文│中国信息安全测评中心 曹明 任望

自诞生以来,漏洞就是黑客攻击的主要武器来源、网络安全的防护焦点、攻守对抗的核心所在。漏洞对于网络空间的安全举足轻重。对漏洞的管理,我国一直坚持“统筹发展与安全”的理念。2021 年印发的《网络产品安全漏洞管理规定》,不仅规范了漏洞发现、报告、修补和发布等行为,同时也鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作,以达到维护国家网络安全的最终目的。

漏洞作为网络空间安全的重要资源,涉及到全球信息技术产业,建立一个互利的漏洞管理国际合作机制,对漏洞资源进行共享和管控是国际通行惯例。但也有国家以本国安全优先为由,对此层层设限。5 月 26 日,美国商务部产业和安全局(BIS)发布了针对网络安全领域新的出口管制规定《信息安全控制:网络安全物项》。该规定以所谓国家安全和反恐为由,要求美国实体(如互联网企业)与中国政府等相关的组织和个人就网络安全漏洞合作时,要事先通过美国商务部审核;并新增了漏洞检测分析等技术产品针对我国的出口限制。此种限制实质上是美国科技方面的技术封锁在信息安全领域的延伸,这不仅破坏了国际网络安全领域长久以来的漏洞分享机制,而且加剧了网络空间安全形势的恶化,更是对别国安全利益的严重威胁和对现行国际规则的肆意践踏。

我国对漏洞管理一直秉持开放合作态度,2020年 9 月,我国提出《全球数据安全倡议》,呼吁全球各国秉持共商共建共享理念,齐心协力促进数据安全。在当前复杂的国际形势下,我们应在总体国家安全观的指引下,加快建设完善国家漏洞库等管理平台,加强网络安全漏洞治理体系建设,防范和消控网络安全重大风险,保障国家网络安全,同时推进漏洞管理的国际合作,推动全球互联网治理体系向着更加公正合理的方向迈进。

一、国内外国家漏洞治理现状分析

防范漏洞风险威胁网络及国家安全,强化管理和法律手段是有效治理漏洞的关键,世界主要国家纷纷运营漏洞库,建立协同披露机制,加大漏洞出口限制力度,目的都是尽量让漏洞资源掌握在自己的手中。

(一)漏洞库成为主要国家漏洞资源管控模式,社区随意散播漏洞敏感信息现象突出。

一是西方国家率先开展漏洞库建设,开创漏洞资源管控模式。美国国家漏洞库(NVD)是最早由政府投入建设和政策扶持的漏洞库,利用其本国信息技术优势和平台影响力,建立漏洞报送合作机制,制定漏洞技术标准和规范,从早期本土主流厂商、安全公司及研究机构,逐步推广到各国重要合作厂商和机构、研究团队及个人向其报送漏洞,现已拥有全球范围的重要漏洞数据。NVD 表面上看是实行漏洞信息的公开披露,但存在一些选择性披露和滞后等问题。欧俄日澳等地区和国家积极效仿,基于网络安全应急响应体制机制,搭建漏洞库并建立漏洞收集渠道。

二是我国国家级漏洞库发展迅速,资源汇聚管理见成效。国家领导高度重视网络安全漏洞风险防范工作。2009 年,中国信息安全测评中心建设运营国家信息安全漏洞库(CNNVD),广泛收集漏洞数据,合理运用社会技术力量支撑机制,分析研判漏洞危害,披露漏洞信息,化解漏洞风险,切实履行漏洞资源汇聚和消除重大隐患的职责。随着技术应用的发展和安全需求的扩大,工控、移动产品等专业漏洞库相继建设运营,定向通报漏洞信息,督促漏洞修复和处置,发挥着行业漏洞管理的积极作用。

三是社区或组织踊跃推出漏洞交流平台,个性收集发布呈乱象。境外某些拥有资助背景的开源社区、安全组织极力宣传漏洞奖励机制,制定漏洞报送及披露策略,收集指定漏洞,随意披露漏洞细节和利用代码等敏感信息,甚至指名道姓地发布漏洞定位,此类不负责任的披露已经给漏洞影响的系统和用户带来重大网络安全风险隐患,但仍处于法律灰色地带并未加以管控。

(二)各国相继推出漏洞披露制度,漏洞生命周期闭环管控机制有待完善。

一是美出台多项漏洞披露相关法案,旨在维护国家安全并降低政府业务系统漏洞风险。美国较早以法案和行政令等法律形式颁布漏洞披露策略,包括以情报机关主导的《漏洞裁决政策和程序》《补丁法案》,以及网络安全部门发布的《网络安全信息共享法》与有关漏洞协同披露行政令等,核心要义是为国家安全目的收集储备可武器化漏洞提供机制保障,同时也是为权衡相关利益方及应对大众对公开透明的要求提供政策支撑。欧盟今年推出的《协同漏洞披露策略》报告分析了美中及欧盟成员国漏洞披露政策,倾向借鉴美的做法,为漏洞发现者创造“安全港”,提出了在欧洲范围内跨境协同披露漏洞的体制机制及法律方面的建设意见。

