文│ 信息工程大学洛阳校区 刘刚
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网络安全的影响也日益加剧。世界各主要国家和组织为了切实提升国家网络安全防护能力,围绕漏洞的研究、收集和利用,纷纷建立国家级漏洞通报平台或漏洞数据库。日本于2003年开始建设“日本漏洞通报”(JVN)平台;美国于 2005 年开始建设“国家漏洞数据库”(NVD);欧盟于2008 年启动了以“信息安全漏洞库服务”(SVRS)为核心的“欧洲盾牌计划”;我国于 2009 年开始建设“中国国家信息安全漏洞库”(CNNVD)。以建立国家层面漏洞数据库为主要标志,各国的网络安全漏洞管理体系也逐渐完善和成熟。相比较其他各国,俄罗斯于 2015 年才建立了国家层面的漏洞数据库:即信息安全威胁数据库。尽管俄罗斯国家漏洞数据库发展时间较短,但围绕信息安全威胁数据库建设构建起的网络安全漏洞管理体系已经初具规模。研究俄罗斯网络安全漏洞管理体系建设,对于进一步提升我国信息安全漏洞管理能力和水平具有重要借鉴意义。
一、俄罗斯网络安全漏洞管理体系的法律基础
俄罗斯目前在网络安全漏洞管理领域已经建立起包括总统令、政府法令、部门法规和部门指导文件在内的一整套法规文件,这为网络安全漏洞管理体系的建设发展奠定了法律基础。
总统令:《联邦技术与出口监督局问题总统令》。该总统令赋予联邦技术与出口监督局“查验国家信息系统中包含的信息安全威胁”,“建立国家信息安全威胁数据库,并确定相关联邦权力机关和联邦主体权力机关对信息安全威胁数据库的使用程序及方法”。
政府法令:《个人信息系统数据处理保护要求政府令》。该法令主要明确了个人信息系统信息安全威胁的等级标准、判定依据和相应的信息安全技术与组织防护措施,以及联邦技术与出口监督局在其中的职责。
联邦技术与出口监督局颁布的部门法规。主要包括《非涉密国家信息系统信息保护章程》《个人信息系统数据处理安全保障组织与技术措施章程》《关键信息基础设施生产与技术流程自动化管理系统信息保护章程》《信息安全威胁数据库条例》《软件与硬件漏洞信息列入信息安全威胁数据库章程》等。这些部门法规主要明确了国家信息系统、个人信息系统及关键信息基础设施中漏洞的发现及相应安全防护措施等,以及漏洞数据库的建设、运营及维护等。
联邦技术与出口监督局颁布的部门指导文件。主要包括《国家信息系统信息保护措施》《信息安全威胁数据库信息通报》《信息安全威胁评估方法》等。这些文件主要是对联邦技术与出口监督局颁布的一些部门法规的补充或说明,其本身虽然不具有法律强制性,但在网络安全漏洞管理体系中具有方法论上的指导意义。
二、俄罗斯网络安全漏洞管理体系的组织架构
俄罗斯网络安全漏洞管理体系的组织架构主要包括联邦技术与出口监督局、联邦技术控制与计量署、国家信息技术保护科学试验研究所、Linux 系统安全研究中心、信息安全威胁数据库企业协会等。
联邦技术与出口监督局。该局是网络安全漏洞管理体系组织架构中的领导管理机构,负责网络安全漏洞管理的全面工作,如起草制定国家漏洞管理政策、领导国家层面的漏洞研究、收集和利用工作等。
联邦技术控制与计量署。该署在网络安全漏洞管理体系组织架构中负责漏洞管理的标准化工作,如制定涉及漏洞管理的国家标准。
国家信息技术保护科学试验研究所。该研究所为联邦技术与出口监督局的下属机构,在网络安全漏洞管理体系组织架构中负责具体业务管理。它在网络安全漏洞管理体系组织架构中的主要职责是起草国家漏洞管理政策、评估国家漏洞威胁状况、领导漏洞研究和收集活动、组织关键信息基础设施漏洞防护活动、运营维护信息安全威胁数据库、制定漏洞扫描工具技术标准、对国内漏洞扫描工具进行鉴定和认证等。
