隨著信息技術的迅猛發展和數字化轉型的深入推進，網絡空間已經成為人們生產、生活不可或缺的重要組成部分。與此同時，網絡安全威脅也呈現出前所未有的復雜性和嚴峻性。

安全漏洞，作為網絡安全領域的核心問題之一，在這一年中頻繁曝光，給全球各地的組織和個人帶來了巨大挑戰。2023年，網絡空間安全漏洞態勢呈現出總體數量降低，但影響范圍擴大、利用難度降低的趨勢。從傳統的系統和應用漏洞，到新興技術如云計算、物聯網、車聯網、人工智能等領域的安全隱患，各種類型的安全漏洞層出不窮。這些漏洞不僅威脅著網絡系統的正常運行和數據安全，更可能對國家安全、社會穩定和經濟發展產生深遠影響。

據CNVD公開數據顯示，2022年共披露漏洞23900枚，2023年共披露漏洞18635枚，同比降低22.03%。這表明，在過去一年里，安全運維人員加強了對系統安全的管理，降低了漏洞數量。其中，低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相對于低危漏洞，中危和高危漏洞的數量更多，需要安全運維人員提高警惕，加強對中高危漏洞的控制。

報告從「2023年度漏洞趨勢概況」「2023年度在野利用漏洞概況」「2023年度高危漏洞預警情況概述」「2023年度總結及2024展望」四大部分，探究漏洞威脅的現狀及發展趨勢，為廣大企事業客戶、安全運維人員等應對漏洞威脅提供指導。

2023年度漏洞趨勢概況

漏洞的統計與評判是評估網絡安全情況的一個重要指標，天融信阿爾法實驗室參考國家漏洞數據庫數據，從「漏洞數量趨勢」「漏洞增長趨勢」「漏洞威脅等級統計」「漏洞影響對象類型統計」「漏洞產生原因統計」「漏洞引發威脅統計」「行業漏洞收錄統計」「漏洞修復情況統計」對2023年披露的漏洞進行了全方位的統計分析。

2023年度在野利用漏洞概況

通過對全網漏洞數據的分析，天融信篩選了2023年前100個在野利用漏洞進行統計。此次統計分析主要從「漏洞影響的廠商」「漏洞影響的平臺」「漏洞類型」以及「EXP公開情況」4個方面展開，并選取整理了CWE TOP25排名。

2023年度高危漏洞預警情況概述

2023年，天融信阿爾法實驗室通過漏洞監測系統共監測發現各類漏洞信息35762條，經過漏洞監測系統自動智能篩選后留存高危漏洞信息361條，經過人工專家進一步研判后，最終發布了45條高危漏洞風險提示通告。涉及眾多廠商的軟件產品，由漏洞引發的安全威脅也多種多樣，統計結果顯示，主流操作系統是漏洞高發產品。2023年針對Microsoft廠商漏洞預警次數達14次，其中Windows系統的漏洞占大多數。

2023年預警的漏洞中，遠程代碼執行類漏洞占比最高，達到69%。這一類漏洞也是APT攻擊者的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠程執行任意代碼或者指令，有些漏洞甚至無需用戶交互即可達到遠程代碼執行的效果，對目標網絡和信息系統造成嚴重影響。此次統計分析主要從「漏洞預警廠商情況」「漏洞威脅情況」2個方面展開。

2023年度總結及展望

2023年網絡空間安全漏洞分析研究報告顯示，漏洞總數呈現下降趨勢，但高危漏洞數量仍然為增長態勢。緩沖區溢出、輸入驗證不當和OS命令注入是當前網絡安全形勢最為嚴峻的威脅，Windows系統漏洞和遠程代碼執行漏洞最多，Apache也占據了顯著比例，任何一類漏洞都有可能造成蠕蟲病毒傳播事件或者勒索事件的爆發，用戶應加強安全防護。

2023年的網絡空間安全態勢需要企業和組織采取綜合性的防御措施。其中，重點包括實施供應商審查機制以抵御供應鏈攻擊，加強賬戶安全以應對身份和憑證欺詐，建立漏洞管理體系以有效防范安全漏洞威脅，以及強化分段網絡管理來提高數據安全應對能力。這些措施旨在面對日益復雜的網絡威脅，確保網絡系統和數據得到充分的保護，維護業務的正常運行和客戶安全。

隨著技術的發展，網絡安全漏洞的趨勢也在不斷變化。預計到2024年，零日漏洞的利用將增加，云計算、物聯網、車聯網、人工智能等新興技術領域成為重點攻擊對象。勒索軟件攻擊將更加有針對性，生成式人工智能技術可能被用于更復雜的網絡攻擊并降低攻擊門檻。開源軟件的安全性將成為重點，越來越多的組織將開始采用零信任架構。人工智能將在漏洞預警和防御中發揮重要作用，IAST將逐漸整合到全鏈路接口安全防御體系。

作為國內領先的網絡安全、大數據與云服務提供商，天融信始終以捍衛國家網絡空間安全為己任，積極發揮自身在監測預警與應急服務優勢，全面掌握漏洞動態，持續為客戶構建更加完善的網絡安全防御能力，通過多維度數據采集分析、敏感信息及時預警，持續深入信息安全領域的監測與應急工作，及時監測網絡空間的漏洞動態，提供快速的監測與預警服務。

天融信專注于強化云端情報融合、安全防護設備聯動、云環境下的IT資產安全管理等能力，將云上能力賦能本地，結合云端7×24小時在線研判，幫助各類客戶構建涵蓋檢測發現、分析研判、情報預警、響應處置、持續監控的完整資產安全管理體系，有效助力客戶數字化轉型發展。