国产化替代浪潮下 | 国产产品安全漏洞管理实践

新闻
3天前

1、国产替代大趋势下产品安全问题不容忽视

在国际竞争加剧和供应链风险上升的背景下,国产化替代与信创作为保障国家安全、实现科技自主可控的关键战略,正在朝着全栈替代、行业深水区拓展、全球化竞争的方向发展。国产化产品从“可用”迈向“好用”,成为支撑数字经济发展的安全基石。

2025年是《“十四五”国家信息化规划》的收官之年,党政、金融、能源、电信等重点行业国产化替代率将进一步提升。同时,医疗、教育、交通等民生领域逐步纳入范围,形成“2+8+N”全行业覆盖。

随着国产化替代的快速进程,国产化产品的普及越来越广,国产产品的安全性也越来越受到重视,所使用的国产产品的安全性高低与安全合规考核、攻防对抗息息相关。而产品漏洞是体现产品安全性的主要指标。

2、国产产品漏洞管理的现状和问题

掌握国产产品漏洞情况对于产品安全评估、供应链安全、攻防对抗、网络安全运营至关重要。从用户角度来看,在安全运营和管理过程中,对于国产化产品漏洞管理存在如下的现状和问题:

1) 漏洞信息碎片化

用户会从各类预警或漏洞情报中获知国产产品的某个具体漏洞。但如果要从宏观角度、供应链安全角度了解某个厂商或某个产品总体的漏洞情况,却变得很困难。

  • 随着国产产品参与国际化竞争,国外的白帽子或安全研究人员挖掘国产产品漏洞越来越多,由于语言、沟通机制、收录规则等原因。这部分漏洞收录可能不局限于国内漏洞平台,造成漏洞数据的分散和碎片化;

  • 不同工具对于同样的产品、厂商、版本、漏洞的描述有差异,造成用户从多个来源收到的多个通报或预警信息,实际上是同样产品上的同样漏洞。由于缺少标准的基础主数据字典的枚举支持,使得这种情况普遍存在,同时在了解总体漏洞情况时可能会在全面性、准确性方面存疑;

2) 机读和数据共享能力不足

在漏洞排查、威胁分析等场景中,监主管部门与用户单位间的漏洞数据共享能力不足,大量依赖excel、pdf等文件的方式,机读性不够,同时缺少标准的主数据字典的支持,漏洞排查大量依赖于人工排查,工作量大且准确性存在问题;

3) 扫描工具覆盖度不足

漏洞扫描工具对国产化产品漏洞覆盖不足,典型的,如金融业两高一弱漏洞,扫描器的覆盖度不到70%,其余需要依靠人工来做识别和排查。

3、破局之道

多年以来,由美国国家标准与技术研究院(NIST)维护的CPE字典和NVD CPE为全球的网络安全分析、扫描工具、威胁情报等提供支撑,经过多年实践表明是一种解决产品命名一致性、产品和漏洞关联的成熟可行的方案。

但由于其对我国国产产品支持很差,因此,我们需要一个针对国产产品的专门的产品安全漏洞数据集,体系化的彻底解决上述国产产品漏洞管理的相关问题。摄星玄猫在借鉴NIST成熟的解决方案思路基础上,依托人工智能技术和持续运营,最终形成了不断迭代更新的国产产品安全漏洞数据集。

 

1750989178838092.png

国产产品安全漏洞数据局包括国产厂商及产品基础字典、国产厂商及产品漏洞库、漏洞合规和威胁标签三部分:

1) 国产厂商及产品基础字典

  • 解决国产厂商及产品命名一致性问题,兼容CPE字典,兼容厂商和产品常用名,兼容国内主流漏洞平台命名,兼容其它安全工具命名;

  • 提供厂商、产品和版本号枚举值;

2) 国产厂商及产品漏洞库

  • 在基础字典能力基础上,关联全球漏洞数据,包括各大漏洞平台编号和非编号漏洞,保障国产产品漏洞数据全面性,消除风险识别“盲区”;

  • 对漏洞进行APT漏洞、勒索软件漏洞、公开PoC、两高一弱、关键漏洞等威胁和合规标记,提供漏洞优先级评估支持;

