总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2017-0005
一、2016年漏洞收录情况统计
(一)漏洞收录概况
2016年,国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个。其中,高危漏洞4146个(占38.3%)、中危漏洞5993个(占55.4%)、低危漏洞683个(占6.3%),各级别比例分布与月度数量统计如图所示。较2015年漏洞收录总数8080环比增加34%。2016年,CNVD前台接收白帽子、国内漏洞报告平台、以及安全厂商报送的原创通用软硬件漏洞数量占全年收录总数的17.8%,成为2016年漏洞数量增长的重要原因。在全年收录的漏洞中,有2203个属于“零日”漏洞,可用于实施远程网络攻击的漏洞有9503个,可用于实施本地攻击的漏洞有1319个。
图1 2016年CNVD收录漏洞按威胁级别分布 图2 2016年CNVD收录漏洞数量月度统计2012年至2016年,CNVD共收录了42743个,高危漏洞数量为14495个。CNVD近五年发布的漏洞数量和高危漏洞数按年度统计如图所示,高危漏洞数量的比例有所上升。
图3 2012年-2016年CNVD收录整理的漏洞数量对比2016年,CNVD收录的漏洞中,主要涵盖Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei等厂商的产品。各厂商产品中漏洞的分布情况如图所示,可以看出,涉及Google产品(含操作系统、手机设备以及应用软件等)的漏洞最多,达到819个,占全部收录漏洞的7%。
图4 2016年CNVD收录漏洞按厂商分布根据影响对象的类型,漏洞可分为:应用程序漏洞、WEB应用漏洞、操作系统漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、和安全产品漏洞 (如防火墙、入侵检测系统等)。如图所示,在CNVD 2016年度收录的漏洞信息中,应用程序漏洞占60%,WEB应用漏洞占17.0%,操作系统漏洞占13%,网络设备漏洞占6.0%,数据库漏洞占2.0%,安全产品漏洞占2.0%。
图5 2016年CNVD收录漏洞按影响对象类型分布 图6 2016年CNVD收录漏洞按影响对象类型分类统计(二)CNVD补丁收录情况
2016年CNVD共收录漏洞补丁8619个,为大部分漏洞提供了可参考的解决方案,提醒相关用户注意做好系统加固和安全防范工作。CNVD发布的漏洞补丁数量按月度统计如图所示。
图7 2016年CNVD收录漏洞补丁数量按月统计(三)CNVD行业漏洞库收录情况
CNVD对现有漏洞进行了进一步的深化建设,建立起基于重点行业的子漏洞库,目前涉及的行业包含:电信(telecom.cnvd.org.cn)、移动互联网(mi.cnvd.org.cn)、工业控制系统(ics.cnvd.org.cn)和电子政务(未公开)。面向重点行业客户包括:政府部门、基础电信运营商、工控行业客户等,提供量身定制的漏洞信息发布服务,从而提高重点行业客户的安全事件预警、响应和处理能力。CNVD行业漏洞主要通过行业资产共有信息和行业关键词进行匹配,2016年行业漏洞库资产总数为:电信行业:1513类,移动互联网135类,工控系统178类,电子政务165类。CNVD行业库关联热词总数为:电信:84个,移动互联网42个,工控系统59个,电子政务13个。
2016年,CNVD共收录电信行业漏洞640个(占总收录比例5.9%),移动互联网行业漏洞985个(占9.1%),工控行业漏洞172个(占1.5%),电子政务行业漏洞344个(占3.1%)。
2016年,CNVD共收录206个高危电信行业漏洞,相关的厂商包括Oracle、Cisco、IBM、Huawei、D-Link、Moxa、ZyXEL、NETGEAR、Apache、Legba Incorporated等。分布情况如图所示。
图8 2016年CNVD收录电信行业高危漏洞按厂商分布情况2016年,CNVD共收录520个高危移动互联网行业漏洞,相关的厂商包括Google、Apple、Adobe、Samsung、weiphp等。分布情况如图所示。
