精华观点  软件安全开发·漏洞治理

漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要技术手段来发现和修复漏洞,还需要完善的管理体系、明确的政策指导和严格的法律法规来共同构建。


以下为正文

网络空间作为 21 世纪国家主权的新疆域,其战略意义与日俱增。漏洞治理是构筑网络安全基石的关键环节,它不仅承载着捍卫国家网络主权的重任,也是维护数字领土完整与安全的核心策略。漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要技术手段来发现和修复漏洞,还需要完善的管理体系、明确的政策指导和严格的法律法规来共同构建。

一、国内外漏洞治理现状

随着互联网技术的飞速发展和全球信息化进程的持续深化,网络安全已经成为维护国家安全、社会稳定及经济发展的关键环节。在网络空间安全治理,尤其是漏洞管理体系的建设方面,国内外展现了不同的发展路径和战略重点。

(一)国内漏洞治理体系建设稳步发展

我国从政策法规、漏洞治理机制、漏洞管理流程等多个方面构建了漏洞治理体系。

在法律法规层面,我国出台了《网络安全法》,为漏洞管理提供了法律基础。同时,发布了《网络产品安全漏洞管理规定》《信息安全技术—网络安全漏洞管理规范》等一系列规定和标准。这些文件不仅明确了网络产品安全漏洞从发现、报告、修复到发布的整套流程,还确立了管理各阶段的具体操作流程、规范要求及验证方法,为业界提供了详尽的操作指南和严谨的技术标准。

在漏洞治理机制方面,我国已建立以国家信息安全漏洞库(CNNVD)为代表的多个网络产品安全漏洞收集平台,有效集成了漏洞信息的收集、储存与共享功能,显著提升了漏洞识别和应对的效率。通过实施协同漏洞披露机制(CVD),鼓励社会各界积极参与漏洞发现与上报,确保了漏洞信息的快速流通与妥善处理。

在漏洞管理方面,我国已经构建起一套完善的流程体系,该体系涵盖了漏洞发现与报告、验证与评估、处置与修复,以及修复后漏洞发布与跟踪监控。这套流程鼓励安全专家在遵守法律法规的前提下,利用漏洞扫描、渗透测试等技术手段主动发现漏洞,并迅速通报给相应机构。一旦国家权威部门接到报告,他们将迅速对漏洞进行验证评估,判定其潜在危害和影响范围,据此制定并实施有效的修复策略,以确保漏洞能够被迅速且彻底地解决。最后,修复情况将被公开发布并持续追踪,以保持漏洞信息的时效性与透明度。

目前,以法律法规和标准规范为基础,以漏洞治理机制为框架,以漏洞管理为内容,我国已经建立了较为完善的网络漏洞治理体系。

(二)欧美漏洞治理体系的借鉴

美国在网络安全漏洞治理方面具有先发优势,已经建立了完善的漏洞治理框架和相关法律法规。特别是在公私合作方面,这种合作模式被视为美国网络安全防御体系的重要组成部分。

美国政府早期通过通用漏洞披露(CommonVulnerabilities & Exposures,CVE)和国家漏洞库(National Vulnerability Database,NVD)构建了漏洞治理的顶层架构设计。通过一系列立法和政策,如《公私网络安全合作法案》,鼓励公私部门之间在网络安全信息共享、漏洞管理方面展开合作。美国网络安全和基础设施安全局(CISA)、美国国家标准与技术研究院(NIST)等机构在漏洞治理体系建设方面发挥了核心作用。

CISA 制定了全面的漏洞管理框架,指导各机构遵循标准化流程处理漏洞。例如,2021 年,CISA 发布了《网络安全事件和漏洞响应手册》,该手册精炼地概述了漏洞管理的核心流程,涵盖了从识别潜在威胁到评估影响、实施修复措施,再到最终的报告与通知这四个紧密相连的阶段,确保了响应行动的系统性和时效性。

NIST 在漏洞治理的标准化方面做了大量工作,涵盖了漏洞定义、分类、标准制定和披露框架等方面,例如,NIST 发布的《关键信息安全术语汇编》和《联邦机构漏洞披露指南建议》等文件。NIST 在漏洞定义、漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和修复等方面提出了指导建议。此外,NIST 还提供各种网络安全资源和工具,如漏洞扫描工具,帮助政府机构、企业、个人评估和改进网络安全措施。

近年来,美国在网络安全治理上采取了双轨策略。一方面,通过加强出口管控,严格限制敏感网络安全技术的海外流动,以维护国家安全利益。例如,2022 年,美国商务部工业与安全局(BIS)对《出口管理条例》中的网络安全条款进行了修订,对出口到某些国家的网络安全相关技术产品施加了新的限制,特别是涉及网络漏洞的相关技术。另一方面,面对内部挑战,如 NVD 的运营压力,美国政府正在寻求解决方案,同时在关键基础设施保护上加大投入,强化公私合作机制,以全面提升国家的网络韧性与安全防护水平。例如,2024 年,美国国防部网络犯罪中心(DC3)宣布与美国国防反情报和安全局(DCSA)合作,建立国防工业基地的漏洞披露运营计划(DIB-VDP)。该计划旨在提高国防工业基地(DIB)的漏洞披露能力。此计划强调了公私合作在增强国家安全中的重要性,通过利用民间专家的力量来加强国防供应链的安全。这些举措体现了美国面对国际安全环境变化及国内漏洞治理挑战所采取的一系列应对措施。

欧盟漏洞治理体系的特点在于各成员国之间的协调合作。自 2008 年启动的欧盟“安全漏洞库服务”(SVRS)倡议,标志着欧盟在构建集中化信息安全漏洞管理体系方面迈出了关键一步,其目标是深化成员国间的协同作用与信息共享。这一举措旨在通过一个统一的平台,提升对网络与信息安全漏洞的追踪、分析和应对能力,确保欧盟及其成员国能够迅速应对新兴的网络威胁,保护关键基础设施和信息系统免受攻击