二是我国积极建立健全漏洞管理政策法规,侧重确立漏洞利益相关主体的法律责任。我国《网络安全法》首先提出漏洞管理要求,明确漏洞发现、发布及处置的责任范围,最新执行的《网络产品漏洞管理规定》对《网络安全法》的要求做了进一步明确,从行业主管层面规范网络安全产品漏洞发现、修复、发布等行为和活动的责任义务,加强了漏洞报送和流通渠道管控,为全面开展漏洞治理制度体系建设打下坚实基础。

三是漏洞披露是漏洞生命周期中心环节,管控手段仅发力于此远不足以管制漏洞被攻击利用。从产生、发现、发布直到彻底消除,不同漏洞的生命周期长度和各环节的发展千差万别。事实证明,有的早期开发的 Linux 系统漏洞长存于代码中十几年未被发现,还有相当一部分零日漏洞被隐秘发现导致长期黑产利用或武器化。任何主体都有发现和利用漏洞的可能,覆盖漏洞全生命周期的管控才是漏洞治理一以贯之的正确方向。

(三)漏洞作为国家战略资源被各国限制出境,外流管控乏力导致漏洞风险居高不下。

一是美国首先制定漏洞出口限制法律条文,认定漏洞为国家战略资源。漏洞影响的安全范围涉及漏洞宿主的所有使用者,受影响者应享有同等防范或降低漏洞风险的安全权益。由美国主导的《瓦森纳协定》在 2013 年更新中明确限制“入侵软件”出口,所谓“入侵软件”实质上就是以漏洞为内核的数字武器,而我国正是该协议排除在成员国之外的禁运国。这项规定标志着以美为首的西方国家将漏洞正式界定到网络空间武器管控范畴,同时也使漏洞武器化在一定范围内合法化。2022 年 5 月 26日,美国再次以国家安全视角,对《出口管理条例》网络安全条款进行了修订,新增了漏洞检测分析等技术产品针对我国的出口限制。此种限制看似是对本国安全利益的维护,而其实质加剧网络空间安全形势恶化,更是对别国安全利益的严重威胁和安全权力的肆意践踏。

二是我国加大数据出境安全要求力度,严禁向境外提供危及国家安全的漏洞。某些境外组织机构利用打比赛赢奖金的模式吸引漏洞发现者提交高风险漏洞,导致漏洞严重外流、安全风险加剧,为此网信部门及时有效应对,发布《关于规范促进网络安全竞赛活动的通知》,严格禁止以损害国家安全为代价向境外赛事提供漏洞等敏感信息,鼓励漏洞人才发挥技术特长积极保障国家网络安全。占领网络空间人才高地、引导漏洞研究力量朝着以维护国家安全为宗旨的方向发挥能力作用,是夯实网络安全基础的重中之重。

三是美数字大厂运用漏洞赏金荣誉张榜及技术合作等做法,刺激高级漏洞研究者持续为其贡献高风险漏洞。操作系统、云服务平台及芯片等核心基础软硬件大厂积极回购产品漏洞,通过品牌效应、推高漏洞价格争夺漏洞人才和市场,抓住安全提供者力求抢占漏洞应用市场先机的心理,利用共享漏洞成果等合作机制,积极获取高质量漏洞。这种漏洞回流的运作模式的确有助于改善产品安全性能,但此种现象也暴露出我国漏洞研究力量正处于失控状态。

二、漏洞治理面临数字化发展与产业链不完整多重挑战

一是我国数字革命加速演进与数字产业链不充分发展的矛盾,带来漏洞风险治理难度增加。我国正在加快数字化发展和数字中国建设,推进数字经济与实体经济深度融合。但实现数字产业链自主可控目标还将经过一个长期努力的过程,当前数字产业基础能力薄弱导致产业链不完整,加之国际局势动荡带来供应链不稳定因素,数字安全保障痛点随之加剧,漏洞风险治理难点问题更加突出。

二是网络资产数量巨大增量加速及资产底数不清问题依旧存在,带来漏洞风险辨识难以落位。网络技术的变革推动万物互联向着万物智联迈进,网络空间资产成指数级增长态势,特别是云上云下资产复杂交织、类型众多,工业互联网等关键信息基础设施网络可见,物理点位和网络地址对应关联使得数字资产被实名化,而与此同时,很多企业机构自身家底有待梳理摸清,防护强度和范围存在很大疏漏,漏洞风险排查能力和手段有待完善提升。

三是数字产品漏洞评价指标及评估机制尚不完善,缺乏漏洞风险管控责任监督机制。数字产品生产进入组件化组装开发模式,大量开源通用组件功能完备,自主代码比例越来越低。随着智能化的进程,数字产品生产效率越来越高,产品研发正在朝着自动化配置化趋近,定制化代码比例日趋降低。开源通用组件如出现漏洞,导致链式影响,范围极其广泛。漏洞风险等级应成为开源组件首要质量评价指标,漏洞风险评估是监督数字产品安全性能提升的基础工作。

