基于小布什和奥巴马政府时期的探索和实践,特朗普政府发布新的《漏洞公平裁决政策和程序》以明晰联邦政府如何披露网络安全漏洞,主要内容体现在细化漏洞裁决程序,公开裁决考量因素,扩大“多利益攸关方”参与,并保留更多例外情形,努力提高透明度和增强问责制。《漏洞公平裁决政策和程序》在一定程度上完善了美国的漏洞管理体制,对我漏洞管理机制建设以及能力提升也具有重要借鉴意义。
一、 “漏洞公平裁决程序”由“秘密”转为“公开”的历程
“漏洞公平裁决程序”(Vulnerabilities Equities Process,VEP)实质上是美国政府针对信息安全漏洞,由多部门协调处理的一套行政过程,目标是在决定披露或者保留漏洞时,能平衡“情报收集”、“调查事项”和“信息安全保障”三方面的影响,做出“对整体利益最好的决策”,主要规制对象是“新发现且未公开”的漏洞。
1. 兴起于小布什时代提出的联合计划
漏洞公平裁决流程最早可追溯至美国前总统小布什在2008年1月签发的第54号国家安全政策指令和第23号国土安全总统指令,提出了“综合国家网络安全倡议”,其中要求制定一项“协调进攻性能力的联合计划”,以保护美国信息系统。该计划提出建立“漏洞公平裁决流程”以机制化和系统化美国政府对零日漏洞的处理。
2. 形成于奥巴马任职初期的工作组报告
为响应“综合国家网络安全倡议”,国家情报总监办公室专门设立工作组,在2008年至2009年间研究探讨漏洞公平裁决流程的制定。2010年2月该工作组最终制定完成《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》(即旧版“漏洞公平裁决程序”章程),规定了漏洞裁决的通知、决策和上诉的程序,漏洞公平裁决程序初具雏形,成为奥巴马政府内部管控漏洞的重要依据。
3. 公开于“心脏出血”漏洞后的舆论压力
2014年4月,媒体报道美国国家安全局两年前已知晓“心脏出血”漏洞,并且定期利用该漏洞获取重要情报,引发公众和舆论对美国政府漏洞管理的质疑。时任白宫网络安全协调员迈克尔•丹尼尔专门撰文回应,但并未平息舆论的指责。2014年5月,电子前沿基金会凭借《信息自由法案》成功推动美国政府公开“漏洞公平裁决程序”章程。2014年11月,美国政府公布第一批经过脱密处理的“漏洞公平裁决程序”章程,并在2015年、2016年再次公布相关文件。
4. 完善于各界的争论和推动
美国各界在2014年后为提高漏洞裁决流程的有效性纷纷建言献策,形成以下共识:一是推动法律保障,提高“漏洞公平裁决程序”章程的权威性;二是公开详细的标准,提高“漏洞公平裁决程序”章程的可操作性;三是制定定期审查制度,确保对“漏洞公平裁决程序”章程的监督。在此背景下,特朗普政府启动“漏洞公平裁决程序”章程落地实施。
二、 新版《漏洞公平裁决政策和程序》的内容与特点
新版《漏洞公平裁决政策和程序》主要包括目的、背景、范围、参与主体、程序和附件六部分,在程序透明、考量要素、参与主体等方面均进行了改进:
1. 细化裁决程序,增强政策操作性
新版《漏洞公平裁决政策和程序》规定了六步裁决程序:第一,提交:相关机构确认并提交满足要求的漏洞,并给出通报或保留的建议。第二,通知:漏洞裁决程序执行秘书处会在1个工作日内通知所有的漏洞公平裁决程序的联系人。第三,公平性研讨:受影响的机构必须在5个工作日内对其是否同意公布或保留给出反馈,若在裁决上未达成共识,可在7个工作日内进行公平性研讨。第四,裁决:在与相关机构进行充分咨询之后,同时在保障美国政府对网络安全、情报、反情报、执法、军事行动以及关键基础设施保护等职能需求上,作出公布或保留的裁决。第五,处置手段和后续行为:如果选择披露漏洞,漏洞的提交机构有责任将漏洞相关信息通报厂商,并在7个工作日内尽可能地扩散相关信息;如果保留漏洞信息不予公布,公平裁决委员会每年都会对提交漏洞进行重新评估,直到漏洞可以通报或通过其他的手段被消控。第六,对初步判决进行申辩:申请公平裁决的相关部门和机构可以通过国家安全委员会相关途径上诉,申请重新考虑裁决。
2. 公开裁决考量因素,提高政策透明度
根据新版《漏洞裁决政策和程序》,漏洞裁决程序的关键优先项在于提高其透明性,因此首次公开了漏洞裁决的四大考虑要素:(1)国家防御方面考量。一是威胁因素,包括漏洞产品使用位置、使用范围、受影响的产品范围、被潜在威胁者利用的可能性等;二是安全漏洞分析,包括威胁者利用漏洞的可能性、威胁者发现或获取该漏洞的可能性等;三是影响力分析,包括用户对产品安全性的依赖程度、漏洞的严重程度、威胁者对其加以利用可能引发的后果,用户抵消攻击者利用漏洞造成危害的可能性;四是缓解因素,包括通过配置消除软件漏洞的可能性、现有最佳实践或标准配置减弱漏洞影响的可能性、供应商开发补丁对降低漏洞威胁的影响。(2)情报、执法、网络行动方面考量。一方面是价值因素,包括漏洞被利用来支持情报收集、网络行动以及执法证据收集的可能性;另一方面是行动影响因素,包括利用漏洞打击网络空间威胁者、应对国家级的情报获取或军事打击提供价值的可能性、披露该漏洞对暴露情报来源和方法的影响等。(3)商业方面考量。主要包括对披露漏洞给商业机构带来风险的评估。(4)国际关系考量。主要包括对披露漏洞给美国的国际关系带来风险的评估。
