您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
2022年度網(wǎng)絡(luò)安全漏洞態(tài)勢報告
報告摘要
本報告基于2022年國家信息安全漏洞庫(CNNVD)發(fā)布的漏洞數(shù)據(jù),統(tǒng)計數(shù)量增長、類型、嚴(yán)重等級、修復(fù)和攻擊危害等情況,分析研判漏洞發(fā)展趨勢和特點,并研究提出漏洞防范和緩解的工作思路。
2022年度新增漏洞近2萬5千個,達(dá)到歷史新高,保持連年增長態(tài)勢。超高危級漏洞占比呈持續(xù)上升趨勢,漏洞修復(fù)率大幅提升,面臨漏洞威脅形勢依然嚴(yán)峻。整體形勢出現(xiàn)新變化,呈現(xiàn)高風(fēng)險漏洞數(shù)量突破新高、零日爭奪凸顯攻防新較量、單邊漏洞管控擾亂國際秩序、網(wǎng)絡(luò)霸權(quán)主義沖擊網(wǎng)空權(quán)益等特點,網(wǎng)絡(luò)安全整體形勢更加復(fù)雜嚴(yán)峻。
漏洞風(fēng)險關(guān)乎國家安全,治理漏洞風(fēng)險是維護(hù)國家安全和保障網(wǎng)絡(luò)安全的必然要求,要著力促進(jìn)漏洞治理國際合作機(jī)制,推動漏洞治理國家機(jī)制順暢,營造良好的漏洞生態(tài)環(huán)境,加強(qiáng)漏洞感知機(jī)制和手段建設(shè),加快漏洞標(biāo)準(zhǔn)制定和體系建設(shè),以實現(xiàn)高水平漏洞風(fēng)險治理自立自強(qiáng)。
一、公開漏洞情況
2022年新增漏洞近2萬5千個,達(dá)到歷史新高,保持連年增長態(tài)勢。超高危級漏洞占比呈持續(xù)上升趨勢,漏洞修復(fù)率大幅提升,面臨漏洞威脅形勢依然嚴(yán)峻。截至2022年,CNNVD合計發(fā)布漏洞信息199465條,2022年新增漏洞信息24801條。從漏洞危害及修復(fù)情況來看,2022年新增漏洞中,超危漏洞4200個,高危漏洞9968個,中危漏洞10146個,低危漏洞487個,相應(yīng)修復(fù)率分別為54.86%、79.65%、76.13%和91.38%,整體修復(fù)率為77.76%。從廠商分布來看,Google是2022年產(chǎn)品漏洞數(shù)量最多的廠商,共新增漏洞1411個,排名第二的是Microsoft漏洞數(shù)量是963個。從漏洞類型來看,跨站腳本類漏洞3217個,占總量12.97%,占比最高。
(一)漏洞增長情況
2022年新增漏洞24801個,較2021年相比漲幅19.28%,增速顯著。2018至2022年漏洞新增數(shù)量統(tǒng)計如圖1所示。
圖1 2018至2022年漏洞新增數(shù)量對比統(tǒng)計圖
近年來,漏洞數(shù)量逐年遞增,2018至2022年漏洞數(shù)量漲幅趨勢如圖2所示。
圖2 2018至2022年漏洞數(shù)量漲幅趨勢圖
2022年1至12月新增漏洞數(shù)量分布如圖3所示,2022年每月新增漏洞約2067個,較上年月增334個。
圖3 2022年1至12月漏洞數(shù)量分布情況
(二)漏洞分布情況
1、漏洞廠商分布
2022年國外廠商漏洞數(shù)量22087個,占比89.06%;國內(nèi)廠商漏洞數(shù)量2714個,占比10.94%,較上年增長3個百分點??傮w情況仍呈現(xiàn)國外廠商漏洞數(shù)量比重較大的態(tài)勢,2018至2022年國內(nèi)外廠商漏洞數(shù)量結(jié)構(gòu)對比如圖4所示。
