2026年两高一弱详细介绍

网络安全领域的“两高一弱”特指高危漏洞、高危端口与弱口令,这三者构成当前网络安全中最常见、最易被攻击者利用的核心风险点,正如“木桶理论”中的短板,往往成为整体防护体系中最脆弱的一环。该概念于2016年首届国家网络安全宣传周上首次正式提出。此后,在公安部及各行业主管部门的持续推动下,逐步建立起针对“两高一弱”问题的常态化专项排查工作机制。

今天,我们来一同梳理和深化这方面的认识,进一步巩固网络安全防护的基础。

一、高危漏洞

高危漏洞 定义

高危漏洞往往源于代码编写时的疏忽或者设计上的缺陷。这些漏洞一旦被恶意利用,将给系统带来极大的安全风险。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。

  • 系统漏洞:操作系统、应用程序中的安全缺陷,如缓冲区溢出、SQL注入等。
  • 配置错误:由于配置不当导致的安全问题,如未正确设置权限、服务暴露等。
  • 第三方组件漏洞:依赖的第三方库或框架中的安全问题。

 相关危害及评价标准

1)评价标准说明

  • 国外评价标准:CVSS,通过漏洞的攻击向量、攻击复杂度、权限要求、影响范围等多个维度进行量化评分,分数范围为 0-10 分,其中 9.0-10.0 分为最高危级别,7.0-8.9 分为高危级别,是全球范围内衡量漏洞危害程度的核心参考标准;
  • 国内评价标准:CNVD(国家信息安全漏洞库)与 CNNVD(国家信息安全漏洞共享平台),由国内权威机构对漏洞的危害范围、影响程度、利用难度等进行分级认定,同步关联漏洞的技术细节、修复建议及国内受影响情况,为国内企业和机构提供贴合本土场景的漏洞风险评估依据。

2)典型漏洞危害案例

漏洞简介:永恒之蓝(MS17-010)Windows SMB 协议漏洞,CVSS 评分为 9.8 分(最高危级别),CNVD和CNNVD 评级为 “极高危”。

漏洞危害:该漏洞可导致远程代码执行,被 WannaCry 勒索病毒利用后引发全球性网络灾难。英国 NHS(国家医疗服务体系)受攻击后,超 7 万台医疗设备和办公电脑被加密锁定,急诊挂号、手术安排、患者病历调取等关键医疗服务全面瘫痪,大量患者无法及时获得救治;中国多所高校内网大规模感染,毕业生毕业论文、科研团队实验数据等重要资料被加密,不少学生面临毕业延期风险,高校科研工作一度陷入停滞。

二、高危端口

高危端口定义

高危端口是因服务漏洞、配置不当或协议缺陷,易被黑客利用的端口,多对应弱加密/未加密协议,或暴露于公网的服务,开放后会大幅提升攻击风险。像 135、137-139、445、3389 等都是高频攻击通道,例如通过 445 端口可发起网络蠕虫攻击,3389 端口配置不当则可能导致黑客远程登录。

相关危害及评价标准

1)评价标准说明

高危端口的风险等级可通过三项核心维度判定:

  • 服务风险:服务本身是否存在高危漏洞(如远程代码执行、明文传输),是否为黑客攻击高频目标。
  • 暴露范围:端口是否直接暴露于公网,或仅对内网开放,暴露范围越广风险越高。
  • 防护状态:是否配置防火墙、访问控制、强认证等防护措施,防护缺失或薄弱则风险升级。

2)典型漏洞危害案例

2022 年某国内企业管理员为方便远程运维,将财务服务器 3389 端口(RDP 服务)直接暴露公网且未做访问控制,搭配弱密码 “Finance2022!”,被黑客暴力破解。攻击者植入 LockBit 勒索病毒加密全部财务数据,导致业务停摆 2 周,损失超 200 万美元。该案例中,3389 端口本身存在暴力破解风险,服务风险较高,公网暴露且无有效防护,最终引发严重损失。

三、弱口令

弱口令定义

口令强度分弱、中、强三级,弱口令是易被猜测或破解的密码统称,通常由简单字符组合而成,长度与复杂度不足。常见类型包括:连续 / 重复数字(如 “123456”)、连续 / 重复字母(如 “aaaaaa”)、键盘连续按键(如 “qweasd”)、用户关联信息(生日、手机号)、默认字符串(如 “admin”“password”)等。黑客可通过暴力破解、字典攻击等工具快速尝试密码组合,一旦成功,便能以合法用户身份侵入系统,窃取敏感信息、篡改数据。

相关危害及评价标准

1)评价标准说明

弱口令的风险等级可通过三项核心维度判定:

  • 复杂度评分:是否满足 “长度 + 字符组合” 要求(如≥8 位、含大小写字母 + 数字 + 特殊字符三种及以上组合),组合越简单、长度越短,风险越高。
  • 易猜度:是否与用户名、手机号、生日、公司名等个人信息或公司信息相关,或属于公开高频弱口令库(如 “123456”“admin@123”),关联性越强、越常见,易猜度越高。
  • 生命周期:是否定期更换(如每 3 个月),是否重复使用历史密码,长期不更换或重复使用将大幅提升泄露风险。

2)典型危害案例

某国内市政务云平台运维人员使用 “admin/admin123” 作为管理账号,该密码属于 “默认用户名 + 简单数字组合”,复杂度极低、易猜度极高,且未定期更换。黑客通过字典攻击轻松侵入系统,窃取全市 200 万居民个人信息并在地下市场出售。事后网安部门介入,相关责任人被追究刑事责任,政府公信力严重受损。