3. 扩大“多利益攸关方”参与,落实政策问责制
新版《漏洞公平裁决政策和程序》要求设立“公平裁决委员会”,负责机构间的审议与裁决,并举行每月例会。文件还规定漏洞裁决程序的负责人将由总统的网络安全助理担任,执行秘书处设在美国国家安全局,主要负责确保信息共享、组织讨论、记录流程等。对于未披露漏洞的信息,公平裁决委员会每年还要进行重新评估并提交年度报告,同时负责向供应商提供消控措施。
4. 保留更多例外情形,确保政策实施灵活性
新版《漏洞公平裁决政策和程序》在原有漏洞基础上再次扩大了例外情况,规定美国政府公布或限制漏洞信息的决定会受到“合作协定”和“敏感行动”的制约,此部分漏洞由最初发现的机构通过内部渠道直接报告裁决委员会主席。此外,安全研究人员自行确认的漏洞以及在安全事件响应中计划公布的漏洞信息也不受漏洞裁决程序限定。
三、新版《漏洞公平裁决政策和程序》的前景与影响
1. 回应漏洞操控指责,营造有利的舆论环境
2013年斯诺登事件揭示了美国政府利用本质上是漏洞的“后门”在全球网络空间从事情报搜集和秘密窃取的做法;2014年的“心脏出血”漏洞将美国“知情不报”的行为推上舆论的漩涡;2017年勒索病毒“WannaCry”席卷全球则让美国利用漏洞囤积网络武器的行为备受质疑。美国共和党参议员罗恩•约翰逊和民主党参议员布莱恩•夏兹于今年5月提出“保护我们的反黑客能力”议案。对此,特朗普政府加快完善《漏洞公平裁决政策和程序》,并在文件中直接表明美国政府在漏洞裁决中倾向于“公开披露”。
2. 完善漏洞管控体系,固化领先优势
斯诺登事件导致全球漏洞研究、分析和应用进入新阶段:大多数国家实体、以互联网公司为代表的信息产业企业、私营企业主导的漏洞库,都高度重视漏洞的搜集、研究和防御。新版《漏洞公平裁决政策和程序》实质上是特朗普政府延续过往实践,谋求通过技术手段规范漏洞管控,保障美国在网络空间的领先优势。
3. 谋求漏洞获取合法化,便利执法与情报活动
2015年2月,美国国家安全局局长迈克尔•罗杰斯曾指出,应该有“一种合法框架”迫使苹果和谷歌等公司在他们的信息产品中留下“前门”,即预先在信息产品中设置可绕过安全控制而获得对程序或者系统访问权的接口,以方便政府调查犯罪或威胁国家安全的问题。 2015年底苹果与美国联邦调查局关于解密加密手机的争端,加剧了执法机构是否可利用加密数字产品“后门”讨论的白热化。《漏洞裁决政策和程序》正是美国政府谋求情报与执法机构利用漏洞合法化的产物,为后续发展更加完备的漏洞管控体系做准备。
4. 固化漏洞管理中政府的主导作用,推动VEP成为国际规则
虽然仍存质疑,但是目前各界观察者普遍认为新版《漏洞公平裁决政策和程序》的发展方向总体向好,特别是对美国政府在管理漏洞中的主导作用表示认可。值得注意的是,美国政府将新版《漏洞公平裁决政策和程序》看作是建立面向全球的漏洞管理规程的重要一步,并呼吁其他国家像美国一样建设自己的VEP机制,美国推动VEP程序成为国际网络规则的意愿进一步凸显。
四、启示与建议
我国漏洞分析工作积累了一定的经验和方法,但是还有待突破和创新:一是法规缺失;二是标准滞后;三是管理不足。因此,亟需从国家层面统一管控好漏洞这一极其敏感又关键的安全资源。
1. 加强漏洞管理机制建设
目前,我国漏洞管理工作已有相关的制度安排与基础投入,《网络安全法》也对漏洞工作作出相关规定,因此当务之急是要进一步发挥职能部门的作用,充分发挥已建成的国家级漏洞库作用,整合各方漏洞信息,进行直接管理、统一管控,提升国家整体的网络安全态势感知能力。
2. 加快漏洞研究能力建设
我国目前的漏洞研究和搜集体系已初具规模,但在高危漏洞挖掘与收集、漏洞利用与开发等方面与发达国家存在差距,需继续加强漏洞研究能力的建设工作,包括:漏洞挖掘与分析能力建设、漏洞修补与风险评估能力建设、漏洞利用与开发能力建设等。
3. 提高漏洞规制国际话语权
我国应发挥优势强化漏洞工作体系,积极扩大国际话语权,在国际规制中提出中国方案,促成漏洞管理的共建共治共享。同时要充分借鉴美国在漏洞管理中的先进经验,加强与美国在漏洞管理上的合作,努力将其打造为中美网络安全合作的着力点与突破点。
作者
桂畅旎
中国信息安全测评中心助理研究员
国际关系学院硕士研究生
杨婧婧
中国信息安全测评中心助理研究员
国际关系学院硕士研究生
李维杰
中国信息安全测评中心副研究员
中国科学院研究生院博士研究生
声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。