圖4 2018至2022年國內(nèi)外廠商漏洞數(shù)量結(jié)構(gòu)對比圖
(1)國外廠商漏洞分布
2022年漏洞數(shù)量排名前十的國外廠商分布見表1所示,前五名廠商是Google、Microsoft、Oracle、IBM、Adobe。Google產(chǎn)品漏洞數(shù)量為1411個,名列第一。
(2)國內(nèi)廠商漏洞分布
2022年漏洞數(shù)量排名前十的廠商分布如表2所示,前三名廠商是騰達(dá)、華為和吉翁電子,騰達(dá)產(chǎn)品漏洞數(shù)量達(dá)450個,占2022年國內(nèi)廠商新增漏洞總數(shù)的16.58%。
2、漏洞影響產(chǎn)品分布
(1)操作系統(tǒng)漏洞分布
2022年影響操作系統(tǒng)新增漏洞為6392個,2018年至2022年操作系統(tǒng)漏洞數(shù)量統(tǒng)計如圖5所示,較上年下降18.1%。2022年主流操作系統(tǒng)漏洞數(shù)量及操作系統(tǒng)漏洞總量占比統(tǒng)計如表3所示。
圖5 2018至2021年操作系統(tǒng)漏洞數(shù)量對比統(tǒng)計圖
(2)應(yīng)用產(chǎn)品漏洞分布
2022年新增應(yīng)用產(chǎn)品漏洞總量為18889個,較上年增長23.14%;超高危級漏洞數(shù)量為10266個,占應(yīng)用產(chǎn)品漏洞總量54.35%,較上年上浮九個百分點。2022年前十應(yīng)用產(chǎn)品漏洞數(shù)量統(tǒng)計如表4所示,2018至2022年應(yīng)用產(chǎn)品漏洞數(shù)量統(tǒng)計如圖6所示。
圖6 2018至2022年應(yīng)用產(chǎn)品漏洞數(shù)量對比統(tǒng)計圖
3、漏洞類型分布
2022年漏洞數(shù)量排名前十的漏洞類型統(tǒng)計如表5所示,其中排名前五的漏洞類型為跨站腳本、緩沖區(qū)錯誤、SQL注入、代碼問題及輸入驗證錯誤,累計11246個漏洞,占比達(dá)45.34%,接近漏洞總量一半。
依據(jù)2022年漏洞數(shù)量排名前十的漏洞類型,即跨站腳本、緩沖區(qū)錯誤、輸入驗證錯誤、代碼問題、資源管理錯誤、信息泄露、SQL注入、授權(quán)問題、訪問控制錯誤、路徑遍歷,對2018至2022年前十漏洞類型做對比統(tǒng)計如圖7所示,跨站腳本與緩沖區(qū)錯誤持續(xù)增長較快并保持前兩名的地位。
圖7 2018年至2022年前十漏洞類型對比統(tǒng)計圖
4、漏洞嚴(yán)重等級分布
根據(jù)漏洞的影響范圍、利用難度、攻擊效果等綜合因素,漏洞嚴(yán)重等級分為超危、高危、中危和低危等四個級別。2022年漏洞嚴(yán)重等級分布統(tǒng)計如圖8所示,超危4200個、高危9968個、中危10146個、低危487個,超高危漏洞占比57.12%,較上年增長三個百分點。
圖8 2022年漏洞嚴(yán)重等級分布統(tǒng)計圖
2018至2022年漏洞危害等級分布如圖9所示,高風(fēng)險漏洞呈持續(xù)上升趨勢。
圖9 2018至2022年漏洞嚴(yán)重等級對比統(tǒng)計圖
(三)漏洞修復(fù)情況
1、整體修復(fù)情況
2022年漏洞修復(fù)情況統(tǒng)計如圖10所示,漏洞整體修復(fù)率為77.76%,較上年下浮十個百分點,其中超高危漏洞修復(fù)率為72.3%,低于上年15個百分點。2018至2022年漏洞修復(fù)率對比統(tǒng)計如圖11所示,整體和超高危修復(fù)率均有明顯降低。
圖10 2022年漏洞修復(fù)情況統(tǒng)計圖
