專題·漏洞治理 | 對漏洞治理體系革新發(fā)展的思考與建議
文 | 哈爾濱工業(yè)大學(xué) 張兆心 孔珂;北京郵電大學(xué) 劉欣然
網(wǎng)絡(luò)空間作為 21 世紀國家主權(quán)的新疆域,其戰(zhàn)略意義與日俱增。漏洞治理是構(gòu)筑網(wǎng)絡(luò)安全基石的關(guān)鍵環(huán)節(jié),它不僅承載著捍衛(wèi)國家網(wǎng)絡(luò)主權(quán)的重任,也是維護數(shù)字領(lǐng)土完整與安全的核心策略。漏洞治理涉及技術(shù)、管理、政策及法律等多個層面,不僅需要技術(shù)手段來發(fā)現(xiàn)和修復(fù)漏洞,還需要完善的管理體系、明確的政策指導(dǎo)和嚴格的法律法規(guī)來共同構(gòu)建。
一、國內(nèi)外漏洞治理現(xiàn)狀
隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和全球信息化進程的持續(xù)深化,網(wǎng)絡(luò)安全已經(jīng)成為維護國家安全、社會穩(wěn)定及經(jīng)濟發(fā)展的關(guān)鍵環(huán)節(jié)。在網(wǎng)絡(luò)空間安全治理,尤其是漏洞管理體系的建設(shè)方面,國內(nèi)外展現(xiàn)了不同的發(fā)展路徑和戰(zhàn)略重點。
(一)國內(nèi)漏洞治理體系建設(shè)穩(wěn)步發(fā)展
我國從政策法規(guī)、漏洞治理機制、漏洞管理流程等多個方面構(gòu)建了漏洞治理體系。
在法律法規(guī)層面,我國出臺了《網(wǎng)絡(luò)安全法》,為漏洞管理提供了法律基礎(chǔ)。同時,發(fā)布了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞管理規(guī)范》等一系列規(guī)定和標準。這些文件不僅明確了網(wǎng)絡(luò)產(chǎn)品安全漏洞從發(fā)現(xiàn)、報告、修復(fù)到發(fā)布的整套流程,還確立了管理各階段的具體操作流程、規(guī)范要求及驗證方法,為業(yè)界提供了詳盡的操作指南和嚴謹?shù)募夹g(shù)標準。
在漏洞治理機制方面,我國已建立以國家信息安全漏洞庫(CNNVD)為代表的多個網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺,有效集成了漏洞信息的收集、儲存與共享功能,顯著提升了漏洞識別和應(yīng)對的效率。通過實施協(xié)同漏洞披露機制(CVD),鼓勵社會各界積極參與漏洞發(fā)現(xiàn)與上報,確保了漏洞信息的快速流通與妥善處理。
在漏洞管理方面,我國已經(jīng)構(gòu)建起一套完善的流程體系,該體系涵蓋了漏洞發(fā)現(xiàn)與報告、驗證與評估、處置與修復(fù),以及修復(fù)后漏洞發(fā)布與跟蹤監(jiān)控。這套流程鼓勵安全專家在遵守法律法規(guī)的前提下,利用漏洞掃描、滲透測試等技術(shù)手段主動發(fā)現(xiàn)漏洞,并迅速通報給相應(yīng)機構(gòu)。一旦國家權(quán)威部門接到報告,他們將迅速對漏洞進行驗證評估,判定其潛在危害和影響范圍,據(jù)此制定并實施有效的修復(fù)策略,以確保漏洞能夠被迅速且徹底地解決。最后,修復(fù)情況將被公開發(fā)布并持續(xù)追蹤,以保持漏洞信息的時效性與透明度。
目前,以法律法規(guī)和標準規(guī)范為基礎(chǔ),以漏洞治理機制為框架,以漏洞管理為內(nèi)容,我國已經(jīng)建立了較為完善的網(wǎng)絡(luò)漏洞治理體系。
(二)歐美漏洞治理體系的借鑒
