2016年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞10822个。其中，高危漏洞4146个（占38.3%）、中危漏洞5993个（占55.4%）、低危漏洞683个（占6.3%），各级别比例分布与月度数量统计如图所示。较2015年漏洞收录总数8080环比增加34%。2016年，CNVD前台接收白帽子、国内漏洞报告平台、以及安全厂商报送的原创通用软硬件漏洞数量占全年收录总数的17.8%，成为2016年漏洞数量增长的重要原因。在全年收录的漏洞中，有2203个属于“零日”漏洞，可用于实施远程网络攻击的漏洞有9503个，可用于实施本地攻击的漏洞有1319个。

本文以NVD为数据源，对1999-2019年的漏洞数据进行回顾分析，结合绿盟威胁情报中心监测到的漏洞利用攻击事件，从通用系统、软件的漏洞呈现情况，总结了20年来漏洞研究及利用的趋势，并对近几年新兴的移动、物联网设备等领域的漏洞发展进行回顾和展望。

攻击者最喜欢利用的载体为Office文档，占比高达52.3%，其次为 RTF（Rich Text Format）文档占比达到了31.5%；洞文档直接下载恶意程序是攻击者使用的主要方式，占据68.5%，直接释放恶意程序比例达到了24.1%；在含有伪装内容的文档中，跟经济相关的文档占据比例最大，达到了15.7%，其次为教育科研机构，占比达到9.6%；2017上半年中CVE-2017-0199漏洞被利用的次数最多，相关的漏洞文档占比高达35.5%，其次是CVE-2012-0158占据17.5%；通过统计漏洞文档载荷下载或释放的恶意程序功能，发现远控木马和信息盗取木马依然是主流，分别达到了36.6%和29.3%；统计的恶意程序中，EXE和DLL文件依然占据主导地位，分别占70%和16%；恶意程序开发语言中C/C++占比最高，达47.8%，其次为C#语言，占31.1%；漏洞文档载荷下载或释放的恶意程序中，攻击者最喜欢使用的程序名为svchost.exe，占比高达48.3%，其次为winlogin.exe占13.7%；通过统计载荷直接使用域名访问C&C服务器的漏洞文档，发现攻击者更喜欢.com的顶级域名作为C&C服务器，其占比高达61.1%，尼日利亚国家的顶级域名.ng，占比为10.4%。

应用程序作为计算机服务的直接提供者，其存在是不可或缺的。如若其中出现了漏洞，将可能直接影响业务的正常运作。本文是360CERT对2017年应用漏洞的回顾总结。

随着国内外企业网络安全现状日益严峻，在这场风起云涌的浪潮中，大部分企业（特别是中小企业）仅凭自身安全团队的力量，已经很难支撑其业务或产品的安全性。众测模式、SRC以及Bug Bounty的出现，是企业向外界主动寻求安全能力的明显信号。这几种模式各有特色，但主角毫无疑问都是一群人——那些身怀绝技的白帽子们。

平台安全是计算机安全体系中重要的组成部分。平台对上层应用，服务，功能提供支持，主要体现在硬件，固件，协议及协议实现等。这方面有许多攻击方法，比如边信道攻击，中间人攻击，旁侧降权攻击等。这些高级攻击方法，如果结合平台安全中的漏洞，将会十分危险。本文是360CERT对2017年平台安全的总结。

2017年上半年，补天平台SRC共收录各类网站安全漏洞10693个，共涉及8460个网站；补天平台共收录8460个网站，有93.0%的网站已经备案。其中，企业备案网站的数量是最多的，占比为41.5%；在补天平台收录网站漏洞中，76.7%的网站漏洞已经进行了修复，23.3%的网站漏洞未进行修复。​

近年来，随着智能手机、可穿戴设备、活动追踪器、无线网络、智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用，针对IOT设备的网络攻击事件比例呈上升趋势，攻击者利用IOT设备漏洞可导致设备拒绝服务、获取设备控制权限进而形成大规模恶意代码控制网络，或用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易。国家信息安全漏洞共享平台（以下简称CNVD）对2016年收录的IOT设备漏洞（含通用软硬件漏洞以及针对具体目标系统的事件型漏洞）进行了统计。

Android5.0屏幕录制漏洞（CVE-2015-3878）完全能够激发如上“两低”条件，漏洞威胁随时可能大规模爆发， 利用Android 5.0屏幕录制漏洞，黑客攻击者可以构造用户完全无法识别的UI（用户界面）陷阱，在没有获取任何特殊系统权限的条件下窃取用户手机上的一切可视信息，具有非常大的安全隐患。报告在分析漏洞原理、漏洞成因及利用技术的同时，充分挖掘隐藏在漏洞背后的威胁，以警示开发者和手机用户注意防范此类漏洞。

2016年全年（截至11月15日），360网站安全检测平台共扫描各类网站197.9万个，其中，存在漏洞的网站91.7万个，占比为46.3%；存在高危漏洞的网站14.0万个（全年去重），占扫描网站总数的7.1%；补天平台公有SRC共收录各类网站安全漏洞32277个，私有SRC（含众测）收录漏洞4911个，总共漏洞数为37188个；从涉及web站点看，补天平台收录的漏洞涉及网站（按域名统计）共30329个；360网站卫士共拦截各类网站漏洞攻击17.1亿次，较2015年16.5亿次，增长了约3.7%；全年遭受到漏洞网站共计63.6万个（全年去重），占360网站卫士覆盖总量（163.6万）的38.9%。平均每月有14.3万个网站遭遇各类漏洞攻击，与2015年平均每月17.1万个相比下降了16.4%。

报告评选出了2014年上半年对国内用户影响最大的十个安全漏洞。它们分别是：OpenSSL心脏出血漏洞、Struts2-021补丁绕过漏洞、苹果Goto Fail 漏洞、IE秘狐漏洞、Windows上的内核级漏洞、Chrome任意内存读写漏洞、Safari任意代码执行漏洞、Linux/Andriod本地提权漏洞、Adobe Flash Player漏洞和WordPress DDoS攻击漏洞。

传统上而言，全球企业在设计供应链时往往假设材料可以在全球范围内自由流通，因而能够在全球成本最低的地区采购、生产及分销产品。但是，新冠病毒疫情表明，一旦发生意外事件，很可能导致整个供应链网络遭受重创。加强敏捷性及提升战略快速重组能力有助于抑制意外事件（包括流行病、食源性疾病、恶劣天气、地缘关系变迁及国际贸易政策变化）造成的影响。将供应链流程转换为智能工作流程，企业响应能力将提升到全新的高度。智能工作流程向孤岛式流程和工作方式发起挑战，它通过流程与合作伙伴网络来提升效率。在AI及相关技术的强化下，新型供应链智能工作流程（以业务平台为基石）可以大规模实现卓越成果。从需求规划、制造执行到订单协调和履行，整个价值链均面临转型机遇。智能工作流程可重塑人员、流程和技术之间的交集，从而帮助供应链专业人员更高效地开展业务及交付成果，即使策略和环境不断转变也不受影响。通过此次危机，我们看到很多企业逐渐接受“远程办公”这一工作模式，员工在远程办公中做到和在办公室里一样的应用访问效果和安全性。很多企业充分运用RPA自动化机器人7x24小时的工作能力，将大量的事务性工作交由其处理，将白领的双手解放出来得以投入到更有创新价值的业务中去，未来还可以因此节省大量的办公场所投入。