圖11 2018至2022年漏洞修復(fù)率對比統(tǒng)計圖
2、廠商修復(fù)情況
2022年漏洞數(shù)量排名前十的國外廠商修復(fù)情況統(tǒng)計如表6所示,Microsoft、Oracle修復(fù)率達(dá)100.00%??傮w來看,前十名國外廠商平均修復(fù)率達(dá)94.86%,較上年下降四個百分點。
2022年漏洞數(shù)量排名前十的國內(nèi)廠商修復(fù)情況統(tǒng)計如表7所示,僅聯(lián)發(fā)科修復(fù)率達(dá)100.00%??傮w來看,前十國內(nèi)廠商平均修復(fù)率為58.72%,無線設(shè)備廠商修復(fù)率較低。
(四)漏洞攻擊情況
1、漏洞攻擊向量分布
2022年新增漏洞攻擊向量統(tǒng)計如圖12所示,其中可遠(yuǎn)程攻擊占比約為72.3%,本地攻擊約占24.95%,鄰接網(wǎng)絡(luò)占1.78%,物理攻擊僅占0.97%。遠(yuǎn)程攻擊漏洞數(shù)量占比最高,且較上年上浮四個百分點。
圖12 2022年新增漏洞攻擊向量分布圖
2、漏洞利用情況
2022年披露了較多高風(fēng)險漏洞,這些漏洞廣泛影響網(wǎng)絡(luò)服務(wù)、辦公軟件、網(wǎng)絡(luò)設(shè)備等關(guān)基設(shè)施,安全更新可得到修復(fù),但依然存在未修復(fù)情況并處于被利用高風(fēng)險狀態(tài),具體見表8。
(1)Google Chrome 資源管理錯誤漏洞
2022年2月中旬,美谷歌官方披露檢測Chrome零日漏洞(CNNVD-202202-1153/CVE-2022-0609)攻擊并發(fā)布安全更新。該漏洞漏洞源于動畫組件中的釋放后使用,可被用來執(zhí)行任意代碼或在瀏覽器的沙箱中逃逸。該漏洞系谷歌威脅分析團(tuán)隊發(fā)現(xiàn)漏洞攻擊,追溯到一個月前已被朝鮮黑客利用零日遠(yuǎn)程代碼執(zhí)行對美媒體、IT公司、加密貨幣和金融機(jī)構(gòu)發(fā)起攻擊。
(2)Spring Framework 代碼注入漏洞
2022年3月底,美虛擬產(chǎn)品商VMware運營的開源框架Spring Framework零日漏洞(CNNVD-202203-2514/CVE-2022-22965)一經(jīng)發(fā)現(xiàn)即被瘋傳并暴發(fā)大規(guī)模惡意利用,Spring官方立即發(fā)布漏洞公告及安全更新。該漏洞系國內(nèi)研究者發(fā)現(xiàn),其影響在JDK 9+上運行的Spring MVC和Spring WebFlux 應(yīng)用程序,攻擊者需將WAR包部署在Servlet容器上,可對目標(biāo)主機(jī)的后門文件寫入和配置修改,繼而通過后門文件訪問,獲得目標(biāo)主機(jī)權(quán)限,進(jìn)而突破所在網(wǎng)絡(luò)。
(3)Zimbra Collaboration Suite兩個利用鏈漏洞
2022年4月和8月,美電子郵件產(chǎn)品商Zimbra官方發(fā)布安全公告并修復(fù)Zimbra協(xié)同套件兩個高風(fēng)險漏洞(CNNVD-202204-3909/CVE-2022-27925、CNNVD-202208-2850/CVE-2022-37042),利用前者可上傳任意文件導(dǎo)致目錄遍歷或遠(yuǎn)程代碼執(zhí)行,利用后者可繞過身份驗證,結(jié)合利用兩者可未經(jīng)身份驗證而遠(yuǎn)程代碼執(zhí)行。6月底發(fā)現(xiàn),利用上述組合漏洞對全球上千個Zimbra協(xié)作平臺發(fā)起攻擊,8月有報道稱上述漏洞被武器化并大規(guī)模傳播。美CISA要求聯(lián)邦機(jī)構(gòu)9月1日前完成漏洞修補。