Linux 安全研究中心。该研究中心由联邦技术与出口监督局与俄罗斯科学院系统编程研究所于2021 年 3 月开始合作创建。它是网络安全漏洞管理体系组织架构中负责领导 Linux 漏洞研究的关键机构。俄罗斯基于 Windows 系统漏洞频发严重威胁国家网络安全状况的考虑,自 2010 年开始研究基于开源的 Linux 内核的国产操作系统,到 2018 年,国产操作系统 Astra Linux 系统问世并且逐步在军方、国家机关、能源企业等开始推广应用。为了确保 Astra Linux 系统的安全,联邦技术与出口监督局拨款 3 亿卢布用于创建 Linux 安全研究中心。该中心的主要任务是分析 Linux 内核源代码、评估 Linux安全风险、挖掘并修复基于 Linux 内核的操作系统的漏洞、测试 Astra Linux 系统安全并开发相应安全防护措施等。
信息安全威胁数据库企业协会。该协会由俄罗斯国内七家从事漏洞研究的机构和企业组成,其中包括俄罗斯科学院系统编程研究所、俄罗斯基础信息技术公司、远景监测公司、梯队公司、信息保护平台公司、积极技术公司以及阿卢什塔软件公司等。它在俄罗斯网络安全漏洞管理体系组织架构中主要负责参与起草国家漏洞管理政策,参与制定漏洞扫描工具技术标准,为信息安全威胁数据库运营维护提供技术支撑,研制并推广漏洞扫描工具等。
三、俄罗斯网络安全漏洞管理体系的信息平台
俄罗斯网络安全漏洞管理体系的信息平台是指由联邦技术与出口监督局主管、国家信息技术保护科学试验研究所负责运营维护的信息安全威胁数据库网站(bdu.fstec.ru)。该网站自 2015 年 3 月运营以来,在俄罗斯关键信息基础设施漏洞安全防护领域发挥了重要作用。
信息平台的主要数据库。(1)漏洞数据库。漏洞数据库作为该信息平台的核心数据库,目前已经收录漏洞信息 35248 条(截至 2021 年 10 月 13 日)。相比较其他官方漏洞数据库,它具有以下几个特点:首先是漏洞信息描述更全面。在其他官方漏洞数据库描述漏洞名称、编码、软件名称、漏洞类型、危害等级、威胁类型、发布时间、来源、补丁措施等信息之外,俄罗斯漏洞数据库还描述了漏洞威胁CVSS 评分、漏洞涉及的软件的版本以及该软件涉及的操作系统和硬件平台、漏洞利用方式等信息。其次是是漏洞查询方式更多样。相比较其他官方漏洞数据库在提供漏洞查询时,一般仅按照漏洞名称、漏洞编码、漏洞类型、发布时间、软件厂商几种方式查询,俄罗斯漏洞数据库还提供了诸如按照操作系统、漏洞状况、漏洞威胁等级、漏洞利用方式、软件版本或硬件平台等方式进行查询,这就使得使用者能更加方便快捷地查询到需要的信息。最后是漏洞信息提取更多样。相比较其他官方漏洞数据库为使用者提供漏洞信息时一般采取网页信息和 XML数据文件两种方式外,俄罗斯漏洞数据库还提供了XLSX 文件,这就更加方便了使用者提取漏洞信息。(2)信息安全威胁数据库。该数据库主要收集、提供非软件及硬件漏洞的网络安全威胁,在描述威胁时主要提供威胁编码、威胁名称、威胁简介、威胁来源、威胁作用的目标以及威胁实现的后果等方面的信息。目前,该数据库已收录信息安全威胁222 条(截至 2021 年 10 月 13 日)。(3)漏洞术语库。为了更好地规范漏洞管理工作,形成对漏洞管理的统一认知,该信息平台还建设了漏洞术语库。该术语库对漏洞及相关概念如“零日”漏洞、未公开漏洞、软件漏洞、漏洞威胁等级等术语,依据国际技术标准、国家技术标准和相关国内法规等规范性文件进行了定义。目前,该术语库已收录术语 66条(截至 2021 年 10 月 13 日)。
