專(zhuān)題·漏洞治理 | 對漏洞治理體系革新發(fā)展的思考與建議
文 | 哈爾濱工業(yè)大學(xué) 張兆心 孔珂;北京郵電大學(xué) 劉欣然
網(wǎng)絡(luò )空間作為 21 世紀國家主權的新疆域,其戰略意義與日俱增。漏洞治理是構筑網(wǎng)絡(luò )安全基石的關(guān)鍵環(huán)節,它不僅承載著(zhù)捍衛國家網(wǎng)絡(luò )主權的重任,也是維護數字領(lǐng)土完整與安全的核心策略。漏洞治理涉及技術(shù)、管理、政策及法律等多個(gè)層面,不僅需要技術(shù)手段來(lái)發(fā)現和修復漏洞,還需要完善的管理體系、明確的政策指導和嚴格的法律法規來(lái)共同構建。
一、國內外漏洞治理現狀
隨著(zhù)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和全球信息化進(jìn)程的持續深化,網(wǎng)絡(luò )安全已經(jīng)成為維護國家安全、社會(huì )穩定及經(jīng)濟發(fā)展的關(guān)鍵環(huán)節。在網(wǎng)絡(luò )空間安全治理,尤其是漏洞管理體系的建設方面,國內外展現了不同的發(fā)展路徑和戰略重點(diǎn)。
(一)國內漏洞治理體系建設穩步發(fā)展
我國從政策法規、漏洞治理機制、漏洞管理流程等多個(gè)方面構建了漏洞治理體系。
在法律法規層面,我國出臺了《網(wǎng)絡(luò )安全法》,為漏洞管理提供了法律基礎。同時(shí),發(fā)布了《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》《信息安全技術(shù)—網(wǎng)絡(luò )安全漏洞管理規范》等一系列規定和標準。這些文件不僅明確了網(wǎng)絡(luò )產(chǎn)品安全漏洞從發(fā)現、報告、修復到發(fā)布的整套流程,還確立了管理各階段的具體操作流程、規范要求及驗證方法,為業(yè)界提供了詳盡的操作指南和嚴謹的技術(shù)標準。
在漏洞治理機制方面,我國已建立以國家信息安全漏洞庫(CNNVD)為代表的多個(gè)網(wǎng)絡(luò )產(chǎn)品安全漏洞收集平臺,有效集成了漏洞信息的收集、儲存與共享功能,顯著(zhù)提升了漏洞識別和應對的效率。通過(guò)實(shí)施協(xié)同漏洞披露機制(CVD),鼓勵社會(huì )各界積極參與漏洞發(fā)現與上報,確保了漏洞信息的快速流通與妥善處理。
在漏洞管理方面,我國已經(jīng)構建起一套完善的流程體系,該體系涵蓋了漏洞發(fā)現與報告、驗證與評估、處置與修復,以及修復后漏洞發(fā)布與跟蹤監控。這套流程鼓勵安全專(zhuān)家在遵守法律法規的前提下,利用漏洞掃描、滲透測試等技術(shù)手段主動(dòng)發(fā)現漏洞,并迅速通報給相應機構。一旦國家權威部門(mén)接到報告,他們將迅速對漏洞進(jìn)行驗證評估,判定其潛在危害和影響范圍,據此制定并實(shí)施有效的修復策略,以確保漏洞能夠被迅速且徹底地解決。最后,修復情況將被公開(kāi)發(fā)布并持續追蹤,以保持漏洞信息的時(shí)效性與透明度。
目前,以法律法規和標準規范為基礎,以漏洞治理機制為框架,以漏洞管理為內容,我國已經(jīng)建立了較為完善的網(wǎng)絡(luò )漏洞治理體系。
(二)歐美漏洞治理體系的借鑒
美國在網(wǎng)絡(luò )安全漏洞治理方面具有先發(fā)優(yōu)勢,已經(jīng)建立了完善的漏洞治理框架和相關(guān)法律法規。特別是在公私合作方面,這種合作模式被視為美國網(wǎng)絡(luò )安全防御體系的重要組成部分。
