占总比相对较小,但其重要性不可忽视。工控行业漏洞最为相关的厂商包括:Siemens、Rockwell、Moxa、ABB、WAGO 、Advantech、Mitsubishi、Honeywell、Schneider、Omron、Emerson等。Siemens占总数的15.8%、Rockwell占总数的5.4%、Moxa占总数的2.3%、ABB占总数的6.7%、WAGO占总数的5.6% 、Advantech占总数的10.7%、Mitsubishi占总数的3.4%、Honeywell占总数的1.2%、Schneider占总数的6.0%、Omron占总数的0.9%、Emerson占总数的1.2%,具体分布如下图所示。
六、补丁统计
2020年全年CNVD共收录19964漏洞中,总补丁数为15458个,这些补丁为大部分相关用户提供了可参考的解决方案,警示大家注意做好系统加固和安全防范工作。CNVD发布的漏洞补丁数量按危害级别,统计如下图所示:
其中中危补丁占54.9%、高危补丁占33.2%、低危补丁占12.0%。补丁数量与漏洞数量呈现正相关关系,12月补丁数量明显减少,总体有所下降。补丁趋势如下图所示:
结语
通过CNVD发布的漏洞信息,提醒广大用户及时采取安全防范措施,通过相关厂商提供的修补方案,及时下载补丁、更新程序,避免遭受漏洞影响和网络攻击。
