安全性419了解到了，是由中国信息安全测评核心带头整理的《2022上半年度网络信息安全漏洞态势观查》报告（下称《报告》）于2022年9月正式公布。据统计，该报告编写教材企业包含我国信息产业链总商会信息安全产业联合会、奇安信威胁情报中心、360漏洞研究所及其北京市知道创宇信息技术性有限责任公司。

报告全篇共41页，分三大关键版块总共五个章节目录，在其中第一个版块总共三个章节目录，主要从漏洞的态势、漏洞的事实威协、漏洞危胁转型层面对2022年上半年的总体漏洞态势展开了系统化的分析与论述，第二个版块则对于漏洞预防及其怎样做好安全防范措施带来了有关解决措施与建议；最后一个版块是对报告期内的20多个大牌明星漏洞以及不良影响进行了回望。

极高危漏洞总数再提高 开源项目漏洞致供应链安全隐患突显

据我国信息安全性漏洞库（CNNVD）的数据统计，2022年上半年度新增加通用性漏洞信息总共12466 条，在其中超危漏洞1927 个，占有率16%；高风险漏洞4639 个，占有率37%；中危漏洞5478 个，占有率44%；低危漏洞422 个，占有率3%。

根据统计数据能够得知，新增加漏洞信息中，极高危及其高风险漏洞的占比较高达53%，不论是伤害程度上还是总数提高层面都令人造成忧虑，也令网络安全形势遭遇巨大考验。报告强调，一些非常容易被发现了且利用难度系数偏低的漏洞也是值得关注的焦点。此外，因为美国信息产业链层面总体依然处于领跑地方，加上有着包含谷歌搜索、微软公司、甲骨文字、Adobe等拥有很多产品和全世界很多客户的公司，所以在遭到漏洞危害层面较严重。

照片/《2022上半年度网络信息安全漏洞态势观》

报告引用CNNVD 的漏洞百度收录数据信息，表明2022年上半年的漏洞数量排名前10品牌的含有8个是来自于国外，落实到商品层面，则包括了电脑操作系统、数据库系统、运用、计算机设备、开源项目等。报告表明，以上这种国际名牌集团旗下商品曝光很多漏洞，一方面体现出其产品价值问题以外，还凸显出这种知名品牌本身针对安全高度重视程度高，除开靠自己能量用心感受并修复产品漏洞以外，还分别发布奖励措施激励外界工作人员参加漏洞剖析工作中，进而在一定程度上也提升了商品安全性。

此外，漏洞针对手机软件供应链安全性导致危胁是值得关注的重点一点，根据新思科技对于2400多个代码库的审计数据表明，达到97%的编码上存在开源组件漏洞，而81%的代码库其中包含最少一个已公布开源组件漏洞，49%的代码库其中包含最少一个高危漏洞。

因为手机软件供应链进攻本身有成本低、更高效的特性，因而具有很强的扩散和传导性耳聋，与此相关的安全事故在近几年来一度被经常曝出，除开软件开发技术本身损害以外，还可能会对供应链中下游的app顾客/消费群体生产制造威协，不过随着开源组件在开发软件中的运用发展趋势稳步增长，存在这其中的漏洞也将对手机软件供应链安全性产生严峻的考验。因而，对于我们来说公司在手机软件供应链安全性方面必须给予绝对性高度重视。与此同时，中国包含悬镜安全性、安全性玻璃盒、默安科技等公司均上线了有关的安全解决方案，而且在运用落地式层面都是有着比较丰富经验，非常值得公司在进行相应的安全建设时使用或参考。

出以上信息以外，报告还提到漏洞POC/Exploit信息的公布，也提高了漏洞被普遍利用风险，特别是在是有用的Exploit信息，将漏洞利用实战化的态势进一步推升。与此同时，漏洞利用也仍是APT机构启动攻击关键方式，尤其是在包含电脑操作系统、终端软件、计算机设备、Web应用等方面漏洞，引兵利用状况与日俱增，并且很多漏洞进攻专用工具被APT机构了解和积存，风险非常高。

图/《2022上半年度网络信息安全漏洞态势观查》

开源组件及手机软件漏洞蔓延到覆盖面广 协同办公软件漏洞严重危害企业生产经营

报告强调，2022年上半年度，对于电脑操作系统、开源组件、协同办公软件、云原生及虚拟化软件、计算机设备、移动应用平台等目标对象，均曝出好几个具备很大影响的“大牌明星”漏洞，并在具体黑客攻击中形成了比较大实际威协。

在系统领域，包含Windows、Linux及其服务端Microsoft Exchange Server都是有好几个CVSS得分在7.8以上漏洞发生，微软公司一共有8个，在其中Windows系统有5个（3个得分为9.8分，2个得分为8.8分），Exchange Server有3个得分均是9.0的漏洞公布，比较之下，Linux乃为2个（得分均是7.8分）。

