專題·漏洞治理 | 對(duì)漏洞治理體系革新發(fā)展的思考與建議
文 | 哈爾濱工業(yè)大學(xué) 張兆心 孔珂;北京郵電大學(xué) 劉欣然
網(wǎng)絡(luò)空間作為 21 世紀(jì)國(guó)家主權(quán)的新疆域,其戰(zhàn)略意義與日俱增。漏洞治理是構(gòu)筑網(wǎng)絡(luò)安全基石的關(guān)鍵環(huán)節(jié),它不僅承載著捍衛(wèi)國(guó)家網(wǎng)絡(luò)主權(quán)的重任,也是維護(hù)數(shù)字領(lǐng)土完整與安全的核心策略。漏洞治理涉及技術(shù)、管理、政策及法律等多個(gè)層面,不僅需要技術(shù)手段來發(fā)現(xiàn)和修復(fù)漏洞,還需要完善的管理體系、明確的政策指導(dǎo)和嚴(yán)格的法律法規(guī)來共同構(gòu)建。
一、國(guó)內(nèi)外漏洞治理現(xiàn)狀
隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和全球信息化進(jìn)程的持續(xù)深化,網(wǎng)絡(luò)安全已經(jīng)成為維護(hù)國(guó)家安全、社會(huì)穩(wěn)定及經(jīng)濟(jì)發(fā)展的關(guān)鍵環(huán)節(jié)。在網(wǎng)絡(luò)空間安全治理,尤其是漏洞管理體系的建設(shè)方面,國(guó)內(nèi)外展現(xiàn)了不同的發(fā)展路徑和戰(zhàn)略重點(diǎn)。
(一)國(guó)內(nèi)漏洞治理體系建設(shè)穩(wěn)步發(fā)展
我國(guó)從政策法規(guī)、漏洞治理機(jī)制、漏洞管理流程等多個(gè)方面構(gòu)建了漏洞治理體系。
在法律法規(guī)層面,我國(guó)出臺(tái)了《網(wǎng)絡(luò)安全法》,為漏洞管理提供了法律基礎(chǔ)。同時(shí),發(fā)布了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞管理規(guī)范》等一系列規(guī)定和標(biāo)準(zhǔn)。這些文件不僅明確了網(wǎng)絡(luò)產(chǎn)品安全漏洞從發(fā)現(xiàn)、報(bào)告、修復(fù)到發(fā)布的整套流程,還確立了管理各階段的具體操作流程、規(guī)范要求及驗(yàn)證方法,為業(yè)界提供了詳盡的操作指南和嚴(yán)謹(jǐn)?shù)募夹g(shù)標(biāo)準(zhǔn)。
在漏洞治理機(jī)制方面,我國(guó)已建立以國(guó)家信息安全漏洞庫(kù)(CNNVD)為代表的多個(gè)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái),有效集成了漏洞信息的收集、儲(chǔ)存與共享功能,顯著提升了漏洞識(shí)別和應(yīng)對(duì)的效率。通過實(shí)施協(xié)同漏洞披露機(jī)制(CVD),鼓勵(lì)社會(huì)各界積極參與漏洞發(fā)現(xiàn)與上報(bào),確保了漏洞信息的快速流通與妥善處理。
在漏洞管理方面,我國(guó)已經(jīng)構(gòu)建起一套完善的流程體系,該體系涵蓋了漏洞發(fā)現(xiàn)與報(bào)告、驗(yàn)證與評(píng)估、處置與修復(fù),以及修復(fù)后漏洞發(fā)布與跟蹤監(jiān)控。這套流程鼓勵(lì)安全專家在遵守法律法規(guī)的前提下,利用漏洞掃描、滲透測(cè)試等技術(shù)手段主動(dòng)發(fā)現(xiàn)漏洞,并迅速通報(bào)給相應(yīng)機(jī)構(gòu)。一旦國(guó)家權(quán)威部門接到報(bào)告,他們將迅速對(duì)漏洞進(jìn)行驗(yàn)證評(píng)估,判定其潛在危害和影響范圍,據(jù)此制定并實(shí)施有效的修復(fù)策略,以確保漏洞能夠被迅速且徹底地解決。最后,修復(fù)情況將被公開發(fā)布并持續(xù)追蹤,以保持漏洞信息的時(shí)效性與透明度。