信息平台的主要功能。(1)漏洞信息收集。该信息平台收集的漏洞信息主要有两类来源渠道:一类是来自漏洞管理体系内部的漏洞信息,主要包括来自国家信息技术保护科学试验研究所、Linux安全研究中心、信息安全威胁数据库企业协会等机构或企业。另一类是来自漏洞管理体系外部的漏洞信息,主要是来自软件生产商以及其他大量俄罗斯漏洞研究人员、企业。为了吸引俄罗斯漏洞研究人员和企业参与漏洞信息研究,共同提高俄罗斯网络安全防御能力,联邦技术与出口监督局在该信息平台设置了“漏洞信息提交通报平台”和“漏洞研究排行榜”。为了彰显“漏洞研究排行榜”的公平、公正,进一步激发漏洞研究人员、企业的开展漏洞研究的积极性,联邦技术与出口监督局还制定了《向威胁数据库提供漏洞信息研究者排名规定》。(2)漏洞信息统计。该信息平台的漏洞信息统计主要采用两种类型:一种是常见的通过对漏洞信息进行数字编码来统计。其漏洞信息数字编码格式为“BDU-XXXX-XXXXX”,其中 BDU为漏洞数据库简写,第一组“XXXX”是漏洞信息收录到漏洞数据库的公历年份,第二组“XXXXX”是漏洞信息在该公历年份收录到漏洞数据库中的序号。另一种是按照不同规则通过统计图表对漏洞信息进行统计 , 如按照软件类别的漏洞分布图、按照威胁等级的漏洞分布图等。(3)漏洞威胁评估。该信息平台目前提供了“通用漏洞评分系统”(CVSS)的 V2、V3 及 V3.1 三个版本,平台用户可以根据自己的需求自主选择不同版本,对已发现的漏洞进行自助式的评估,从而更快确定漏洞的威胁程度以及所需应对措施的紧急程度和重要程度。(4)漏洞信息通报。该信息平台的漏洞信息通报目前主要采取三种方式:即通过网站发布新闻信息的形式、通过推特(Twitter)发布推文的形式以及基于 RSS 和 Atom标准的订阅发布系统。相比较前两种传统漏洞信息通报形式,基于 RSS 和 Atom 标准的订阅发布系统对于信息平台和平台用户来说,漏洞信息服务更加精准、漏洞信息更新更加及时、漏洞信息利用更加高效。
信息平台的漏洞管理工作流程。信息平台的漏洞管理工作流程主要包括三个阶段:(1)漏洞获取阶段。按照规定,信息平台获取漏洞信息的方式主要是采取专用电子邮箱加优良保密协议(PrettyGood Privacy,PGP)加密的方式。平台各类用户所提交的漏洞信息应采用标准格式,主要包含漏洞名称及描述、漏洞发现时间、漏洞适用的操作系统或硬件平台类型的名称、根据 CVSS.V.3 评估的漏洞威胁等级及评分、漏洞验证资料(POC 代码或视频等),提交人员或机构联系方式等信息。(2)漏洞处置阶段。信息平台获取来自软件生产商或漏洞研究机构、个人提交的漏洞信息后,对漏洞信息的处置一般分为四个步骤:第一步是验证评估漏洞。信息平台收到漏洞信息后应在规定时间内完成对漏洞的验证、威胁等级评估,并将其与信息平台的漏洞数据库进行对比(若属于漏洞数据库已收录漏洞信息,则将数据库中的漏洞描述信息反馈给漏洞信息提供者)。第二步是对漏洞进行临时编码。若属于漏洞数据库未收录漏洞,信息平台将该漏洞信息以“BDU-Z-XXXX-XXXXX”格式编码,其中“Z”代表此编码为临时编码,然后将临时编码及相应漏洞信息反馈给漏洞信息提供者。第三步是开发漏洞修复措施。