2016-《2016年CNV漏洞数据统计简报》

2016 年 CNVD 漏洞数据统计简报一、2016 年漏洞收录情况统计（一）漏洞收录概况 2016 年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞 10822 个。其中，高危漏洞 4146 个（占 38.3%）、中危漏洞 5993 个（占 55.4%）、低危漏洞 683 个（占 6.3%），各级别比例分布与月度数量统计如图所示。较 2015 年漏洞收录总数 8080 环比增加 34%。2016 年，CNVD 前台接收白帽子、国内漏洞报告平台、以及安全厂商报送的原创通用软硬件漏洞数量占全年收录总数的 17.8%，成为 2016 年漏洞数量增长的重要原因。在全年收录的漏洞中，有 2203 个属于“零日”漏洞，可用于实施远程网络攻击的漏洞有 9503 个，可用于实施本地攻击的漏洞有 1319 个。图1 2016 年 CNVD 收录漏洞按威胁级别分布图2 2016 年 CNVD 收录漏洞数量月度统计 2012 年至 2016 年，CNVD 共收录了 42743 个，高危漏洞数量为 14495 个。CNVD 近五年发布的漏洞数量和高危漏洞数按年度统计如图所示，高危漏洞数量的比例有所上升。图3 2012 年-2016 年 CNVD 收录整理的漏洞数量对比 2016 年，CNVD 收录的漏洞中，主要涵盖 Google、Oracle、Adobe、Microsoft、 IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei 等厂商的产品。各厂商产品中漏洞的分布情况如图所示，可以看出，涉及 Google 产品（含操作系统、手机设备以及应用软件等）的漏洞最多，达到 819 个，占全部收录漏洞的 7%。图4 2016 年 CNVD 收录漏洞按厂商分布根据影响对象的类型，漏洞可分为：应用程序漏洞、WEB 应用漏洞、操作系统漏洞、网络设备漏洞（如路由器、交换机等）、数据库漏洞、和安全产品漏洞（如防火墙、入侵检测系统等）。如图所示，在 CNVD 2016 年度收录的漏洞信息中，应用程序漏洞占 60%，WEB 应用漏洞占 17.0%，操作系统漏洞占 13%，网络设备漏洞占 6.0%，数据库漏洞占 2.0%，安全产品漏洞占 2.0%。图 5 2016 年 CNVD 收录漏洞按影响对象类型分布图6 2016 年 CNVD 收录漏洞按影响对象类型分类统计（二）CNVD 补丁收录情况 2016 年 CNVD 共收录漏洞补丁 8619 个，为大部分漏洞提供了可参考的解决方案，提醒相关用户注意做好系统加固和安全防范工作。CNVD 发布的漏洞补丁数量按月度统计如图所示。图 7 2016 年 CNVD 收录漏洞补丁数量按月统计（三）CNVD 行业漏洞库收录情况 CNVD 对现有漏洞进行了进一步的深化建设，建立起基于重点行业的子漏洞库，目前涉及的行业包含：电信 (telecom.cnvd.org.cn) 、移动互联网 (mi.cnvd.org.cn)、工业控制系统(ics.cnvd.org.cn)和电子政务(未公开)。面向重点行业客户包括：政府部门、基础电信运营商、工控行业客户等，提供量身定制的漏洞信息发布服务，从而提高重点行业客户的安全事件预警、响应和处理能力。CNVD 行业漏洞主要通过行业资产共有信息和行业关键词进行匹配,2016 年行业漏洞库资产总数为：电信行业：1513 类，移动互联网 135 类，工控系统 178 类，电子政务 165 类。CNVD 行业库关联热词总数为：电信：84 个，移动互联网 42 个，工控系统 59 个，电子政务 13 个。 2016 年，CNVD 共收录电信行业漏洞 640 个（占总收录比例 5.9%），移动互联网行业漏洞 985 个（占 9.1%），工控行业漏洞 172 个（占 1.5%），电子政务行业漏洞 344 个（占 3.1%）。 2016 年，CNVD 共收录 206 个高危电信行业漏洞，相关的厂商包括 Oracle、 Cisco、IBM、Huawei、D-Link、Moxa、ZyXEL、NETGEAR、Apache、Legba Incorporated 等。分布情况如图所示。图8 2016 年 CNVD 收录电信行业高危漏洞按厂商分布情况 2016 年，CNVD 共收录 520 个高危移动互联网行业漏洞，相关的厂商包括 Google、Apple、Adobe、Samsung、weiphp 等。