目前,以法律法規(guī)和標(biāo)準(zhǔn)規(guī)范為基礎(chǔ),以漏洞治理機(jī)制為框架,以漏洞管理為內(nèi)容,我國(guó)已經(jīng)建立了較為完善的網(wǎng)絡(luò)漏洞治理體系。
(二)歐美漏洞治理體系的借鑒
美國(guó)在網(wǎng)絡(luò)安全漏洞治理方面具有先發(fā)優(yōu)勢(shì),已經(jīng)建立了完善的漏洞治理框架和相關(guān)法律法規(guī)。特別是在公私合作方面,這種合作模式被視為美國(guó)網(wǎng)絡(luò)安全防御體系的重要組成部分。
美國(guó)政府早期通過通用漏洞披露(CommonVulnerabilities & Exposures,CVE)和國(guó)家漏洞庫(kù)(National Vulnerability Database,NVD)構(gòu)建了漏洞治理的頂層架構(gòu)設(shè)計(jì)。通過一系列立法和政策,如《公私網(wǎng)絡(luò)安全合作法案》,鼓勵(lì)公私部門之間在網(wǎng)絡(luò)安全信息共享、漏洞管理方面展開合作。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)等機(jī)構(gòu)在漏洞治理體系建設(shè)方面發(fā)揮了核心作用。
CISA 制定了全面的漏洞管理框架,指導(dǎo)各機(jī)構(gòu)遵循標(biāo)準(zhǔn)化流程處理漏洞。例如,2021 年,CISA 發(fā)布了《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè)》,該手冊(cè)精煉地概述了漏洞管理的核心流程,涵蓋了從識(shí)別潛在威脅到評(píng)估影響、實(shí)施修復(fù)措施,再到最終的報(bào)告與通知這四個(gè)緊密相連的階段,確保了響應(yīng)行動(dòng)的系統(tǒng)性和時(shí)效性。
NIST 在漏洞治理的標(biāo)準(zhǔn)化方面做了大量工作,涵蓋了漏洞定義、分類、標(biāo)準(zhǔn)制定和披露框架等方面,例如,NIST 發(fā)布的《關(guān)鍵信息安全術(shù)語(yǔ)匯編》和《聯(lián)邦機(jī)構(gòu)漏洞披露指南建議》等文件。NIST 在漏洞定義、漏洞披露框架、正確處理漏洞報(bào)告以及溝通漏洞的緩解和修復(fù)等方面提出了指導(dǎo)建議。此外,NIST 還提供各種網(wǎng)絡(luò)安全資源和工具,如漏洞掃描工具,幫助政府機(jī)構(gòu)、企業(yè)、個(gè)人評(píng)估和改進(jìn)網(wǎng)絡(luò)安全措施。
近年來,美國(guó)在網(wǎng)絡(luò)安全治理上采取了雙軌策略。一方面,通過加強(qiáng)出口管控,嚴(yán)格限制敏感網(wǎng)絡(luò)安全技術(shù)的海外流動(dòng),以維護(hù)國(guó)家安全利益。例如,2022 年,美國(guó)商務(wù)部工業(yè)與安全局(BIS)對(duì)《出口管理?xiàng)l例》中的網(wǎng)絡(luò)安全條款進(jìn)行了修訂,對(duì)出口到某些國(guó)家的網(wǎng)絡(luò)安全相關(guān)技術(shù)產(chǎn)品施加了新的限制,特別是涉及網(wǎng)絡(luò)漏洞的相關(guān)技術(shù)。