總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全公告編號:CNTA-2017-0005
一、2016年漏洞收錄情況統計
(一)漏洞收錄概況
2016年,國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞10822個。其中,高危漏洞4146個(占38.3%)、中危漏洞5993個(占55.4%)、低危漏洞683個(占6.3%),各級別比例分布與月度數量統計如圖所示。較2015年漏洞收錄總數8080環比增加34%。2016年,CNVD前臺接收白帽子、國內漏洞報告平臺、以及安全廠商報送的原創通用軟硬件漏洞數量占全年收錄總數的17.8%,成為2016年漏洞數量增長的重要原因。在全年收錄的漏洞中,有2203個屬于“零日”漏洞,可用于實施遠程網絡攻擊的漏洞有9503個,可用于實施本地攻擊的漏洞有1319個。
圖1 2016年CNVD收錄漏洞按威脅級別分布
圖2 2016年CNVD收錄漏洞數量月度統計
2012年至2016年,CNVD共收錄了42743個,高危漏洞數量為14495個。CNVD近五年發布的漏洞數量和高危漏洞數按年度統計如圖所示,高危漏洞數量的比例有所上升。
圖3 2012年-2016年CNVD收錄整理的漏洞數量對比
2016年,CNVD收錄的漏洞中,主要涵蓋Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei等廠商的產品。各廠商產品中漏洞的分布情況如圖所示,可以看出,涉及Google產品(含操作系統、手機設備以及應用軟件等)的漏洞最多,達到819個,占全部收錄漏洞的7%。
圖4 2016年CNVD收錄漏洞按廠商分布
根據影響對象的類型,漏洞可分為:應用程序漏洞、WEB應用漏洞、操作系統漏洞、網絡設備漏洞(如路由器、交換機等)、數據庫漏洞、和安全產品漏洞 (如防火墻、入侵檢測系統等)。如圖所示,在CNVD 2016年度收錄的漏洞信息中,應用程序漏洞占60%,WEB應用漏洞占17.0%,操作系統漏洞占13%,網絡設備漏洞占6.0%,數據庫漏洞占2.0%,安全產品漏洞占2.0%。
圖5 2016年CNVD收錄漏洞按影響對象類型分布
圖6 2016年CNVD收錄漏洞按影響對象類型分類統計
(二)CNVD補丁收錄情況
2016年CNVD共收錄漏洞補丁8619個,為大部分漏洞提供了可參考的解決方案,提醒相關用戶注意做好系統加固和安全防范工作。CNVD發布的漏洞補丁數量按月度統計如圖所示。
圖7 2016年CNVD收錄漏洞補丁數量按月統計
(三)CNVD行業漏洞庫收錄情況
CNVD對現有漏洞進行了進一步的深化建設,建立起基于重點行業的子漏洞庫,目前涉及的行業包含:電信(telecom.cnvd.org.cn)、移動互聯網(mi.cnvd.org.cn)、工業控制系統(ics.cnvd.org.cn)和電子政務(未公開)。面向重點行業客戶包括:政府部門、基礎電信運營商、工控行業客戶等,提供量身定制的漏洞信息發布服務,從而提高重點行業客戶的安全事件預警、響應和處理能力。CNVD行業漏洞主要通過行業資產共有信息和行業關鍵詞進行匹配,2016年行業漏洞庫資產總數為:電信行業:1513類,移動互聯網135類,工控系統178類,電子政務165類。CNVD行業庫關聯熱詞總數為:電信:84個,移動互聯網42個,工控系統59個,電子政務13個。
2016年,CNVD共收錄電信行業漏洞640個(占總收錄比例5.9%),移動互聯網行業漏洞985個(占9.1%),工控行業漏洞172個(占1.5%),電子政務行業漏洞344個(占3.1%)。
2016年,CNVD共收錄206個高危電信行業漏洞,相關的廠商包括Oracle、Cisco、IBM、Huawei、D-Link、Moxa、ZyXEL、NETGEAR、Apache、Legba Incorporated等。分布情況如圖所示。
圖8 2016年CNVD收錄電信行業高危漏洞按廠商分布情況
2016年,CNVD共收錄520個高危移動互聯網行業漏洞,相關的廠商包括Google、Apple、Adobe、Samsung、weiphp等。分布情況如圖所示。
圖9 2016年CNVD收錄移動互聯網行業高危漏洞按廠商分布情況