美國在網(wǎng)絡(luò)安全漏洞治理方面具有先發(fā)優(yōu)勢,已經(jīng)建立了完善的漏洞治理框架和相關(guān)法律法規(guī)。特別是在公私合作方面,這種合作模式被視為美國網(wǎng)絡(luò)安全防御體系的重要組成部分。
美國政府早期通過通用漏洞披露(CommonVulnerabilities & Exposures,CVE)和國家漏洞庫(National Vulnerability Database,NVD)構(gòu)建了漏洞治理的頂層架構(gòu)設(shè)計。通過一系列立法和政策,如《公私網(wǎng)絡(luò)安全合作法案》,鼓勵公私部門之間在網(wǎng)絡(luò)安全信息共享、漏洞管理方面展開合作。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國國家標準與技術(shù)研究院(NIST)等機構(gòu)在漏洞治理體系建設(shè)方面發(fā)揮了核心作用。
CISA 制定了全面的漏洞管理框架,指導(dǎo)各機構(gòu)遵循標準化流程處理漏洞。例如,2021 年,CISA 發(fā)布了《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊》,該手冊精煉地概述了漏洞管理的核心流程,涵蓋了從識別潛在威脅到評估影響、實施修復(fù)措施,再到最終的報告與通知這四個緊密相連的階段,確保了響應(yīng)行動的系統(tǒng)性和時效性。
NIST 在漏洞治理的標準化方面做了大量工作,涵蓋了漏洞定義、分類、標準制定和披露框架等方面,例如,NIST 發(fā)布的《關(guān)鍵信息安全術(shù)語匯編》和《聯(lián)邦機構(gòu)漏洞披露指南建議》等文件。NIST 在漏洞定義、漏洞披露框架、正確處理漏洞報告以及溝通漏洞的緩解和修復(fù)等方面提出了指導(dǎo)建議。此外,NIST 還提供各種網(wǎng)絡(luò)安全資源和工具,如漏洞掃描工具,幫助政府機構(gòu)、企業(yè)、個人評估和改進網(wǎng)絡(luò)安全措施。
近年來,美國在網(wǎng)絡(luò)安全治理上采取了雙軌策略。一方面,通過加強出口管控,嚴格限制敏感網(wǎng)絡(luò)安全技術(shù)的海外流動,以維護國家安全利益。例如,2022 年,美國商務(wù)部工業(yè)與安全局(BIS)對《出口管理條例》中的網(wǎng)絡(luò)安全條款進行了修訂,對出口到某些國家的網(wǎng)絡(luò)安全相關(guān)技術(shù)產(chǎn)品施加了新的限制,特別是涉及網(wǎng)絡(luò)漏洞的相關(guān)技術(shù)。另一方面,面對內(nèi)部挑戰(zhàn),如 NVD 的運營壓力,美國政府正在尋求解決方案,同時在關(guān)鍵基礎(chǔ)設(shè)施保護上加大投入,強化公私合作機制,以全面提升國家的網(wǎng)絡(luò)韌性與安全防護水平。例如,2024 年,美國國防部網(wǎng)絡(luò)犯罪中心(DC3)宣布與美國國防反情報和安全局(DCSA)合作,建立國防工業(yè)基地的漏洞披露運營計劃(DIB-VDP)。該計劃旨在提高國防工業(yè)基地(DIB)的漏洞披露能力。此計劃強調(diào)了公私合作在增強國家安全中的重要性,通過利用民間專家的力量來加強國防供應(yīng)鏈的安全。這些舉措體現(xiàn)了美國面對國際安全環(huán)境變化及國內(nèi)漏洞治理挑戰(zhàn)所采取的一系列應(yīng)對措施。
歐盟漏洞治理體系的特點在于各成員國之間的協(xié)調(diào)合作。自 2008 年啟動的歐盟“安全漏洞庫服務(wù)”(SVRS)倡議,標志著歐盟在構(gòu)建集中化信息安全漏洞管理體系方面邁出了關(guān)鍵一步,其目標是深化成員國間的協(xié)同作用與信息共享。這一舉措旨在通過一個統(tǒng)一的平臺,提升對網(wǎng)絡(luò)與信息安全漏洞的追蹤、分析和應(yīng)對能力,確保歐盟及其成員國能夠迅速應(yīng)對新興的網(wǎng)絡(luò)威脅,保護關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)免受攻擊。