3) 机读和共享能力

支持CPE、CSAF、VeX、《漏洞影响产品描述规范》(草案)等国际、国内安全数据标准集,最大化满足资产和漏洞信息机读、共享要求。

4、摄星玄猫国产产品安全漏洞数据集

数据集由国产厂商及产品基础字典、国产厂商及产品漏洞库、合规和威胁标签三部分组成。

1) 国产厂商及产品基础字典

摄星玄猫的国产厂商及产品基础字典对国产厂商、产品和版本的进行了最大化的收录和细化,主要特点:

  • 覆盖国内漏洞平台、国内厂家的安全公告、NIST CPE字典;

  • 提供了厂商、产品和版本命名一致性、规范性。为行业和客户资产安全管理、软件风险治理、供应链管理、漏洞管理等提供基础主数据枚举;

  • 兼容常用名,为多源资产和漏洞数据聚合提供能力;

 

1750989331244880.png

 

一个常见的场景,用户会从不同条线、不同层级监主管机构收到漏洞通报,同时也会从不同安全厂家收到漏洞预警,用户会人工花费大量时间处理这些通报和预警,以满足考核和合规要求。最后发现大多数情况下,这些通报和预警说的都是同一个厂商的同一个漏洞。

这是由于监主管机构和安全厂家使用的工具不同、数据获取的来源不同、数据表达的方式不同造成的,用户无法对自动化对这些信息进行聚合,从而造成工作的重复,以及时间和资源的浪费。

通过字典可很容易的识别、聚合国产厂商和产品漏洞数据,如:

  • CVE-2024-8166,cpe:2.3:o:ruijie:eg2000k_firmware:11.1\(6\)b2:*:*:*:*:*:*:*和北京星网锐捷网络技术有限公司RG-UAC 6000-E50存在命令执行漏洞(CNVD-2024-36581)可以统一到厂商锐捷;

  • 小米科技有限责任公司小米路由器AX9000存在二进制漏洞(CNVD-2024-23093)和Xiaomi Mi Sound信息泄露漏洞(CNVD-2025-06300)可以统一到厂商小米科技;

2) 国产厂商及产品漏洞库

通过国产厂商及产品基础字典与全球各漏洞收录组织和安全公告进行关联,形成国产厂商漏洞数据库。形成过程中,重点解决和关注两个问题:

  • 未被国内漏洞平台收录的遗珠在外的国产产品漏洞;

  • 国内漏洞平台已收录漏洞,但未指明或关联到国产厂商产品;

这部分的漏洞的缺失容易导致在识别、扫描时产生风险识别的盲区。

 

1750989420249302.png

从未被国内漏洞平台收录的国产厂商TOP 25来看,产品使用面广、影响力大、系统组件/开源组件引用多,可能是吸引国外安全研究人员进行漏洞挖掘,影响漏洞平台收录的主要原因。

 

1750989473130398.png

截止到目前,国产厂商的产品安全漏洞达到40429,占全球已公开漏洞的9.5%,公开PoC漏洞,占国产产品安全漏洞的7.4%。

 

1750989494108054.png

从近20年的国产产品的安全漏洞变化趋势来看,前10年在国产化替代进程逐步深入过程中,漏洞呈现爆发性增长,而近两年出现明显的下降趋势,表明我国国产产品的安全性正得到提升。

 

1750989596710698.png

3) 产品漏洞威胁和合规

在产品安全漏洞的威胁和合规方面,与APT组织、勒索软件、两高一弱、CISA KEV关联漏洞数量较多,其中大部分为Linux系统组件和开源组件,表明国产产品应更加重视软件供应链安全。

 

微信图片_20250624172745.jpg

 

摄星玄猫国产产品安全漏洞数据集,为安全分析、安全扫描、威胁情报、漏洞运营管理的底层逻辑提供能力支持,使用户实现对国产产品资产风险识别、漏洞识别、漏洞排查、两高一弱、漏洞修复优先级、供应链安全、漏洞情报信息共享等场景的精准、高效管理。

摄星科技将不断迭代、优化国产产品安全漏洞数据集,为我国的国产化替代进程保驾护航!