另一方面,面對(duì)內(nèi)部挑戰(zhàn),如 NVD 的運(yùn)營(yíng)壓力,美國(guó)政府正在尋求解決方案,同時(shí)在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上加大投入,強(qiáng)化公私合作機(jī)制,以全面提升國(guó)家的網(wǎng)絡(luò)韌性與安全防護(hù)水平。例如,2024 年,美國(guó)國(guó)防部網(wǎng)絡(luò)犯罪中心(DC3)宣布與美國(guó)國(guó)防反情報(bào)和安全局(DCSA)合作,建立國(guó)防工業(yè)基地的漏洞披露運(yùn)營(yíng)計(jì)劃(DIB-VDP)。該計(jì)劃旨在提高國(guó)防工業(yè)基地(DIB)的漏洞披露能力。此計(jì)劃強(qiáng)調(diào)了公私合作在增強(qiáng)國(guó)家安全中的重要性,通過利用民間專家的力量來加強(qiáng)國(guó)防供應(yīng)鏈的安全。這些舉措體現(xiàn)了美國(guó)面對(duì)國(guó)際安全環(huán)境變化及國(guó)內(nèi)漏洞治理挑戰(zhàn)所采取的一系列應(yīng)對(duì)措施。
歐盟漏洞治理體系的特點(diǎn)在于各成員國(guó)之間的協(xié)調(diào)合作。自 2008 年啟動(dòng)的歐盟“安全漏洞庫(kù)服務(wù)”(SVRS)倡議,標(biāo)志著歐盟在構(gòu)建集中化信息安全漏洞管理體系方面邁出了關(guān)鍵一步,其目標(biāo)是深化成員國(guó)間的協(xié)同作用與信息共享。這一舉措旨在通過一個(gè)統(tǒng)一的平臺(tái),提升對(duì)網(wǎng)絡(luò)與信息安全漏洞的追蹤、分析和應(yīng)對(duì)能力,確保歐盟及其成員國(guó)能夠迅速應(yīng)對(duì)新興的網(wǎng)絡(luò)威脅,保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)免受攻擊。
2022 年,歐洲網(wǎng)絡(luò)及信息安全局發(fā)布的《歐盟協(xié)調(diào)漏洞披露政策》表明成員國(guó)間在協(xié)同漏洞披露操作、術(shù)語(yǔ)界定及評(píng)估標(biāo)準(zhǔn)上存在的異質(zhì)性。這些差異成為合作進(jìn)程中的障礙,影響了政策實(shí)施的一致性和效率。在同一年,歐盟出臺(tái)了《關(guān)于歐盟全境網(wǎng)絡(luò)安全措施的高度統(tǒng)一指令》(第 2022/2555 號(hào)),該指令規(guī)定成員國(guó)采用統(tǒng)一的 CVD 政策,并指導(dǎo)建立共享漏洞數(shù)據(jù)庫(kù),以促進(jìn)跨國(guó)界數(shù)據(jù)共享,從而加強(qiáng)合作和提高響應(yīng)速度。
鑒于成員國(guó)需將此指令轉(zhuǎn)化為國(guó)內(nèi)法的實(shí)際可行性,歐盟采取了靈活的監(jiān)管策略,僅制定了最低限度的框架規(guī)則,旨在促進(jìn)成員國(guó)間協(xié)調(diào)一致的同時(shí),也為各國(guó)提供了根據(jù)其國(guó)情進(jìn)行調(diào)整的空間,力求在多樣性中尋求共識(shí)。歐盟在網(wǎng)絡(luò)安全政策上持續(xù)發(fā)展,加強(qiáng)了歐盟各國(guó)漏洞協(xié)同治理能力。
二、對(duì)推動(dòng)我國(guó)漏洞治理體系創(chuàng)新的建議