(4)Zimbra Collaboration Suite 代碼問題漏洞
2022年10月中旬,美電子郵件產(chǎn)品商Zimbra官方發(fā)布安全公告并修復(fù)Zimbra協(xié)同套件零日漏洞(CNNVD-202209-2715/CVE-2022-41352),此前已檢測到APT組織在中亞地區(qū)發(fā)起攻擊利用。利用該漏洞可上傳任意文件,并結(jié)合基于Linux系統(tǒng)的文件提取程序cpio早期漏洞(CNNVD-201501-244/CVE-2015-1197)提取文件到文件系統(tǒng)任意位置,進(jìn)而導(dǎo)致任意代碼執(zhí)行。
(5)F5 BIG-IP 訪問控制錯誤漏洞
2022年5月初,美網(wǎng)絡(luò)設(shè)備商F5官方發(fā)布安全公告并修復(fù)高風(fēng)險漏洞(CNNVD-202205-2141/CVE-2022-1388),此后驗證代碼被披露,使不太成熟的參與者能夠利用該漏洞。BIG-IP是美國F5公司應(yīng)用程序交付和集中設(shè)備管理軟硬件解決方案。攻擊者利用該漏洞可繞過身份驗證執(zhí)行任意系統(tǒng)命令導(dǎo)致目標(biāo)系統(tǒng)被控。BIG-IP及相關(guān)產(chǎn)品組件版本都受該漏洞影響,全球眾多用戶受影響。
(6)Zyxel(合勤科技)USG FLEX操作系統(tǒng)命令注入漏洞
2022年5月12日,中國臺灣網(wǎng)絡(luò)設(shè)備商Zyxel(合勤科技)官方發(fā)布公告并修復(fù)漏洞(CNNVD-202205-3104/CVE-2022-30525),在此之前漏洞細(xì)節(jié)被披露且已在野利用,據(jù)悉官方早在4月即修復(fù)。未經(jīng)身份驗證的攻擊者利用該漏洞以nobody用戶身份執(zhí)行任意命令,USG FLIX系列、ATP系列及VPN系列等防火墻產(chǎn)品固件受此影響,歐美多國用戶設(shè)備受到攻擊。
(7)Microsoft Windows Support Diagnostic Tool 操作系統(tǒng)命令注入漏洞
2022年5月底,Microsoft Windows Support Diagnostic Tool零日漏洞(CNNVD-202205-4277/CVE-2022-30190)被研究者披露并檢測到在野利用,微軟官方隨即發(fā)布漏洞公告并提供臨時緩解措施,6月中旬發(fā)布安全更新。該漏洞源于應(yīng)用程序(例如 Word)使用URL協(xié)議調(diào)用微軟Windows支持診斷工具(MSDT)時可被遠(yuǎn)程利用,使用調(diào)用應(yīng)用程序的權(quán)限下可執(zhí)行任意代碼,并可安裝程序、查看更改或刪除數(shù)據(jù),以及創(chuàng)建新帳戶。該漏洞影響Windows及Windows Server系列版本。截至2023年3月,依然可檢測到該漏洞利用情況。
(8)Atlassian Confluence Server 注入漏洞