2022 年,歐洲網(wǎng)絡(luò)及信息安全局發(fā)布的《歐盟協(xié)調(diào)漏洞披露政策》表明成員國間在協(xié)同漏洞披露操作、術(shù)語界定及評估標準上存在的異質(zhì)性。這些差異成為合作進程中的障礙,影響了政策實施的一致性和效率。在同一年,歐盟出臺了《關(guān)于歐盟全境網(wǎng)絡(luò)安全措施的高度統(tǒng)一指令》(第 2022/2555 號),該指令規(guī)定成員國采用統(tǒng)一的 CVD 政策,并指導(dǎo)建立共享漏洞數(shù)據(jù)庫,以促進跨國界數(shù)據(jù)共享,從而加強合作和提高響應(yīng)速度。
鑒于成員國需將此指令轉(zhuǎn)化為國內(nèi)法的實際可行性,歐盟采取了靈活的監(jiān)管策略,僅制定了最低限度的框架規(guī)則,旨在促進成員國間協(xié)調(diào)一致的同時,也為各國提供了根據(jù)其國情進行調(diào)整的空間,力求在多樣性中尋求共識。歐盟在網(wǎng)絡(luò)安全政策上持續(xù)發(fā)展,加強了歐盟各國漏洞協(xié)同治理能力。
二、對推動我國漏洞治理體系創(chuàng)新的建議
我國在漏洞治理體系的構(gòu)建上已經(jīng)奠定了堅實的基礎(chǔ),并形成了一套較為完備的框架體系。展望未來,對外,應(yīng)積極參與并引領(lǐng)漏洞治理相關(guān)標準建設(shè),構(gòu)建一個國家共享互信的漏洞治理共同體;對內(nèi),應(yīng)從法律制度、技術(shù)創(chuàng)新、人才培養(yǎng)等多個維度著手,推動漏洞治理體系的根基、框架和內(nèi)容實現(xiàn)創(chuàng)新發(fā)展。
(一)建設(shè)國家共享互信的漏洞治理共同體
一是參與國際標準與協(xié)議共建。在網(wǎng)絡(luò)安全漏洞治理方面,我國已經(jīng)積累了豐富的經(jīng)驗,并具備參與國際標準化機構(gòu)工作的能力。我們應(yīng)積極參與相關(guān)討論、主動提交提案,推動建立統(tǒng)一的漏洞分類、評估、報告和響應(yīng)標準框架。
二是強化跨境信息共享與技術(shù)合作。我們應(yīng)深化與主要國家和國際組織的合作,共同構(gòu)建或優(yōu)化跨境漏洞信息共享平臺,確保在遵循保護協(xié)議的前提下,實現(xiàn)漏洞情報的及時、高效共享。
三是漏洞治理能力援助與建設(shè)。我們可以通過多邊或雙邊的國際援助項目,在漏洞治理方面向發(fā)展中國家或地區(qū)提供資金和技術(shù)支持,如漏洞挖掘、評估等。這種支持有助于這些國家和地區(qū)建立并加強其本地的漏洞管理體系,包括提供漏洞管理軟件工具、培訓(xùn)當?shù)丶夹g(shù)人員、建立應(yīng)急響應(yīng)機制等,增進國與國之間的信任與合作,從而促進網(wǎng)絡(luò)空間命運共同體的構(gòu)建。
四是出口管制的審慎管理。對于漏洞管理、漏洞挖掘技術(shù)及其相關(guān)工具的出口,我們應(yīng)實行更為審慎的管制政策。同時,建立國際協(xié)調(diào)機制,與合作國家共同審查和規(guī)范相關(guān)技術(shù)的出口,以確保全球網(wǎng)絡(luò)空間的穩(wěn)定與安全。
(二)推進漏洞治理體系基石、框架、內(nèi)容創(chuàng)新發(fā)展