在开源组件及手机软件漏洞层面，报告尤其强调Apache Struts2 开源框架及 Apache APISIX 开源组件所公布的安全性漏洞。因为Apache Struts2 是全世界最流行轻量WEB 架构之一，在网络上扩大开放服务总量实现近 500 万只，因而不论是在的影响范畴深度广度或是深层上都较严重，此外，Zabbix所曝出的执行命令漏洞虽然利用难度系数比较高，但是由于Zabbix也具有用途广泛的特征，因而也要非常值得密切关注。

在协同办公软件层面，因为近些年疫情冲击，该类应用软件总数大幅度提高，企业端要求提高迅速，因而也成了网络攻击关心的关键方向之一。极为重要的是，因为该类办公室软件还背负着很多公司内部的信息，乃至包括关键信息、比较敏感信息，一旦发生泄漏，还会导致更加深入方面的伤害，影响到了公司的正常运转甚至存活。在这一方面，上半年度中危害更为很严重的是微软公司Windows 适用诊断工具MSDT (Microsoft Support Diagnostics Tool) 远程代码执行漏洞，及其Microsoft SharePoint Server 、Atlassian Confluence的好几个远程代码执行漏洞，在中国手机软件层面，报告也列出了2个用途广泛的商品。

此外，报告也对界限机器设备如无线路由器、网络交换机及其网络防火墙、IDS/IPS等网络与安全有关机器的漏洞情况进行了论述，并强调一旦这种产品因漏洞不足而被网络攻击攻破，将会让企业网络的“大门口错手”，后果很严重。与此状况相似的是移动智能终端漏洞，如被取得成功利用，智能终端里的私人信息及数据安全问题将会暴发，并且包含苹果公司、安卓系统以内主流的移动操作系统在2022年上半年的漏洞状况都令人堪忧，均被爆出0day漏洞及引兵利用状况。

高附加值漏洞五花八门 漏洞利用实战化需保持警惕

报告强调，漏洞做为网络环境的主要网络资源，防御彼此斗争的重要关键，漏洞总数稳步增长，其受到重视的水平也日益提升，漏洞以及管控措施成为了网络环境博奕的主要层面。

在高附加值漏洞层面，因为界限在设备网络里的核心功效，取决于其漏洞在网络安全技术中更加受到重视。依据统计分析发觉，2021 年一季度流行计算机设备漏洞总数总共546 个，做到近三年的最高值，尽管2022 年上边 年总数明显下降，但是也有近300 个之众。

图/《2022上半年度网络信息安全漏洞态势观查》

除此之外，报告注重道，2022 年一季度漏洞引兵利用的局势十分不容乐观，引兵利用漏洞的总数仍出现总体增长的趋势，0day、Nday高可利用漏洞伯仲之间，在实际黑客攻击里被广泛使用。必须造成特别注意的是，一些危害覆盖面广、伤害程度强的“发烧级”历史时间漏洞依然备受青睐，甚至是在APT进攻事故中经常亮相。伴随着攻防对抗加重，造成总体对漏洞修补给出了更高要求。尽管网络安全建设水准不断提高，安全防护能力在不断提高，但阻拦漏洞被取得成功利用层面，依然凸显出一定的缺陷，报告引用另一方资料显示，生产商具体漏洞修补效率低下，非常大占比漏洞都为因为生产商还没有完全修复导致，漏洞修补从画蛇添足变为牵萝补屋，造成较大占比已修补漏洞被利用。

融合以上具体内容，报告还对漏洞预防和有关安全建设给出了提议和交流，主要有以下层面：

1、国家级别网络信息安全漏洞综合性运筹帷幄水平，提升漏洞监管统筹协调，提高漏洞网络资源共享共治水准。进一步强化规章制度规定、加强统筹协调，并且通过数据平台、机制建设及网络资源聚集分享，增加漏洞检验、安全防护、消防监控工具等产品研发，完成服务国家网络安全保障的现实需要。

2、基本建设国家级别漏洞认知与管理机制，提高漏洞发觉与处理水平。在漏洞发觉、漏洞情报信息收集及其漏洞跟踪检测及其漏洞迅速处理与应用层面都需要全面提高，

3、积极推动 ICT 供应链安全治理，健全合乎我基本国情的开源系统绿色生态。 在法律法规及技术标准的确立层面，要和在我国整体的现况紧密结合，并配套设施制订行程安排系统化的ICT供应链检测标准；在法风险防控层面，监督机构应尽早具体指导创建关键基础设施的 ICT 供应链 账表，梳理家产，查摆问题，预测风险性；在技术方面来，要高度重视利用方式方法进行 ICT 供应链检测服务，对手机软件成份、由来和安全漏洞开展提前准备分析与精准定位，一方面提前预判风险性，另一方面在威协来临的时候能够迅速处理。

有关以上更加具体有关安全建设提议，感兴趣的朋友能通过点击进入下载中国信息安全测评核心《2022上半年度网络信息安全漏洞态势观查》全篇深入分析。

报告下载地址详细地址：

http://www.itsec.gov.cn/zxxw/202209/t20220902_112723.html