2016年,CNVD共收錄128個高危電子政務行業漏洞,相關的廠商包括Oracle、Samsung、山東浪潮齊魯軟件股份產業有限公司、phpMyAdmin、phpcms、北京紫新報通科技發展有限公司等。分布情況如圖所示。
圖10 2016年CNVD收錄電子政務行業高危漏洞按廠商分布情況
2016年,CNVD共收錄85個高危工控行業漏洞,相關的廠商包括Siemens、Advantech、SchneiderElectric、Rockwell Automation、HP等。分布情況如圖所示。
圖11 2016年CNVD收錄工控系統行業高危漏洞按廠商分布情況
2013年至2016年,CNVD共收錄電信行業漏洞2823個,移動互聯網行業漏洞3409個,工控行業漏洞559個,電子政務漏洞931個。近四年各行業漏洞統計數如下圖所示。
圖12 2013-2016年CNVD收錄行業漏洞對比
電信行業漏洞最為相關的廠商包括:Cisco、Oracle、IBM、D-Link、Huawei、NETGEAR、Juniper Networks、Apache、ASUS、TP-LINK等。廠商分布如下圖所示。
圖13 2013-2016年CNVD電信行業漏洞廠商分布
移動互聯網行業漏洞最為相關的廠商包括:Google、Apple、Adobe、Samsung、Blackberry、Microsoft、Magzter Inc.、Mozilla、Linux、PlayScape等。廠商分布如下圖所示。
圖14 2013-2016年CNVD移動互聯網行業漏洞廠商分布
電子政務行業漏洞最為相關的廠商包括:Oracle、PhpMyAdmin、Samsung、DELL、Cisco、IBM、Apache、HP、Phpcms、山東浪潮齊魯軟件股份產業有限公司等。廠商分布如下圖所示。
圖15 2013-2016年CNVD電子政務行業漏洞廠商分布
工控行業漏洞最為相關的廠商包括:SIEMENS、Schneider Electric、Advantech、Rockwell Automation、ABB、Ecava、CogentReal-Time Systems、General Electric、Invensys、Infinite Automation Systems, Inc.等。廠商分布如下圖所示。
圖16 2013-2016年CNVD工控行業漏洞廠商分布
二、CNVD漏洞處置情況統計
2016年,CNVD對接收到的事件進行核實驗證,主要依托CNCERT國家中心、分中心處置渠道開展處置工作,同時CNVD通過互聯網公開信息積極建立與國內其他企事業單位的工作聯系機制。2016年,CNVD共處置涉及我國政府部門以及銀行、證券、保險、交通、能源等重要信息系統部門以及基礎電信企業、教育行業等相關行業漏洞風險事件共計31335起,按月度統計情況如下圖所示:
圖17?2016年CNVD處置漏洞事件分布
2016年,CNVD秘書處自行開展漏洞處置2476次,涉及國內外軟件廠商1713家,聯系次數最多的相關廠商(含廠商自建的安全響應中心)如下表所示。
表 1 2016年CNVD協調處置廠商軟硬件產品次數TOP10| 廠商 | 漏洞數 |
| 成都鵬博士電信傳媒集團股份有限公司 | 29 |
| 騰訊安全應急響應中心 | 24 |
| 中興PSIRT | 22 |
| 百度安全應急響應中心 | 20 |
| 中國鐵建股份有限公司 | 20 |
| 成都星銳藍海網絡科技有限公司 | 17 |
| 北京網御星云信息技術有限公司 | 16 |
| 用友網絡科技股份有限公司 | 12 |
| 北京拓爾思信息技術股份有限公司 | 11 |
| 天融信攻防技術研究中心 | 11 |
三、漏洞報送渠道情況統計
2016年,國內安全研究者漏洞報告持續活躍,CNVD依托自有報告渠道以及與烏云、補天、漏洞盒子等民間漏洞報告平臺的協作渠道,接收和處置涉及黨政機關和重要行業單位的漏洞風險事件。如下表所示,為CNVD通過各渠道接收到的民間漏洞報告數量統計表。
表2 2016年CNVD接收民間平臺或研究者報告情況統計| 接收渠道 | 報告數量(條) |
| 補天平臺 | 29240 |
| 烏云平臺 | 12069(注:截至7月19日) |
| CNVD白帽子 | 5128 |
| 漏洞盒子 | 3192 |