近日,中國國家資訊安全漏洞共享平台(簡稱CNVD)釋出報告,整體内容基于2022年中國國家資訊安全漏洞庫(CNNVD)釋出的漏洞資料,統計數量增長、類型、嚴重等級、修複和攻擊危害等情況,分析研判漏洞發展趨勢和特點,并研究提出漏洞防範和緩解的工作思路。
2022年度新增漏洞近2萬5千個,達到曆史新高,保持連年增長态勢。超高危級漏洞占比呈持續上升趨勢,漏洞修複率大幅提升,面臨漏洞威脅形勢依然嚴峻。整體形勢出現新變化,呈現高風險漏洞數量突破新高、零日争奪凸顯攻防新較量、單邊漏洞管控擾亂國際秩序、網絡霸權主義沖擊網空權益等特點,網絡安全整體形勢更加複雜嚴峻。
關于公開漏洞情況方面。2022年新增漏洞近2萬5千個,達到曆史新高,保持連年增長态勢。超高危級漏洞占比呈持續上升趨勢,漏洞修複率大幅提升,面臨漏洞威脅形勢依然嚴峻。截至2022年,CNNVD合計釋出漏洞資訊199465條,2022年新增漏洞資訊24801條。從漏洞危害及修複情況來看,2022年新增漏洞中,超危漏洞4200個,高危漏洞9968個,中危漏洞10146個,低危漏洞487個,相應修複率分别為54.86%、79.65%、76.13%和91.38%,整體修複率為77.76%。從廠商分布來看,Google是2022年産品漏洞數量最多的廠商,共新增漏洞1411個,排名第二的是Microsoft漏洞數量是963個。從漏洞類型來看,跨站腳本類漏洞3217個,占總量12.97%,占比最高。
關于漏洞趨勢分析方面。随着全球數字化、網絡化和智能化程序的推進,網絡安全漏洞數量、嚴重程度以及受關注度都在急劇飙升,數字經濟發展面臨網絡安全領域的挑戰不斷更新。
其中,高風險漏洞數量突破新高。2018至2022年連續五年漏洞數量呈持續增長走勢,2022年新增漏洞數量達曆年最高,較2018年增長52%,超高危數量較2018年翻一倍。
如圖示2018至2022年漏洞新增數量和超高危數量對比統計圖
2022年較上年增速明顯加快,超高危漏洞數量增速同步提升,2022年超高危漏洞占比57%,較往年占比增幅較大。2018至2022年漏洞新增和超高危漏洞增長率統計。
如圖示2018至2022年漏洞數量增長率和超高危增長率對比統計圖
整體統計近五年月度資料,各年新增漏洞數量普遍在4月、10月和12月居當年較高水準,2月、5月和11月相對偏低。
如圖示2018至2022年漏洞數量增按月分布對比統計圖
下一步措施建議:
一是促進漏洞治理國際合作機制,對沖網絡霸權,建構網絡空間命運共同體。數字化轉型是全球經濟發展趨勢,全球數字供應鍊互相交織,單方面斷供禁售不符合協作共赢的發展理念,提供高品質數字技術、以負責任的态度持續保障産品安全性能才是拓展國際市場的長遠之計。特别要與核心基礎數字産品供應方建立漏洞資訊及時共享的保障機制,共同建立國際通用的漏洞規範标準,引領國際漏洞治理體系新規則,實作安全權益最大化。
二是推動漏洞治理國家機制順暢,統籌漏洞治理體制建立健全。漏洞治理是解決非傳統安全風險向傳統安全風險傳導問題的關鍵環節,是提升國家安全治理能力的基礎,更是維護國家安全的重要戰略任務,狠抓漏洞治理就是築牢網絡安全根基。漏洞治理的關鍵和根本,是要依賴國家安全層面統一部署的工作機制,明确漏洞治理職能,建構基礎研究、發現檢測、風險評估及人才管理等治理能力,統籌推進漏洞風險治理體系建設,實作漏洞風險有效管控。
三是營造良好的漏洞生态環境,推動漏洞技術攻關和應用創新。漏洞産業是漏洞風險治理的重要支柱力量,在嚴厲打擊黑産鍊條基礎上,合理引導上遊産出,加大中遊參與主體準入和監督力度,運用政策支援鼓勵下遊企業積極應用創新,規劃布局産業整體發展方向,有力提升産業效能,充分發揮産業漏洞治理的重要作用。
四是加強漏洞感覺機制和手段建設,提升網絡安全防禦能力。漏洞利用是網絡攻擊的主要手段,一旦重大風險漏洞被披露,大型機構難以立即完成全網脆弱資産的修複,能否應對漏洞攻擊的根本取決于對漏洞的識别能力及針對性的響應速度,是保障關基等重要網絡資産安全的根本所在。關基領域要做好關鍵基礎設施網絡資産管理工作,做到“底數清”。有關部門應協調組織技術力量開展漏洞攻擊特征資源彙聚,加強漏洞攻擊識别能力建設,有效支撐國家關鍵基礎設施網絡安全防護,以及有關執法部門防範和打擊境内外利用漏洞進行的破壞、竊密、間諜等各類違法犯罪活動。
五是加快漏洞标準制定和體系建設,夯實漏洞基礎研究能力。漏洞雖不可避免,但采取有效的管理和技術手段可以減少漏洞産生的數量、降低漏洞風險的等級,改善數字産品安全性能。建立健全漏洞管理标準體系,編制漏洞風險等級、分類、安全檢測等系列标準,為漏洞風險評估機制建設執行提供技術依據。(光明網記者 王一涵)
來源: 光明網