美國政府早期通過(guò)通用漏洞披露(CommonVulnerabilities & Exposures,CVE)和國家漏洞庫(National Vulnerability Database,NVD)構建了漏洞治理的頂層架構設計。通過(guò)一系列立法和政策,如《公私網(wǎng)絡(luò )安全合作法案》,鼓勵公私部門(mén)之間在網(wǎng)絡(luò )安全信息共享、漏洞管理方面展開(kāi)合作。美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)、美國國家標準與技術(shù)研究院(NIST)等機構在漏洞治理體系建設方面發(fā)揮了核心作用。
CISA 制定了全面的漏洞管理框架,指導各機構遵循標準化流程處理漏洞。例如,2021 年,CISA 發(fā)布了《網(wǎng)絡(luò )安全事件和漏洞響應手冊》,該手冊精煉地概述了漏洞管理的核心流程,涵蓋了從識別潛在威脅到評估影響、實(shí)施修復措施,再到最終的報告與通知這四個(gè)緊密相連的階段,確保了響應行動(dòng)的系統性和時(shí)效性。
NIST 在漏洞治理的標準化方面做了大量工作,涵蓋了漏洞定義、分類(lèi)、標準制定和披露框架等方面,例如,NIST 發(fā)布的《關(guān)鍵信息安全術(shù)語(yǔ)匯編》和《聯(lián)邦機構漏洞披露指南建議》等文件。NIST 在漏洞定義、漏洞披露框架、正確處理漏洞報告以及溝通漏洞的緩解和修復等方面提出了指導建議。此外,NIST 還提供各種網(wǎng)絡(luò )安全資源和工具,如漏洞掃描工具,幫助政府機構、企業(yè)、個(gè)人評估和改進(jìn)網(wǎng)絡(luò )安全措施。
近年來(lái),美國在網(wǎng)絡(luò )安全治理上采取了雙軌策略。一方面,通過(guò)加強出口管控,嚴格限制敏感網(wǎng)絡(luò )安全技術(shù)的海外流動(dòng),以維護國家安全利益。例如,2022 年,美國商務(wù)部工業(yè)與安全局(BIS)對《出口管理條例》中的網(wǎng)絡(luò )安全條款進(jìn)行了修訂,對出口到某些國家的網(wǎng)絡(luò )安全相關(guān)技術(shù)產(chǎn)品施加了新的限制,特別是涉及網(wǎng)絡(luò )漏洞的相關(guān)技術(shù)。另一方面,面對內部挑戰,如 NVD 的運營(yíng)壓力,美國政府正在尋求解決方案,同時(shí)在關(guān)鍵基礎設施保護上加大投入,強化公私合作機制,以全面提升國家的網(wǎng)絡(luò )韌性與安全防護水平。例如,2024 年,美國國防部網(wǎng)絡(luò )犯罪中心(DC3)宣布與美國國防反情報和安全局(DCSA)合作,建立國防工業(yè)基地的漏洞披露運營(yíng)計劃(DIB-VDP)。該計劃旨在提高國防工業(yè)基地(DIB)的漏洞披露能力。此計劃強調了公私合作在增強國家安全中的重要性,通過(guò)利用民間專(zhuān)家的力量來(lái)加強國防供應鏈的安全。這些舉措體現了美國面對國際安全環(huán)境變化及國內漏洞治理挑戰所采取的一系列應對措施。
