據CNVD公開數據顯示，2020年披露漏洞共20248枚，2021年披露漏洞17702枚，同比降低13%。天融信阿爾法實驗室發布《2021年網絡空間安全漏洞調研分析報告》，報告顯示，2021年1-12 月，低危漏洞 33.5%，中危漏洞 57.3%，高危漏洞 9.2%；2021年高危漏洞類型分布更是相對集中，代碼執行類型的漏洞占比較高，這類高危漏洞對網絡空間安全的威脅遠遠高于其他類型漏洞，此類高危漏洞數量的占比也預示了當前嚴峻的網絡安全態勢。

報告從「2021年度漏洞趨勢概況」、「2021年度高危漏洞預警情況概述」、「2021年度漏洞總結」三大部分，探究漏洞威脅的現狀及發展趨勢，為廣大企事業客戶、安全運維人員等應對漏洞威脅提供指導。

2021年度漏洞趨勢概況

01CNVD漏洞庫安全漏洞調研概況

漏洞的統計與評判是評估網絡安全情況的一個重要指標，天融信阿爾法實驗室參考CNVD漏洞數據庫數據，從「漏洞威脅等級統計」、「漏洞利用攻擊位置統計」、「漏洞影響對象類型統計」、「漏洞產生原因統計」、「漏洞引發威脅統計」、「漏洞增長趨勢」對 2021 年披露的漏洞進行了全方位的統計分析。

02CVE漏洞庫安全漏洞調研概況

通過對CVE在2021年公布的漏洞按CVSS評分高低進行排序，天融信篩選了CVSS基本評分最高的前100個漏洞進行統計分析。此次統計分析主要從「漏洞所影響廠商」、「影響平臺」、「攻擊途徑」、「披露時間」、「漏洞類型」以及「POC公開情況」等6個方面展開。

2021年度高危漏洞預警情況概述

2021年，天融信阿爾法實驗室通過漏洞監測系統共監測發現各類漏洞信息46316條，經過漏洞監測系統自動智能篩選后留存高危漏洞信息462條，進一步經人工研判后發布高危漏洞風險提示通告66條。涉及眾多廠商的軟件產品，由漏洞引發的安全威脅呈現多樣化，統計結果顯示，主流操作系統是漏洞高發產品。2021年針對Microsoft廠商漏洞預警次數達16次，其中Windows系統的漏洞占大多數。Weblogic、Log4j2、Xstream、VMware等關鍵基礎設施漏洞也是受關注度較高的方向。

2021年度漏洞總結

同往年相比，2021年漏洞數量增長放緩，但并不意味著來自互聯網的危害因此而降低，相反，漏洞公開的數量放緩某種程度上意味著更多的漏洞有可能選擇被武器化，而選擇不進行公開。

年底披露的Log4j2漏洞一經發布，震動整個國內外的安全行業，甚至整個國內外的IT 界，使用該組件的應用極為廣泛，導致無數引用該組件的系統和開源組件受到波及。隨著Log4j2遠程代碼執行漏洞的擴散，供應鏈安全的脆弱性再次受到廣大廠商們的關注。在整個供應鏈中，大批供應商在開發程序時選擇引入第三方庫，有的項目甚至引入上百個之多，而這些第三方庫一旦某一個存在安全問題，就會讓企業暴露在安全風險之下，有可能導致企業重要系統被植入勒索病毒、服務器崩潰、用戶數據及員工個人信息泄露，甚至是企業商業機密泄露等風險，從而引發無窮的隱患。

減少漏洞是避免安全事件發生的根源，這就要求開發人員在掌握編程能力的同時，還應具備安全開發意識。開發人員不僅需要熟悉CWE TOP25（MITRE公布的前25個最危險軟件安全缺陷知識庫）漏洞的成因及危害，還應將安全性測試環節添加到軟件的開發過程中，使得項目具備DevSecOps能力，至少應在軟件開發過程中增加代碼審計工程師或代碼審計工具對代碼進行審計。只有提升漏洞管理效率，才是高效的安全處理法則。

作為國內網絡安全、大數據與云服務提供商，天融信始終以捍衛國家網絡空間安全為己任，創新超越，持續為客戶構建更加完善的網絡安全防御能力，為數字經濟的發展保駕護航。天融信將充分發揮自身優勢，在保障客戶網絡安全的同時，努力踐行領軍企業的社會責任與擔當，為國家網絡安全整體能力建設做出貢獻，為實施網絡強國戰略貢獻企業力量。