2022年6月初,澳大利亞項目協(xié)同軟件開發(fā)商Atlassian發(fā)布安全公告并修復(fù)高風(fēng)險漏洞(CNNVD-202206-442/CVE-2022-26134),同期漏洞細(xì)節(jié)被披露且已在野利用。未經(jīng)身份驗證的遠(yuǎn)程攻擊者構(gòu)造OGNL表達(dá)式,可在Confluence Server或Data Center上執(zhí)行任意代碼。據(jù)悉,5月下旬發(fā)現(xiàn)黑客聯(lián)合利用 Spring4Shell漏洞(CNNVD-202203-2514/CVE-2022-22965)獲得Confluence Web應(yīng)用初始訪問權(quán)限,利用漏洞開展間諜活動或部署礦機(jī)。因該漏洞風(fēng)險極高,美CISA要求聯(lián)邦結(jié)構(gòu)4天內(nèi)完成修復(fù)。
(9)Microsoft Exchange Server兩個利用鏈漏洞
2022年9月底,微軟官方緊急披露Exchange Server兩個零日漏洞,即SSRF(服務(wù)器端請求偽造)漏洞(CNNVD-202210-001/CVE-2022-41040)和RCE(遠(yuǎn)程代碼執(zhí)行)漏洞(CNNVD-202210-002/CVE-2022-41082),聯(lián)合利用上述漏洞經(jīng)身份驗證的攻擊者可遠(yuǎn)程訪問PowerShell并執(zhí)行代碼。Exchange Server是微軟開發(fā)的郵件服務(wù)組件,上述漏洞影響Microsoft Exchange Server 2013、Microsoft Exchange Server 2016、Microsoft Exchange Server 2019等版本,網(wǎng)絡(luò)探測系統(tǒng)監(jiān)測到數(shù)百萬服務(wù)器分布在美中德等國家地區(qū),可導(dǎo)致大規(guī)模的信息資產(chǎn)被非法控制或敏感數(shù)據(jù)泄露。
二、漏洞趨勢分析
隨著全球數(shù)字化、網(wǎng)絡(luò)化和智能化進(jìn)程的推進(jìn),網(wǎng)絡(luò)安全漏洞數(shù)量、嚴(yán)重程度以及受關(guān)注度都在急劇飆升,數(shù)字經(jīng)濟(jì)發(fā)展面臨網(wǎng)絡(luò)安全領(lǐng)域的挑戰(zhàn)不斷升級。
(一)高風(fēng)險漏洞數(shù)量突破新高
2018至2022年連續(xù)五年漏洞數(shù)量呈持續(xù)增長走勢,2022年新增漏洞數(shù)量達(dá)歷年最高,較2018年增長52%,超高危數(shù)量較2018年翻一倍。2018至2022年漏洞新增數(shù)量和超高危漏洞數(shù)量統(tǒng)計如圖13。
圖13 2018至2022年漏洞新增數(shù)量和超高危數(shù)量對比統(tǒng)計圖
2022年較上年增速明顯加快,超高危漏洞數(shù)量增速同步提升,2022年超高危漏洞占比57%,較往年占比增幅較大。2018至2022年漏洞新增和超高危漏洞增長率統(tǒng)計如圖14。
圖14 2018至2022年漏洞數(shù)量增長率和超高危增長率對比統(tǒng)計圖
整體統(tǒng)計近五年月度數(shù)據(jù),各年新增漏洞數(shù)量普遍在4月、10月和12月居當(dāng)年較高水平,2月、5月和11月相對偏低。2018至2022年新增漏洞數(shù)量按月分布統(tǒng)計如圖15所示。
圖15 2018至2022年漏洞數(shù)量增按月分布對比統(tǒng)計圖
(二)零日爭奪升級攻防新較量