图9 2016年CNVD收录移动互联网行业高危漏洞按厂商分布情况2016年,CNVD共收录128个高危电子政务行业漏洞,相关的厂商包括Oracle、Samsung、山东浪潮齐鲁软件股份产业有限公司、phpMyAdmin、phpcms、北京紫新报通科技发展有限公司等。分布情况如图所示。
图10 2016年CNVD收录电子政务行业高危漏洞按厂商分布情况2016年,CNVD共收录85个高危工控行业漏洞,相关的厂商包括Siemens、Advantech、SchneiderElectric、Rockwell Automation、HP等。分布情况如图所示。
图11 2016年CNVD收录工控系统行业高危漏洞按厂商分布情况2013年至2016年,CNVD共收录电信行业漏洞2823个,移动互联网行业漏洞3409个,工控行业漏洞559个,电子政务漏洞931个。近四年各行业漏洞统计数如下图所示。
图12 2013-2016年CNVD收录行业漏洞对比电信行业漏洞最为相关的厂商包括:Cisco、Oracle、IBM、D-Link、Huawei、NETGEAR、Juniper Networks、Apache、ASUS、TP-LINK等。厂商分布如下图所示。
图13 2013-2016年CNVD电信行业漏洞厂商分布移动互联网行业漏洞最为相关的厂商包括:Google、Apple、Adobe、Samsung、Blackberry、Microsoft、Magzter Inc.、Mozilla、Linux、PlayScape等。厂商分布如下图所示。
图14 2013-2016年CNVD移动互联网行业漏洞厂商分布电子政务行业漏洞最为相关的厂商包括:Oracle、PhpMyAdmin、Samsung、DELL、Cisco、IBM、Apache、HP、Phpcms、山东浪潮齐鲁软件股份产业有限公司等。厂商分布如下图所示。
图15 2013-2016年CNVD电子政务行业漏洞厂商分布工控行业漏洞最为相关的厂商包括:SIEMENS、Schneider Electric、Advantech、Rockwell Automation、ABB、Ecava、CogentReal-Time Systems、General Electric、Invensys、Infinite Automation Systems, Inc.等。厂商分布如下图所示。
图16 2013-2016年CNVD工控行业漏洞厂商分布二、CNVD漏洞处置情况统计
2016年,CNVD对接收到的事件进行核实验证,主要依托CNCERT国家中心、分中心处置渠道开展处置工作,同时CNVD通过互联网公开信息积极建立与国内其他企事业单位的工作联系机制。2016年,CNVD共处置涉及我国政府部门以及银行、证券、保险、交通、能源等重要信息系统部门以及基础电信企业、教育行业等相关行业漏洞风险事件共计31335起,按月度统计情况如下图所示:
图17 2016年CNVD处置漏洞事件分布2016年,CNVD秘书处自行开展漏洞处置2476次,涉及国内外软件厂商1713家,联系次数最多的相关厂商(含厂商自建的安全响应中心)如下表所示。
表 1 2016年CNVD协调处置厂商软硬件产品次数TOP10厂商 | 漏洞数 |
成都鹏博士电信传媒集团股份有限公司 | 29 |
腾讯安全应急响应中心 | 24 |
中兴PSIRT | 22 |
百度安全应急响应中心 | 20 |
中国铁建股份有限公司 | 20 |
成都星锐蓝海网络科技有限公司 | 17 |
北京网御星云信息技术有限公司 | 16 |
用友网络科技股份有限公司 | 12 |
北京拓尔思信息技术股份有限公司 | 11 |
天融信攻防技术研究中心 | 11 |
三、漏洞报送渠道情况统计
2016年,国内安全研究者漏洞报告持续活跃,CNVD依托自有报告渠道以及与乌云、补天、漏洞盒子等民间漏洞报告平台的协作渠道,接收和处置涉及党政机关和重要行业单位的漏洞风险事件。如下表所示,为CNVD通过各渠道接收到的民间漏洞报告数量统计表。
表2 2016年CNVD接收民间平台或研究者报告情况统计接收渠道 | 报告数量(条) |
补天平台 | 29240 |
乌云平台 | 12069(注:截至7月19日) |
CNVD白帽子 | 5128 |
漏洞盒子 | 3192 |