歐盟漏洞治理體系的特點(diǎn)在于各成員國之間的協(xié)調合作。自 2008 年啟動(dòng)的歐盟“安全漏洞庫服務(wù)”(SVRS)倡議,標志著(zhù)歐盟在構建集中化信息安全漏洞管理體系方面邁出了關(guān)鍵一步,其目標是深化成員國間的協(xié)同作用與信息共享。這一舉措旨在通過(guò)一個(gè)統一的平臺,提升對網(wǎng)絡(luò )與信息安全漏洞的追蹤、分析和應對能力,確保歐盟及其成員國能夠迅速應對新興的網(wǎng)絡(luò )威脅,保護關(guān)鍵基礎設施和信息系統免受攻擊。
2022 年,歐洲網(wǎng)絡(luò )及信息安全局發(fā)布的《歐盟協(xié)調漏洞披露政策》表明成員國間在協(xié)同漏洞披露操作、術(shù)語(yǔ)界定及評估標準上存在的異質(zhì)性。這些差異成為合作進(jìn)程中的障礙,影響了政策實(shí)施的一致性和效率。在同一年,歐盟出臺了《關(guān)于歐盟全境網(wǎng)絡(luò )安全措施的高度統一指令》(第 2022/2555 號),該指令規定成員國采用統一的 CVD 政策,并指導建立共享漏洞數據庫,以促進(jìn)跨國界數據共享,從而加強合作和提高響應速度。
鑒于成員國需將此指令轉化為國內法的實(shí)際可行性,歐盟采取了靈活的監管策略,僅制定了最低限度的框架規則,旨在促進(jìn)成員國間協(xié)調一致的同時(shí),也為各國提供了根據其國情進(jìn)行調整的空間,力求在多樣性中尋求共識。歐盟在網(wǎng)絡(luò )安全政策上持續發(fā)展,加強了歐盟各國漏洞協(xié)同治理能力。
二、對推動(dòng)我國漏洞治理體系創(chuàng )新的建議
我國在漏洞治理體系的構建上已經(jīng)奠定了堅實(shí)的基礎,并形成了一套較為完備的框架體系。展望未來(lái),對外,應積極參與并引領(lǐng)漏洞治理相關(guān)標準建設,構建一個(gè)國家共享互信的漏洞治理共同體;對內,應從法律制度、技術(shù)創(chuàng )新、人才培養等多個(gè)維度著(zhù)手,推動(dòng)漏洞治理體系的根基、框架和內容實(shí)現創(chuàng )新發(fā)展。
(一)建設國家共享互信的漏洞治理共同體
一是參與國際標準與協(xié)議共建。在網(wǎng)絡(luò )安全漏洞治理方面,我國已經(jīng)積累了豐富的經(jīng)驗,并具備參與國際標準化機構工作的能力。我們應積極參與相關(guān)討論、主動(dòng)提交提案,推動(dòng)建立統一的漏洞分類(lèi)、評估、報告和響應標準框架。
二是強化跨境信息共享與技術(shù)合作。我們應深化與主要國家和國際組織的合作,共同構建或優(yōu)化跨境漏洞信息共享平臺,確保在遵循保護協(xié)議的前提下,實(shí)現漏洞情報的及時(shí)、高效共享。
三是漏洞治理能力援助與建設。我們可以通過(guò)多邊或雙邊的國際援助項目,在漏洞治理方面向發(fā)展中國家或地區提供資金和技術(shù)支持,如漏洞挖掘、評估等。這種支持有助于這些國家和地區建立并加強其本地的漏洞管理體系,包括提供漏洞管理軟件工具、培訓當地技術(shù)人員、建立應急響應機制等,增進(jìn)國與國之間的信任與合作,從而促進(jìn)網(wǎng)絡(luò )空間命運共同體的構建。
四是出口管制的審慎管理。對于漏洞管理、漏洞挖掘技術(shù)及其相關(guān)工具的出口,我們應實(shí)行更為審慎的管制政策。同時(shí),建立國際協(xié)調機制,與合作國家共同審查和規范相關(guān)技術(shù)的出口,以確保全球網(wǎng)絡(luò )空間的穩定與安全。
(二)推進(jìn)漏洞治理體系基石、框架、內容創(chuàng )新發(fā)展
