1、2016 年 CNVD 漏洞数据统计简报 一、2016 年漏洞收录情况统计 （一）（一）漏洞收录漏洞收录概况概况 2016 年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞 10822个。其中，高危漏洞 4146 个（占 38.3%）、中危漏洞 5993 个（占 55.4%）、低危漏洞 683 个（占 6.3%），各级别比例分布与月度数量统计如图所示。较 2015年漏洞收录总数 8080 环比增加 34%。2016 年，CNVD 前台接收白帽子、国内漏洞报告平台、以及安全厂商报送的原创通用软硬件漏洞数量占全年收录总数的17.8%，成为 2016 年漏洞数量增长的重要原因。在全年收录

2、的漏洞中，有 2203个属于“零日”漏洞，可用于实施远程网络攻击的漏洞有 9503 个，可用于实施本地攻击的漏洞有 1319 个。 图 1 2016 年 CNVD 收录漏洞按威胁级别分布 图 2 2016 年 CNVD 收录漏洞数量月度统计 2012 年至 2016 年， CNVD 共收录了 42743 个， 高危漏洞数量为 14495 个。 CNVD近五年发布的漏洞数量和高危漏洞数按年度统计如图所示， 高危漏洞数量的比例有所上升。 图 3 2012 年-2016 年 CNVD 收录整理的漏洞数量对比 2016 年， CNVD 收录的漏洞中， 主要涵盖 Google、 Oracle、 Adob

3、e、 Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei 等厂商的产品。各厂商产品中漏洞的分布情况如图所示，可以看出，涉及 Google 产品（含操作系统、手机设备以及应用软件等）的漏洞最多，达到 819 个，占全部收录漏洞的7%。 图 4 2016 年 CNVD 收录漏洞按厂商分布 根据影响对象的类型，漏洞可分为：应用程序漏洞、WEB 应用漏洞、操作系统漏洞、网络设备漏洞（如路由器、交换机等）、数据库漏洞、和安全产品漏洞 （如防火墙、入侵检测系统等）。如图所示，在 CNVD 2016 年度收录的漏洞信息中，应用程序漏洞占 60%，

4、WEB 应用漏洞占 17.0%，操作系统漏洞占 13%，网络设备漏洞占 6.0%，数据库漏洞占 2.0%，安全产品漏洞占 2.0%。 图 5 2016 年 CNVD 收录漏洞按影响对象类型分布 图 6 2016 年 CNVD 收录漏洞按影响对象类型分类统计 （二）（二）CNVD 补丁收录情况补丁收录情况 2016 年 CNVD 共收录漏洞补丁 8619 个，为大部分漏洞提供了可参考的解决方案，提醒相关用户注意做好系统加固和安全防范工作。CNVD 发布的漏洞补丁数量按月度统计如图所示。 图 7 2016 年 CNVD 收录漏洞补丁数量按月统计 （三）（三）CNVD 行业漏洞库行业漏洞库收录情况收

5、录情况 CNVD 对现有漏洞进行了进一步的深化建设，建立起基于重点行业的子漏洞库 ， 目前 涉及 的行 业 包 含： 电信 () 、 移动 互 联 网()、工业控制系统()和电子政务(未公开)。面向重点行业客户包括：政府部门、基础电信运营商、工控行业客户等，提供量身定制的漏洞信息发布服务，从而提高重点行业客户的安全事件预警、响应和处理能力。CNVD 行业漏洞主要通过行业资产共有信息和行业关键词进行匹配,2016年行业漏洞库资产总数为：电信行业：1513 类，移动互联网 135 类，工控系统178 类，电子政务 165 类。CNVD 行业库关联热词总数为：电信：84 个，移动互联网 42 个，工

6、控系统 59 个，电子政务 13 个。 2016 年，CNVD 共收录电信行业漏洞 640 个（占总收录比例 5.9%），移动互联网行业漏洞 985 个（占 9.1%），工控行业漏洞 172 个（占 1.5%），电子政务行业漏洞 344 个（占 3.1%）。 2016 年，CNVD 共收录 206 个高危电信行业漏洞，相关的厂商包括 Oracle、Cisco、 IBM、 Huawei、 D-Link、 Moxa、 ZyXEL、 NETGEAR、 Apache、 Legba Incorporated等。分布情况如图所示。 图 8 2016 年 CNVD 收录电信行业高危漏洞按厂商分布情况 201