四是漏洞产业化发展不平衡,中上游出现的乱象是治理重点。不可避免的现实问题是漏洞的产业化。当前漏洞产业链可分为以漏洞发现为上游,漏洞交易和披露为中游,漏洞应用和利用为下游。漏洞市场受到黑产利益和政府支持的刺激,呈现出漏洞价格主导上游产出,加之漏洞生产工具购买和使用不受限,导致上游参与主体成分复杂不可控等问题。下游多以防护产品为主要产出,漏洞风险感知能力仍是短板,已知漏洞利用检测技术仍待攻关。如何让漏洞产业服务于国家安全,还需要加强治理和合理引导。

五是漏洞人才缺口较大,培养引导和激励全方位机制有待完善。我国拥有世界顶级漏洞发现人才,研究力量主要分散在资金雄厚的互联网企业,安全保障能力一流,但数量严重不足,院校培养和职业培训远远不能满足当前人才缺口。岗位设定和价值取向是漏洞研究最关心的问题,鼓励引导青年优秀漏洞人才服务国家安全是值得思考的重要议题。

三、落实国家安全要求,推动漏洞治理体系化能力建设

漏洞风险关乎国家安全,治理漏洞风险是维护国家安全和保障网络安全的必然要求,实现高水平漏洞风险治理自立自强,要重点着力在提高漏洞风险治理的整体层面、贯彻漏洞全生命周期管控治理理念、拓展国际合作、推动漏洞产业的创新发展、激发漏洞研究人才的综合价值。

一是把漏洞治理提升到国家安全层面,统筹漏洞治理体制机制建立健全。漏洞治理是解决非传统安全风险向传统安全风险传导问题的关键环节,是提升国家安全治理能力的基础,更是维护国家安全的重要战略任务,狠抓漏洞治理就是筑牢网络安全根基。网络互联互通,数据无处不在,看似不起眼的漏洞可以毁掉宏大的数字工程。漏洞治理的关键和根本,是要依赖国家安全层面统一部署的工作机制,明确漏洞治理职能,构建基础研究、发现检测、风险评估及人才管理等治理能力,统筹推进漏洞风险治理体系建设,实现漏洞风险有效管控。

二是贯穿漏洞全生命周期各环节细化管控制度,强化落实相关方责任。漏洞虽不可避免,但采取有效的管理和技术手段可以减少漏洞产生的数量、降低漏洞风险的等级,改善数字产品安全性能。建立数字产品漏洞风险评估机制,规范漏洞风险等级标准,组织可靠力量分级分批深挖细排。建议在已有安全审查机制基础上,增强漏洞风险动态评估机制。明确数字产品提供者使用者等相关方漏洞排查和修复的责任和要求,专业机构协同检测评估处置,实现漏洞全生命周期覆盖管控。

三是倡导全球数字产业高质量发展,促进国际合作共同构建漏洞治理体系。数字化转型是全球经济发展趋势,全球数字供应链相互交织,单方面断供禁售不符合协作共赢的发展理念,提供高质量数字技术、以负责任的态度持续保障产品安全性能才是拓展国际市场的长远之计。特别要与核心基础数字产品供应方建立漏洞信息及时共享的保障机制,共同创建国际通用的漏洞规范标准,引领国际漏洞治理体系新规则,实现安全权益最大化。

四是营造良好的漏洞产业发展环境,推动漏洞技术攻关和应用创新。漏洞产业是漏洞风险治理的重要支柱力量,在严厉打击黑产链条基础上,合理引导上游产出,加大中游参与主体准入和监督力度,运用政策支持鼓励下游企业积极应用创新,规划布局产业整体发展方向,有力提升产业效能,充分发挥产业漏洞治理的重要作用。

五是加快建设漏洞人才战略力量,突出人才价值体现,发挥人才队伍主观能动性。网络空间安全博弈既是攻防较量,更是人与人的对抗,漏洞人才是维护国家安全和提升技术优势地位的战略资产。我国漏洞人才面临严重不足和合理利用双重挑战,既要从娃娃抓起,建设漏洞学科体系,培养致力于投身国家安全的高素质人才,又要正向引导社会人才队伍积极技术攻关,同时统筹漏洞人才职业教育,激励人才学以致用,吸引更多有识之士投入到漏洞治理行动中来。

漏洞治理为国家安全赋能,是保障数字经济国家战略顺利推进的一把利剑,是网络安全能力提升的关键环节,大力推动漏洞风险治理体系建设势在必行。维护国家安全是每个公民应尽的义务,作为安全从业者,攻克漏洞治理这一最具挑战的课题,既是责任担当更是初心使命。

(本文刊登于《中国信息安全》杂志2022年第6期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。