一是完善漏洞管理法律和標準,強化漏洞治理體系基石。我們需要制定明確的法律法規和標準規范,從而規范漏洞挖掘與報告行為,并強化公私合作,鼓勵安全研究者積極參與特定領(lǐng)域的漏洞發(fā)現活動(dòng)。通過(guò)提供法律保護、獎勵機制和透明的披露流程,確保安全研究者能夠在不觸犯法律的前提下,為提升網(wǎng)絡(luò )安全貢獻力量。此舉既能維護互聯(lián)網(wǎng)安全的前沿防線(xiàn),又能促進(jìn)技術(shù)創(chuàng )新與信息安全行業(yè)的健康發(fā)展,從而營(yíng)造一個(gè)正向循環(huán)的漏洞治理環(huán)境。
二是深化改革漏洞治理框架,引導專(zhuān)項領(lǐng)域漏洞精細化治理。針對關(guān)鍵信息基礎設施、重要信息系統以及新興技術(shù)領(lǐng)域,如電力網(wǎng)、金融系統、智能城市設施、醫療健康 IT 系統等,作為專(zhuān)項漏洞懸賞的重點(diǎn)對象。政府和相關(guān)行業(yè)應共同出資,設立專(zhuān)項漏洞懸賞基金,為那些研發(fā)工具、報告領(lǐng)域內高危漏洞的研究人員提供豐厚的獎勵。還應定期組織專(zhuān)項懸賞活動(dòng),并根據網(wǎng)絡(luò )安全態(tài)勢發(fā)展,靈活增設特別懸賞,以應對新出現的重大威脅或特定的技術(shù)挑戰。
三是積極推動(dòng)漏洞管理方法全鏈條創(chuàng )新發(fā)展。聚焦于智能化等新技術(shù)的應用,重塑從漏洞發(fā)現到評估的整個(gè)流程,以提升漏洞管理的效率和精準度。革新漏洞評估標準,以適應不斷變化的威脅景觀(guān),并建立一個(gè)更加動(dòng)態(tài)、全面的評估體系。這個(gè)體系不僅會(huì )考慮漏洞的技術(shù)細節,還會(huì )納入業(yè)務(wù)影響、攻擊可能性、資產(chǎn)價(jià)值等多維度因素,形成更為科學(xué)合理的風(fēng)險評分機制,助力優(yōu)先排序漏洞修復工作,確保有限資源得到最高效的配置。
四是構建多層次人才培養。漏洞治理體系中,人才培養是至關(guān)重要的基礎環(huán)節。我們應重視網(wǎng)絡(luò )安全人才的培養,并在基礎教育、職業(yè)教育和在職培訓等各個(gè)階段設置專(zhuān)門(mén)的網(wǎng)絡(luò )安全課程和實(shí)踐環(huán)節,內容涵蓋漏洞管理的理論與實(shí)操技能。此外,在基礎教育階段應融入網(wǎng)絡(luò )漏洞相關(guān)知識,以提升全民的漏洞安全意識,并為專(zhuān)業(yè)人才的早期發(fā)現和培養奠定基礎。
三、結 語(yǔ)
國內外在網(wǎng)絡(luò )漏洞治理方面的探索與實(shí)踐,展現了一個(gè)從無(wú)到有、由點(diǎn)及面的體系建設過(guò)程,以及在復雜多變的國際環(huán)境中不斷適應與進(jìn)化的策略調整。面向未來(lái),我國應當繼續加強國際交流與合作,積極參與國際標準的制定,構建跨國界的漏洞治理共同體,并審慎管理技術(shù)出口,以維護全球網(wǎng)絡(luò )空間的穩定。在國內層面,應不斷完善法律法規,優(yōu)化治理體系,推動(dòng)技術(shù)創(chuàng )新,注重人才培養。漏洞治理是一項長(cháng)期而系統的工程,需要不斷適應技術(shù)進(jìn)步與安全挑戰的變化。我們應堅持法治引領(lǐng)、創(chuàng )新驅動(dòng)、協(xié)同合作的原則,攜手構筑更加牢固的網(wǎng)絡(luò )防線(xiàn)。
(本文刊登于《中國信息安全》雜志2024年第5期)