漏洞信息提供者(一般为软件生产商)收到漏洞临时编码信息后,应根据漏洞威胁等级不同在相应规定时间内开发漏洞修复措施。若漏洞信息提供者无法开发漏洞修复措施,则信息平台运营主体国家信息技术保护科学试验研究所将采取与漏洞信息提供者合作或独立的方式完成漏洞修复措施开发。第四步是正式编码。在完成漏洞修复措施开发后,信息平台对漏洞信息以“BDU-XXXX-XXXXX”格式进行正式编码,并将其录入漏洞数据库,同时将漏洞正式编码信息反馈给漏洞信息提供者。(3)漏洞发布阶段。按照规定,漏洞发布采取在信息安全威胁数据库中公布有正式编码的漏洞描述信息的方式实现,公布时限根据漏洞威胁等级不同而确定。
四、俄罗斯网络安全漏洞管理体系的国家标准
目前,俄罗斯已经制订并颁布的关于漏洞管理的国家标准主要有两份文件,《信息保护 信息系统漏洞 漏洞描述规范》( ГОСТ Р 56545-2015)和《信息保护 信息系统漏洞 信息系统漏洞分类》( ГОСТ Р56546-2015)。
《漏洞描述规范》。该国家标准主要提供了漏洞描述的要素及内容的一般要求,适用于对已知漏洞、“零日”漏洞等进行描述,目的是促进信息系统漏洞分析工作中对漏洞进行准确识别和深入分析。从漏洞描述的要素来看,该标准将漏洞描述信息分为四个层次的信息:为了精准识别漏洞,其描述信息应当包含漏洞标识符、漏洞名称、漏洞类别和软件名称及其版本等信息;为了深入分析信息系统漏洞,其描述信息应当包含缺陷类型的标识符、缺陷的类型、缺陷产生的地方、发现漏洞的方法、消除漏洞的可能措施等信息;为了充实漏洞的细节信息,其描述信息应当包含操作系统名称及硬件平台类型、软件编程语言、漏洞威胁等级、其他漏洞数据库漏洞描述标识、漏洞发现时间、漏洞发现者等信息;为了进一步完善信息系统漏洞描述信息,还应当包含软件配置描述、漏洞利用所需权限描述、漏洞利用可能导致的威胁描述、漏洞消除措施公布的时间等信息。在明确了漏洞描述信息要素的基础上,该标准又进一步规定了描述每个要素的规范表述,并以举例的形式作了详细说明。
《信息系统漏洞分类》。该国家标准主要提供了漏洞分类的指标和漏洞的具体分类方式及类别等内容,适用于在网络安全工作中的漏洞分类及危害评估。为了对漏洞进行科学合理的分类,该标准主要考虑了漏洞的三个方面标准,即漏洞来源的领域、信息系统缺陷的类型和信息系统漏洞产生的地方等。除此之外,该标准还参考了漏洞在公开漏洞数据库中的搜索特征,如操作系统名称和硬件平台类型、软件名称及其版本、漏洞威胁等级、编程语言类型和用于软件运行的端口等。按照来源领域划分,漏洞可以分为 5 种,即代码漏洞、设计漏洞、结构漏洞、组织漏洞和复合漏洞等。按照信息系统缺陷类型划分,漏洞可以划分为 20 种,即软件参数配置不当缺陷、数据录入检查不完全缺陷、目录读取路径缺陷、操作系统指令执行能力缺陷、执行脚本缺陷、编程语言执行缺陷、任意代码注入缺陷、资源管理缺陷、密码重置缺陷等。按照信息系统漏洞产生的地方划分,漏洞可以划分为 7 种,即通用软件漏洞、应用软件漏洞、专用软件漏洞、技术设备漏洞、便携式技术设备漏洞、网络(通信及电信)设备漏洞、信息保护设备漏洞等。
五、俄罗斯网络安全漏洞管理体系的特点