我國(guó)在漏洞治理體系的構(gòu)建上已經(jīng)奠定了堅(jiān)實(shí)的基礎(chǔ),并形成了一套較為完備的框架體系。展望未來,對(duì)外,應(yīng)積極參與并引領(lǐng)漏洞治理相關(guān)標(biāo)準(zhǔn)建設(shè),構(gòu)建一個(gè)國(guó)家共享互信的漏洞治理共同體;對(duì)內(nèi),應(yīng)從法律制度、技術(shù)創(chuàng)新、人才培養(yǎng)等多個(gè)維度著手,推動(dòng)漏洞治理體系的根基、框架和內(nèi)容實(shí)現(xiàn)創(chuàng)新發(fā)展。
(一)建設(shè)國(guó)家共享互信的漏洞治理共同體
一是參與國(guó)際標(biāo)準(zhǔn)與協(xié)議共建。在網(wǎng)絡(luò)安全漏洞治理方面,我國(guó)已經(jīng)積累了豐富的經(jīng)驗(yàn),并具備參與國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)工作的能力。我們應(yīng)積極參與相關(guān)討論、主動(dòng)提交提案,推動(dòng)建立統(tǒng)一的漏洞分類、評(píng)估、報(bào)告和響應(yīng)標(biāo)準(zhǔn)框架。
二是強(qiáng)化跨境信息共享與技術(shù)合作。我們應(yīng)深化與主要國(guó)家和國(guó)際組織的合作,共同構(gòu)建或優(yōu)化跨境漏洞信息共享平臺(tái),確保在遵循保護(hù)協(xié)議的前提下,實(shí)現(xiàn)漏洞情報(bào)的及時(shí)、高效共享。
三是漏洞治理能力援助與建設(shè)。我們可以通過多邊或雙邊的國(guó)際援助項(xiàng)目,在漏洞治理方面向發(fā)展中國(guó)家或地區(qū)提供資金和技術(shù)支持,如漏洞挖掘、評(píng)估等。這種支持有助于這些國(guó)家和地區(qū)建立并加強(qiáng)其本地的漏洞管理體系,包括提供漏洞管理軟件工具、培訓(xùn)當(dāng)?shù)丶夹g(shù)人員、建立應(yīng)急響應(yīng)機(jī)制等,增進(jìn)國(guó)與國(guó)之間的信任與合作,從而促進(jìn)網(wǎng)絡(luò)空間命運(yùn)共同體的構(gòu)建。
四是出口管制的審慎管理。對(duì)于漏洞管理、漏洞挖掘技術(shù)及其相關(guān)工具的出口,我們應(yīng)實(shí)行更為審慎的管制政策。同時(shí),建立國(guó)際協(xié)調(diào)機(jī)制,與合作國(guó)家共同審查和規(guī)范相關(guān)技術(shù)的出口,以確保全球網(wǎng)絡(luò)空間的穩(wěn)定與安全。
(二)推進(jìn)漏洞治理體系基石、框架、內(nèi)容創(chuàng)新發(fā)展
一是完善漏洞管理法律和標(biāo)準(zhǔn),強(qiáng)化漏洞治理體系基石。我們需要制定明確的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,從而規(guī)范漏洞挖掘與報(bào)告行為,并強(qiáng)化公私合作,鼓勵(lì)安全研究者積極參與特定領(lǐng)域的漏洞發(fā)現(xiàn)活動(dòng)。通過提供法律保護(hù)、獎(jiǎng)勵(lì)機(jī)制和透明的披露流程,確保安全研究者能夠在不觸犯法律的前提下,為提升網(wǎng)絡(luò)安全貢獻(xiàn)力量。此舉既能維護(hù)互聯(lián)網(wǎng)安全的前沿防線,又能促進(jìn)技術(shù)創(chuàng)新與信息安全行業(yè)的健康發(fā)展,從而營(yíng)造一個(gè)正向循環(huán)的漏洞治理環(huán)境。
