2020年工业信息安全漏洞态势年度简报.pdf

2020 年工业信息安全漏洞 态势年度简报 国家工业信息安全发展研究中心 2020 年工业信息安全漏洞态势年度简报 国家工业信息安全漏洞库（CICSVD)  漏洞总体情况 2020 年，国家工业信息安全漏洞库（CICSVD ）共收集整理工业 信息安全漏洞 2138 个，环比上升 22.2% 。其中，通用型漏洞2045 个， 事件型漏洞 93 个，涉及 335 家厂商。在收录的通用型漏洞中，超危 漏洞 379 个，高危漏洞 899 个，高危及以上漏洞占比 62.5% 。危害程 度较高的漏洞有：Treck TCP/IP stack 多个安全漏洞、Schneider Electric Easergy T300 认证绕过漏洞、WAGO 公司 I/O-CHECK 工业软 件缓冲区错误漏洞、ABB Relion 670 Series 路径遍历漏洞等。2020 年， CICSVD 收录漏洞按月分布如图 1 所示。 图 1 2020 年 CICSVD 收录漏洞按月分布  漏洞危害等级分析 1 1 漏洞危害等级按 CVSS3.1 评分确定，超危（9.0-10 ）、高危（7.0-8.9 ）、中危（4.0--6.9 ）、低危（0.1-3.9 ）。 1 2020 年工业信息安全漏洞态势年度简报 国家工业信息安全漏洞库（CICSVD) 2020 年，在 CICSVD 收录的通用型漏洞中，超危漏洞 379 个（占 比 18.5%），高危漏洞899 个（占比 44% ），中危漏洞716 个（占比 35% ），低危漏洞51 个（占比 2.5% ）。CICSVD 收录漏洞按危害等 级分布如图 2 所示。 图2 2020 年 CICSVD 收录漏洞按危害等级分布  漏洞成因分析 2020 年，在 CICSVD 收录的通用型漏洞中，共涉及 31 种漏洞成 因类型，其中缓冲区错误、输入验证错误、授权问题、资源管理错误、 拒绝服务分列前五位。按成漏洞因分布如图 3 所示。 2 2020 年工业信息安全漏洞态势年度简报 国家工业信息安全漏洞库（CICSVD) 图3 2020 年 CICSVD 收录漏洞按成因分布  受影响产品分析 2020 年，在 CICSVD 收录的通用型漏洞中，受影响产品共涉及 10 个大类、66 个小类。其中，工业主机设备和软件类、工业生产控制 设备类、工业网络通信设备类分列大类的前三位，可编程逻辑控制器 （PLC ）、组态软件 、工业路由器、数据采集与监控系统（SCADA）、 工业软件分列小类的前五位，按大类和小类分布分别如图 4 和图 5 所 示。 3 2020 年工业信息安全漏洞态势年度简报 国家工业信息安全漏洞库（CICSVD) 图4 2020 年 CICSVD 收录漏洞按受影响产品大类分布 图5 2020 年 CICSVD 收录漏洞按受影响产品小类分布 2020 年，在 CICSVD 收录的通用型漏洞中，主要涉及德国西门 4 2020 年工业信息安全漏洞态势年度简报 国家工业信息安全漏洞库（CICSVD) 子（Siemens）公司、法国施耐德电气（Schneider Electric）公司、研 华科技（Advantech ）、中国台湾摩莎（Moxa ）公司、瑞士ABB 公 司等 335 家厂商。CICSVD 收录漏洞按受