美企一邊占據(jù)零日漏洞榜單,一邊不斷加價賞金數(shù)額。零日漏洞是補丁公開前被在野外利用的漏洞,因其隱蔽性和易于利用而成為網(wǎng)絡(luò)攻擊的利器,主要用在有限范圍或有針對性的間諜活動中,勒索軟件等大規(guī)模攻擊更多利用的是N日漏洞。據(jù)統(tǒng)計,2022年被跟蹤的55個零日漏洞中,有37個是美微軟谷歌蘋果產(chǎn)品漏洞,其余漏洞分布在飛塔等美主流廠商產(chǎn)品。一直以來,受零日漏洞影響的目標(biāo)類型主要是操作系統(tǒng)、瀏覽器、網(wǎng)絡(luò)管理產(chǎn)品以及移動操作系統(tǒng),并正在向物聯(lián)網(wǎng)設(shè)備和云解決方案不斷發(fā)展。零日漏洞發(fā)現(xiàn)是資源密集型工作,市場價格大幅飆升,微軟為單個漏洞最高支付20萬美元賞金,谷歌為Android利用鏈漏洞獎勵60.5萬美元,是上年同類獎金的四倍,打破單筆獎金記錄。2022年零日漏洞廠商分布圖16所示。
圖16 2022年零日漏洞廠商分布圖
(三)單邊漏洞管控擾亂國際秩序
美政府一邊針對我封鎖漏洞技術(shù)出口,一邊升級漏洞監(jiān)測機(jī)制。近兩年,美頻繁動作針對我國高新技術(shù)脫鉤斷鏈,特別在2022年5月,美商務(wù)部產(chǎn)業(yè)與安全局發(fā)布針對網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控制:網(wǎng)絡(luò)安全物項》,以國家安全和反恐為由,要求美企與我國政府相關(guān)組織網(wǎng)絡(luò)安全產(chǎn)業(yè)合作需經(jīng)審核,并限制漏洞檢測分析等技術(shù)產(chǎn)品出口我國,由此Cobalt Strike等商業(yè)網(wǎng)絡(luò)安全工具對我停更。同時,美持續(xù)提升漏洞態(tài)勢感知能力,基于漏洞監(jiān)測情況,CISA持續(xù)更新在野利用漏洞清單(Known Exploited Vulnerabilities Catalog),并敦促政企用戶限期完成漏洞修復(fù)工作,該清單已納近千條漏洞信息。
(四)網(wǎng)絡(luò)霸權(quán)主義沖擊網(wǎng)空權(quán)益
美一邊指責(zé)我國利用漏洞對其攻擊,一邊瘋狂對我使用網(wǎng)絡(luò)武器。五年間美發(fā)布14份官方報告斥責(zé)我國政府支持的網(wǎng)絡(luò)入侵或間諜活動,2022年美CISA聯(lián)合FBI、NSA發(fā)布兩份報告,列舉了由我政府支持的瞄準(zhǔn)美國和盟國網(wǎng)絡(luò)攻擊所利用的軟硬件設(shè)備高危漏洞清單(見表9和表10),由此聯(lián)合數(shù)字產(chǎn)業(yè)加大政府與關(guān)基單位風(fēng)險防御和態(tài)勢感知能力。與此同時,美頻繁發(fā)起對我高級持續(xù)攻擊,包括NSA攻擊組織APT-C-40自2010年針對中國系列行業(yè)龍頭公司的攻擊;NSA使用多達(dá)41種網(wǎng)絡(luò)武器針對西北工業(yè)大學(xué)攻擊,其中有“影子經(jīng)紀(jì)人”泄露過的NOPEN。
三、下步措施建議
一是促進(jìn)漏洞治理國際合作機(jī)制,對沖網(wǎng)絡(luò)霸權(quán),構(gòu)建網(wǎng)絡(luò)空間命運共同體。數(shù)字化轉(zhuǎn)型是全球經(jīng)濟(jì)發(fā)展趨勢,全球數(shù)字供應(yīng)鏈相互交織,單方面斷供禁售不符合協(xié)作共贏的發(fā)展理念,提供高質(zhì)量數(shù)字技術(shù)、以負(fù)責(zé)任的態(tài)度持續(xù)保障產(chǎn)品安全性能才是拓展國際市場的長遠(yuǎn)之計。特別要與核心基礎(chǔ)數(shù)字產(chǎn)品供應(yīng)方建立漏洞信息及時共享的保障機(jī)制,共同創(chuàng)建國際通用的漏洞規(guī)范標(biāo)準(zhǔn),引領(lǐng)國際漏洞治理體系新規(guī)則,實現(xiàn)安全權(quán)益最大化。