二是深化改革漏洞治理框架,引導(dǎo)專項(xiàng)領(lǐng)域漏洞精細(xì)化治理。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)以及新興技術(shù)領(lǐng)域,如電力網(wǎng)、金融系統(tǒng)、智能城市設(shè)施、醫(yī)療健康 IT 系統(tǒng)等,作為專項(xiàng)漏洞懸賞的重點(diǎn)對(duì)象。政府和相關(guān)行業(yè)應(yīng)共同出資,設(shè)立專項(xiàng)漏洞懸賞基金,為那些研發(fā)工具、報(bào)告領(lǐng)域內(nèi)高危漏洞的研究人員提供豐厚的獎(jiǎng)勵(lì)。還應(yīng)定期組織專項(xiàng)懸賞活動(dòng),并根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展,靈活增設(shè)特別懸賞,以應(yīng)對(duì)新出現(xiàn)的重大威脅或特定的技術(shù)挑戰(zhàn)。
三是積極推動(dòng)漏洞管理方法全鏈條創(chuàng)新發(fā)展。聚焦于智能化等新技術(shù)的應(yīng)用,重塑從漏洞發(fā)現(xiàn)到評(píng)估的整個(gè)流程,以提升漏洞管理的效率和精準(zhǔn)度。革新漏洞評(píng)估標(biāo)準(zhǔn),以適應(yīng)不斷變化的威脅景觀,并建立一個(gè)更加動(dòng)態(tài)、全面的評(píng)估體系。這個(gè)體系不僅會(huì)考慮漏洞的技術(shù)細(xì)節(jié),還會(huì)納入業(yè)務(wù)影響、攻擊可能性、資產(chǎn)價(jià)值等多維度因素,形成更為科學(xué)合理的風(fēng)險(xiǎn)評(píng)分機(jī)制,助力優(yōu)先排序漏洞修復(fù)工作,確保有限資源得到最高效的配置。
四是構(gòu)建多層次人才培養(yǎng)。漏洞治理體系中,人才培養(yǎng)是至關(guān)重要的基礎(chǔ)環(huán)節(jié)。我們應(yīng)重視網(wǎng)絡(luò)安全人才的培養(yǎng),并在基礎(chǔ)教育、職業(yè)教育和在職培訓(xùn)等各個(gè)階段設(shè)置專門的網(wǎng)絡(luò)安全課程和實(shí)踐環(huán)節(jié),內(nèi)容涵蓋漏洞管理的理論與實(shí)操技能。此外,在基礎(chǔ)教育階段應(yīng)融入網(wǎng)絡(luò)漏洞相關(guān)知識(shí),以提升全民的漏洞安全意識(shí),并為專業(yè)人才的早期發(fā)現(xiàn)和培養(yǎng)奠定基礎(chǔ)。
三、結(jié) 語(yǔ)
國(guó)內(nèi)外在網(wǎng)絡(luò)漏洞治理方面的探索與實(shí)踐,展現(xiàn)了一個(gè)從無到有、由點(diǎn)及面的體系建設(shè)過程,以及在復(fù)雜多變的國(guó)際環(huán)境中不斷適應(yīng)與進(jìn)化的策略調(diào)整。面向未來,我國(guó)應(yīng)當(dāng)繼續(xù)加強(qiáng)國(guó)際交流與合作,積極參與國(guó)際標(biāo)準(zhǔn)的制定,構(gòu)建跨國(guó)界的漏洞治理共同體,并審慎管理技術(shù)出口,以維護(hù)全球網(wǎng)絡(luò)空間的穩(wěn)定。在國(guó)內(nèi)層面,應(yīng)不斷完善法律法規(guī),優(yōu)化治理體系,推動(dòng)技術(shù)創(chuàng)新,注重人才培養(yǎng)。漏洞治理是一項(xiàng)長(zhǎng)期而系統(tǒng)的工程,需要不斷適應(yīng)技術(shù)進(jìn)步與安全挑戰(zhàn)的變化。我們應(yīng)堅(jiān)持法治引領(lǐng)、創(chuàng)新驅(qū)動(dòng)、協(xié)同合作的原則,攜手構(gòu)筑更加牢固的網(wǎng)絡(luò)防線。
(本文刊登于《中國(guó)信息安全》雜志2024年第5期)