点击右上角微信好友
朋友圈
请使用浏览器分享功能进行分享
近日,中国国家信息安全漏洞共享平台(简称CNVD)发布报告,整体内容基于2022年中国国家信息安全漏洞库(CNNVD)发布的漏洞数据,统计数量增长、类型、严重等级、修复和攻击危害等情况,分析研判漏洞发展趋势和特点,并研究提出漏洞防范和缓解的工作思路。
2022年度新增漏洞近2万5千个,达到历史新高,保持连年增长态势。超高危级漏洞占比呈持续上升趋势,漏洞修复率大幅提升,面临漏洞威胁形势依然严峻。整体形势出现新变化,呈现高风险漏洞数量突破新高、零日争夺凸显攻防新较量、单边漏洞管控扰乱国际秩序、网络霸权主义冲击网空权益等特点,网络安全整体形势更加复杂严峻。
关于公开漏洞情况方面。2022年新增漏洞近2万5千个,达到历史新高,保持连年增长态势。超高危级漏洞占比呈持续上升趋势,漏洞修复率大幅提升,面临漏洞威胁形势依然严峻。截至2022年,CNNVD合计发布漏洞信息199465条,2022年新增漏洞信息24801条。从漏洞危害及修复情况来看,2022年新增漏洞中,超危漏洞4200个,高危漏洞9968个,中危漏洞10146个,低危漏洞487个,相应修复率分别为54.86%、79.65%、76.13%和91.38%,整体修复率为77.76%。从厂商分布来看,Google是2022年产品漏洞数量最多的厂商,共新增漏洞1411个,排名第二的是Microsoft漏洞数量是963个。从漏洞类型来看,跨站脚本类漏洞3217个,占总量12.97%,占比最高。
关于漏洞趋势分析方面。随着全球数字化、网络化和智能化进程的推进,网络安全漏洞数量、严重程度以及受关注度都在急剧飙升,数字经济发展面临网络安全领域的挑战不断升级。
其中,高风险漏洞数量突破新高。2018至2022年连续五年漏洞数量呈持续增长走势,2022年新增漏洞数量达历年最高,较2018年增长52%,超高危数量较2018年翻一倍。
如图示2018至2022年漏洞新增数量和超高危数量对比统计图
2022年较上年增速明显加快,超高危漏洞数量增速同步提升,2022年超高危漏洞占比57%,较往年占比增幅较大。2018至2022年漏洞新增和超高危漏洞增长率统计。
如图示2018至2022年漏洞数量增长率和超高危增长率对比统计图
整体统计近五年月度数据,各年新增漏洞数量普遍在4月、10月和12月居当年较高水平,2月、5月和11月相对偏低。
如图示2018至2022年漏洞数量增按月分布对比统计图
下一步措施建议:
一是促进漏洞治理国际合作机制,对冲网络霸权,构建网络空间命运共同体。数字化转型是全球经济发展趋势,全球数字供应链相互交织,单方面断供禁售不符合协作共赢的发展理念,提供高质量数字技术、以负责任的态度持续保障产品安全性能才是拓展国际市场的长远之计。特别要与核心基础数字产品供应方建立漏洞信息及时共享的保障机制,共同创建国际通用的漏洞规范标准,引领国际漏洞治理体系新规则,实现安全权益最大化。
二是推动漏洞治理国家机制顺畅,统筹漏洞治理体制建立健全。漏洞治理是解决非传统安全风险向传统安全风险传导问题的关键环节,是提升国家安全治理能力的基础,更是维护国家安全的重要战略任务,狠抓漏洞治理就是筑牢网络安全根基。漏洞治理的关键和根本,是要依赖国家安全层面统一部署的工作机制,明确漏洞治理职能,构建基础研究、发现检测、风险评估及人才管理等治理能力,统筹推进漏洞风险治理体系建设,实现漏洞风险有效管控。
三是营造良好的漏洞生态环境,推动漏洞技术攻关和应用创新。漏洞产业是漏洞风险治理的重要支柱力量,在严厉打击黑产链条基础上,合理引导上游产出,加大中游参与主体准入和监督力度,运用政策支持鼓励下游企业积极应用创新,规划布局产业整体发展方向,有力提升产业效能,充分发挥产业漏洞治理的重要作用。
四是加强漏洞感知机制和手段建设,提升网络安全防御能力。漏洞利用是网络攻击的主要手段,一旦重大风险漏洞被披露,大型机构难以立即完成全网脆弱资产的修复,能否应对漏洞攻击的根本取决于对漏洞的识别能力及针对性的响应速度,是保障关基等重要网络资产安全的根本所在。关基领域要做好关键基础设施网络资产管理工作,做到“底数清”。有关部门应协调组织技术力量开展漏洞攻击特征资源汇聚,加强漏洞攻击识别能力建设,有效支撑国家关键基础设施网络安全防护,以及有关执法部门防范和打击境内外利用漏洞进行的破坏、窃密、间谍等各类违法犯罪活动。
五是加快漏洞标准制定和体系建设,夯实漏洞基础研究能力。漏洞虽不可避免,但采取有效的管理和技术手段可以减少漏洞产生的数量、降低漏洞风险的等级,改善数字产品安全性能。建立健全漏洞管理标准体系,编制漏洞风险等级、分类、安全检测等系列标准,为漏洞风险评估机制建设执行提供技术依据。(光明网记者 王一涵)