二是推動漏洞治理國家機(jī)制順暢,統(tǒng)籌漏洞治理體制建立健全。漏洞治理是解決非傳統(tǒng)安全風(fēng)險向傳統(tǒng)安全風(fēng)險傳導(dǎo)問題的關(guān)鍵環(huán)節(jié),是提升國家安全治理能力的基礎(chǔ),更是維護(hù)國家安全的重要戰(zhàn)略任務(wù),狠抓漏洞治理就是筑牢網(wǎng)絡(luò)安全根基。漏洞治理的關(guān)鍵和根本,是要依賴國家安全層面統(tǒng)一部署的工作機(jī)制,明確漏洞治理職能,構(gòu)建基礎(chǔ)研究、發(fā)現(xiàn)檢測、風(fēng)險評估及人才管理等治理能力,統(tǒng)籌推進(jìn)漏洞風(fēng)險治理體系建設(shè),實現(xiàn)漏洞風(fēng)險有效管控。
三是營造良好的漏洞生態(tài)環(huán)境,推動漏洞技術(shù)攻關(guān)和應(yīng)用創(chuàng)新。漏洞產(chǎn)業(yè)是漏洞風(fēng)險治理的重要支柱力量,在嚴(yán)厲打擊黑產(chǎn)鏈條基礎(chǔ)上,合理引導(dǎo)上游產(chǎn)出,加大中游參與主體準(zhǔn)入和監(jiān)督力度,運用政策支持鼓勵下游企業(yè)積極應(yīng)用創(chuàng)新,規(guī)劃布局產(chǎn)業(yè)整體發(fā)展方向,有力提升產(chǎn)業(yè)效能,充分發(fā)揮產(chǎn)業(yè)漏洞治理的重要作用。
四是加強(qiáng)漏洞感知機(jī)制和手段建設(shè),提升網(wǎng)絡(luò)安全防御能力。漏洞利用是網(wǎng)絡(luò)攻擊的主要手段,一旦重大風(fēng)險漏洞被披露,大型機(jī)構(gòu)難以立即完成全網(wǎng)脆弱資產(chǎn)的修復(fù),能否應(yīng)對漏洞攻擊的根本取決于對漏洞的識別能力及針對性的響應(yīng)速度,是保障關(guān)基等重要網(wǎng)絡(luò)資產(chǎn)安全的根本所在。關(guān)基領(lǐng)域要做好關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)資產(chǎn)管理工作,做到“底數(shù)清”。有關(guān)部門應(yīng)協(xié)調(diào)組織技術(shù)力量開展漏洞攻擊特征資源匯聚,加強(qiáng)漏洞攻擊識別能力建設(shè),有效支撐國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù),以及有關(guān)執(zhí)法部門防范和打擊境內(nèi)外利用漏洞進(jìn)行的破壞、竊密、間諜等各類違法犯罪活動。
五是加快漏洞標(biāo)準(zhǔn)制定和體系建設(shè),夯實漏洞基礎(chǔ)研究能力。漏洞雖不可避免,但采取有效的管理和技術(shù)手段可以減少漏洞產(chǎn)生的數(shù)量、降低漏洞風(fēng)險的等級,改善數(shù)字產(chǎn)品安全性能。建立健全漏洞管理標(biāo)準(zhǔn)體系,編制漏洞風(fēng)險等級、分類、安全檢測等系列標(biāo)準(zhǔn),為漏洞風(fēng)險評估機(jī)制建設(shè)執(zhí)行提供技術(shù)依據(jù)。
來源:國家信息安全漏洞庫網(wǎng)站