一是完善漏洞管理法律和標準,強化漏洞治理體系基石。我們需要制定明確的法律法規(guī)和標準規(guī)范,從而規(guī)范漏洞挖掘與報告行為,并強化公私合作,鼓勵安全研究者積極參與特定領(lǐng)域的漏洞發(fā)現(xiàn)活動。通過提供法律保護、獎勵機制和透明的披露流程,確保安全研究者能夠在不觸犯法律的前提下,為提升網(wǎng)絡(luò)安全貢獻力量。此舉既能維護互聯(lián)網(wǎng)安全的前沿防線,又能促進技術(shù)創(chuàng)新與信息安全行業(yè)的健康發(fā)展,從而營造一個正向循環(huán)的漏洞治理環(huán)境。
二是深化改革漏洞治理框架,引導(dǎo)專項領(lǐng)域漏洞精細化治理。針對關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)以及新興技術(shù)領(lǐng)域,如電力網(wǎng)、金融系統(tǒng)、智能城市設(shè)施、醫(yī)療健康 IT 系統(tǒng)等,作為專項漏洞懸賞的重點對象。政府和相關(guān)行業(yè)應(yīng)共同出資,設(shè)立專項漏洞懸賞基金,為那些研發(fā)工具、報告領(lǐng)域內(nèi)高危漏洞的研究人員提供豐厚的獎勵。還應(yīng)定期組織專項懸賞活動,并根據(jù)網(wǎng)絡(luò)安全態(tài)勢發(fā)展,靈活增設(shè)特別懸賞,以應(yīng)對新出現(xiàn)的重大威脅或特定的技術(shù)挑戰(zhàn)。
三是積極推動漏洞管理方法全鏈條創(chuàng)新發(fā)展。聚焦于智能化等新技術(shù)的應(yīng)用,重塑從漏洞發(fā)現(xiàn)到評估的整個流程,以提升漏洞管理的效率和精準度。革新漏洞評估標準,以適應(yīng)不斷變化的威脅景觀,并建立一個更加動態(tài)、全面的評估體系。這個體系不僅會考慮漏洞的技術(shù)細節(jié),還會納入業(yè)務(wù)影響、攻擊可能性、資產(chǎn)價值等多維度因素,形成更為科學(xué)合理的風(fēng)險評分機制,助力優(yōu)先排序漏洞修復(fù)工作,確保有限資源得到最高效的配置。
四是構(gòu)建多層次人才培養(yǎng)。漏洞治理體系中,人才培養(yǎng)是至關(guān)重要的基礎(chǔ)環(huán)節(jié)。我們應(yīng)重視網(wǎng)絡(luò)安全人才的培養(yǎng),并在基礎(chǔ)教育、職業(yè)教育和在職培訓(xùn)等各個階段設(shè)置專門的網(wǎng)絡(luò)安全課程和實踐環(huán)節(jié),內(nèi)容涵蓋漏洞管理的理論與實操技能。此外,在基礎(chǔ)教育階段應(yīng)融入網(wǎng)絡(luò)漏洞相關(guān)知識,以提升全民的漏洞安全意識,并為專業(yè)人才的早期發(fā)現(xiàn)和培養(yǎng)奠定基礎(chǔ)。
三、結(jié) 語
國內(nèi)外在網(wǎng)絡(luò)漏洞治理方面的探索與實踐,展現(xiàn)了一個從無到有、由點及面的體系建設(shè)過程,以及在復(fù)雜多變的國際環(huán)境中不斷適應(yīng)與進化的策略調(diào)整。面向未來,我國應(yīng)當繼續(xù)加強國際交流與合作,積極參與國際標準的制定,構(gòu)建跨國界的漏洞治理共同體,并審慎管理技術(shù)出口,以維護全球網(wǎng)絡(luò)空間的穩(wěn)定。在國內(nèi)層面,應(yīng)不斷完善法律法規(guī),優(yōu)化治理體系,推動技術(shù)創(chuàng)新,注重人才培養(yǎng)。漏洞治理是一項長期而系統(tǒng)的工程,需要不斷適應(yīng)技術(shù)進步與安全挑戰(zhàn)的變化。我們應(yīng)堅持法治引領(lǐng)、創(chuàng)新驅(qū)動、協(xié)同合作的原則,攜手構(gòu)筑更加牢固的網(wǎng)絡(luò)防線。
(本文刊登于《中國信息安全》雜志2024年第5期)