2022 年,欧洲网络及信息安全局发布的《欧盟协调漏洞披露政策》表明成员国间在协同漏洞披露操作、术语界定及评估标准上存在的异质性。这些差异成为合作进程中的障碍,影响了政策实施的一致性和效率。在同一年,欧盟出台了《关于欧盟全境网络安全措施的高度统一指令》(第 2022/2555 号),该指令规定成员国采用统一的 CVD 政策,并指导建立共享漏洞数据库,以促进跨国界数据共享,从而加强合作和提高响应速度。

鉴于成员国需将此指令转化为国内法的实际可行性,欧盟采取了灵活的监管策略,仅制定了最低限度的框架规则,旨在促进成员国间协调一致的同时,也为各国提供了根据其国情进行调整的空间,力求在多样性中寻求共识。欧盟在网络安全政策上持续发展,加强了欧盟各国漏洞协同治理能力。

二、对推动我国漏洞治理体系创新的建议

我国在漏洞治理体系的构建上已经奠定了坚实的基础,并形成了一套较为完备的框架体系。展望未来,对外,应积极参与并引领漏洞治理相关标准建设,构建一个国家共享互信的漏洞治理共同体;对内,应从法律制度、技术创新、人才培养等多个维度着手,推动漏洞治理体系的根基、框架和内容实现创新发展。

(一)建设国家共享互信的漏洞治理共同体

一是参与国际标准与协议共建。在网络安全漏洞治理方面,我国已经积累了丰富的经验,并具备参与国际标准化机构工作的能力。我们应积极参与相关讨论、主动提交提案,推动建立统一的漏洞分类、评估、报告和响应标准框架。

二是强化跨境信息共享与技术合作。我们应深化与主要国家和国际组织的合作,共同构建或优化跨境漏洞信息共享平台,确保在遵循保护协议的前提下,实现漏洞情报的及时、高效共享。

三是漏洞治理能力援助与建设。我们可以通过多边或双边的国际援助项目,在漏洞治理方面向发展中国家或地区提供资金和技术支持,如漏洞挖掘、评估等。这种支持有助于这些国家和地区建立并加强其本地的漏洞管理体系,包括提供漏洞管理软件工具、培训当地技术人员、建立应急响应机制等,增进国与国之间的信任与合作,从而促进网络空间命运共同体的构建。

四是出口管制的审慎管理。对于漏洞管理、漏洞挖掘技术及其相关工具的出口,我们应实行更为审慎的管制政策。同时,建立国际协调机制,与合作国家共同审查和规范相关技术的出口,以确保全球网络空间的稳定与安全。

(二)推进漏洞治理体系基石、框架、内容创新发展

一是完善漏洞管理法律和标准,强化漏洞治理体系基石。我们需要制定明确的法律法规和标准规范,从而规范漏洞挖掘与报告行为,并强化公私合作,鼓励安全研究者积极参与特定领域的漏洞发现活动。通过提供法律保护、奖励机制和透明的披露流程,确保安全研究者能够在不触犯法律的前提下,为提升网络安全贡献力量。此举既能维护互联网安全的前沿防线,又能促进技术创新与信息安全行业的健康发展,从而营造一个正向循环的漏洞治理环境。

二是深化改革漏洞治理框架,引导专项领域漏洞精细化治理。针对关键信息基础设施、重要信息系统以及新兴技术领域,如电力网、金融系统、智能城市设施、医疗健康 IT 系统等,作为专项漏洞悬赏的重点对象。政府和相关行业应共同出资,设立专项漏洞悬赏基金,为那些研发工具、报告领域内高危漏洞的研究人员提供丰厚的奖励。还应定期组织专项悬赏活动,并根据网络安全态势发展,灵活增设特别悬赏,以应对新出现的重大威胁或特定的技术挑战。

三是积极推动漏洞管理方法全链条创新发展。聚焦于智能化等新技术的应用,重塑从漏洞发现到评估的整个流程,以提升漏洞管理的效率和精准度。革新漏洞评估标准,以适应不断变化的威胁景观,并建立一个更加动态、全面的评估体系。这个体系不仅会考虑漏洞的技术细节,还会纳入业务影响、攻击可能性、资产价值等多维度因素,形成更为科学合理的风险评分机制,助力优先排序漏洞修复工作,确保有限资源得到最高效的配置。

四是构建多层次人才培养。漏洞治理体系中,人才培养是至关重要的基础环节。我们应重视网络安全人才的培养,并在基础教育、职业教育和在职培训等各个阶段设置专门的网络安全课程和实践环节,内容涵盖漏洞管理的理论与实操技能。此外,在基础教育阶段应融入网络漏洞相关知识,以提升全民的漏洞安全意识,并为专业人才的早期发现和培养奠定基础。

三、结 语

国内外在网络漏洞治理方面的探索与实践,展现了一个从无到有、由点及面的体系建设过程,以及在复杂多变的国际环境中不断适应与进化的策略调整。面向未来,我国应当继续加强国际交流与合作,积极参与国际标准的制定,构建跨国界的漏洞治理共同体,并审慎管理技术出口,以维护全球网络空间的稳定。在国内层面,应不断完善法律法规,优化治理体系,推动技术创新,注重人才培养。漏洞治理是一项长期而系统的工程,需要不断适应技术进步与安全挑战的变化。我们应坚持法治引领、创新驱动、协同合作的原则,携手构筑更加牢固的网络防线。


(本文刊登于《中国信息安全》杂志2024年第5期)