分布情况如图所示。图9 2016 年 CNVD 收录移动互联网行业高危漏洞按厂商分布情况 2016 年，CNVD 共收录 128 个高危电子政务行业漏洞，相关的厂商包括 Oracle、Samsung、山东浪潮齐鲁软件股份产业有限公司、phpMyAdmin、phpcms、北京紫新报通科技发展有限公司等。分布情况如图所示。图 10 2016 年 CNVD 收录电子政务行业高危漏洞按厂商分布情况 2016 年，CNVD 共收录 85 个高危工控行业漏洞，相关的厂商包括 Siemens、 Advantech、Schneider Electric、Rockwell Automation、HP 等。分布情况如图所示。图 11 2016 年 CNVD 收录工控系统行业高危漏洞按厂商分布情况 2013 年至 2016 年，CNVD 共收录电信行业漏洞 2823 个，移动互联网行业漏洞 3409 个，工控行业漏洞 559 个，电子政务漏洞 931 个。近四年各行业漏洞统计数如下图所示。图 12 2013-2016 年 CNVD 收录行业漏洞对比电信行业漏洞最为相关的厂商包括：Cisco、Oracle、IBM、D-Link、Huawei、 NETGEAR、Juniper Networks、Apache、ASUS、TP-LINK 等。厂商分布如下图所示。图 13 2013-2016 年 CNVD 电信行业漏洞厂商分布移动互联网行业漏洞最为相关的厂商包括：Google、Apple、Adobe、Samsung、 Blackberry、Microsoft、Magzter Inc.、Mozilla、Linux、PlayScape 等。厂商分布如下图所示。图 14 2013-2016 年 CNVD 移动互联网行业漏洞厂商分布电子政务行业漏洞最为相关的厂商包括：Oracle、PhpMyAdmin、Samsung、 DELL、Cisco、IBM、Apache、HP、Phpcms、山东浪潮齐鲁软件股份产业有限公司等。厂商分布如下图所示。图 15 2013-2016 年 CNVD 电子政务行业漏洞厂商分布工控行业漏洞最为相关的厂商包括：SIEMENS、Schneider Electric、 Advantech、Rockwell Automation、ABB、Ecava、Cogent Real-Time Systems、 General Electric、Invensys、Infinite Automation Systems, Inc.等。厂商分布如下图所示。图 16 2013-2016 年 CNVD 工控行业漏洞厂商分布二、CNVD 漏洞处置情况统计 2016 年，CNVD 对接收到的事件进行核实验证，主要依托 CNCERT 国家中心、分中心处置渠道开展处置工作，同时 CNVD 通过互联网公开信息积极建立与国内其他企事业单位的工作联系机制。2016 年，CNVD 共处置涉及我国政府部门以及银行、证券、保险、交通、能源等重要信息系统部门以及基础电信企业、教育行业等相关行业漏洞风险事件共计 31335 起，按月度统计情况如下图所示：图 17 2016 年 CNVD 处置漏洞事件分布 2016 年，CNVD 秘书处自行开展漏洞处置 2476 次，涉及国内外软件厂商 1713 家，联系次数最多的相关厂商(含厂商自建的安全响应中心)如下表所示。表 1 2016 年 CNVD 协调处置厂商软硬件产品次数 TOP10 厂商漏洞数成都鹏博士电信传媒集团股份有限公司 29 腾讯安全应急响应中心 24 中兴 PSIRT 22 百度安全应急响应中心 20 中国铁建股份有限公司 20 成都星锐蓝海网络科技有限公司 17 北京网御星云信息技术有限公司 16 用友网络科技股份有限公司 12 北京拓尔思信息技术股份有限公司 11 天融信攻防技术研究中心 11 三、漏洞报送渠道情况统计 2016 年，国内安全研究者漏洞报告持续活跃，CNVD 依托自有报告渠道以及与乌云、补天、漏洞盒子等民间漏洞报告平台的协作渠道，接收和处置涉及党政机关和重要行业单位的漏洞风险事件。如下表所示，为 CNVD 通过各渠道接收到的民间漏洞报告数量统计表。表2 2016 年 CNVD 接收民间平台或研究者报告情况统计接收渠道报告数量（条）补天平台 29240 乌云平台 12069 （注：截至 7 月 19 日） CNVD 白帽子 5128 漏洞盒子 3192