管理贯穿漏洞生命周期。围绕漏洞生命周期进行全流程管理是实施漏洞管理的关建。国家信息技术保护科学试验研究所作为俄罗斯漏洞管理的业务主管部门,基于信息安全威胁数据库网站这一信息平台,将督促核查贯穿于漏洞的全生命周期。(1)在漏洞的发现阶段,国家信息技术保护科学试验研究所主要通过两种方式实施管理:一种是通过及时更新公布漏洞能力排行榜的方式引导各类漏洞研究机构、企业或个人开展漏洞研究;另一种是通过引导信息平台用户安装部署各种版本的漏洞扫描器,直接接收漏洞报告。(2)在漏洞接收阶段,国家信息技术保护科学试验研究所主要通过信息平台接收来自不同漏洞提交者及漏洞扫描器提交的漏洞信息。(3)在漏洞验证阶段,国家信息技术保护科学试验研究所主要对漏洞提交信息中相应的验证手段及方法进行核查和再验证,同时根据漏洞提交者身份的不同和漏洞属于已发现还是新发现漏洞,在相应规定时间内给予不同反馈。(4)在漏洞处置阶段,国家信息技术保护科学试验研究所首先是督促漏洞软件生产商开发漏洞消除措施,当条件不具备时再以合作或独立的方式开发相应的漏洞处置措施,然后将漏洞消除措施反馈给漏洞软件生产商。(5)在漏洞发布阶段,当漏洞信息被收录到漏洞数据库后,国家信息技术保护科学试验研究所根据漏洞软件生产商反馈的漏洞消除措施发布实施的情况,正式将漏洞信息在信息平台公布,以进一步促进漏洞的修复。
重视漏洞挖掘能力建设。在俄罗斯漏洞管理体系的发展进程中,漏洞挖掘能力建设是其重中之重,它直接决定漏洞管理体系能力、水平的高低。俄罗斯漏洞管理体系重视漏洞挖掘能力主要体现在以下三个方面:(1)大力发展专业漏洞研究机构。作为漏洞管理的业务部门,国家信息技术保护科学试验研究所不仅直接开展漏洞研究,同时还以投资合作建设研究机构、政策主导发展漏洞研究企业协会、发布排行榜引导相关企业竞相开展漏洞研究等方式不断扩大专业漏洞研究机构的数量。(2)主导推动漏洞扫描工具的研制推广。俄罗斯将漏洞扫描工具视为快速提升漏洞挖掘能力的重要手段,始终高度关注。按照《俄联邦技术与出口监督局条例》的规定,联邦技术与出口监督局拥有对漏洞扫描工具的研制、推广的审查与认证权力。(3)建设秘密漏洞数据库。按照《信息安全威胁数据库条例》的规定,信息安全威胁数据库的建设分公开漏洞数据库和秘密漏洞数据库两个部分。在秘密漏洞数据库的建设中,漏洞信息来源主要有两类:一类是来自信息平台获取的漏洞信息。信息平台在获取漏洞信息后,必须同步向联邦技术与出口监督局的专用电子邮箱发送漏洞信息,联邦技术与出口监督局根据相关法律规定可以在相应时间内决定是否公开该漏洞信息以及是否将其收录到秘密数据库;另一类是来自国家信息技术保护科学试验研究所及其直接管理的漏洞研究机构提供的漏洞信息。通过建设秘密漏洞数据库,俄罗斯将其漏洞挖掘能力实现了内外隔离,这对促进俄罗斯漏洞挖掘及利用能力具有重要意义。
军方参与影响程度较高。漏洞管理体系建设作为俄罗斯国家漏洞安全防护能力发展的关键,俄罗斯军方对其有较高的参与度和影响力。这主要体现在以下两个方面:(1)联邦技术与出口监督局作为联邦机构,本身就是俄国防部的下属部门,它由俄联邦总统授权国防部实施直接管理。(2)俄国防部直接参与了漏洞管理体系国家标准的建设。在审核提交漏洞管理国家标准的工作中,俄联邦国防部直属的第3、6、27 中央研究所作为俄罗斯信息保护标准化技术委员会的成员直接参与了该项工作。此外,作为已颁布漏洞管理国家标准的起草者的“信息安全中心”,虽然现在属于商业企业,但其前身实际上是国防部某直属研究所的内设研究部门,直到现在,该中心仍与国防部有着密切的合作关系。通过这些方式和途径,俄军方深度介入了俄罗斯网络安全漏洞管理体系。
(本文刊登于《中国信息安全》杂志2021年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。