引言

在互联网时代,漏洞已成为一种国家级战略资源。作为网络安全的核心要素,漏洞利用对国家安全、经济发展和隐私保护带来挑战。 美国政府一直将漏洞管理作为信息安全战略的关键要素,持续投入力量建立开放灵活的漏洞 收集、发布等机制。特朗普当选后,美国政府更是将漏洞管控作为网络安全政策的优先项。 11 月 15 日,美国白宫网站发布报告《美国联邦政府漏洞公平裁决政策和程序》(Vulnerabilities Equities Policy and Process for the United States Government,以下简称《漏洞公平裁决政策和程序》) ,详细描述了特朗普政府更新漏洞公平裁决流程的原因、方法和愿景,标志着本届政府向“漏洞公平裁决程序”(Vulnerabilities Equities Process,VEP)机制建设迈出重要一步,将对全球网络治理产生重要影响。 

“漏洞公平裁决程序”由“秘密”转为“公开”的历程 

“漏洞公平裁决程序”实质上是美国政府针对信息安全漏洞,由多部门协调处理的一套行政过程,目标是在决定披露或者保留漏洞时,能平衡“情报收集”、“调查事项”和“信息安全保障”三方面的影响,做出“对整体利益最好的决策”,主要规制对象是“新发现且未公开”的漏洞。 

兴起于小布什时代提出的联合计划

漏洞公平裁决流程最早可追溯至美国前总统小布什在 2008 年 1 月签发第 54 号国家安全政 策指令和第 23 号国土安全总统指令,提出了“综合国家网络安全倡议”(Comprehensive National Cybersecurity Initiative,CNCI), 其中要求国务院、国防部、国土安全部、司法部 以及国家情报总监办公室共同制定一项“协调进攻性能力的联合计划”,以保护美国信息系统。该计划指出,“漏洞的发现可能会引发相互竞争的利益诉求,干扰政府协调建设网络进攻和防御能力”,要求“采取行动妥善解决各方利益关切”。该计划提出建立“漏洞公平裁决流程”以机制化和系统化美国政府对零日漏洞的处理。

形成于奥巴马任职初期的工作组报告

国家情报总监办公室为响应“综合国家网络安全倡议”,专门设立工作组,在 2008 年至 2009 年间研究探讨漏洞公平裁决流程的制定。 该工作组囊括了来自国家安全委员会、中央情报局、国防情报局、司法部、联邦调查局、国防部、国务院、能源部和国土安全部的成员, 并于 2010 年 2 月最终制定完成《商业和政府信息技术及工业控制产品或系统漏洞政策 及规程》(全称 Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process,即旧版“漏洞公平裁决程序”章程), 制定了漏洞裁决的通知、决策和上诉的程序,漏洞公平裁决程序初具雏形,成为奥巴马政府内部管控漏洞的重要依据。

公开于“心脏出血”漏洞后的舆论压力

漏洞公平裁决程序直到 2014 年因舆论压力才部分向社会公开。2014 年 4 月,媒体报道美国国家安全局两年前已知晓“心脏出血”漏洞, 并且定期利用该漏洞获取重要情报,引发公众和舆论对美国政府漏洞管理的质疑。时任白宫网络安全协调员迈克尔·丹尼尔专门撰文回应指责,称美国政府已有一个机密的、严格的、 高水平的漏洞披露机制,并简要介绍了漏洞披露的考量因素。但该文并未平息舆论的指责, 电子前沿基金会 (Electronic Frontier Foundation, EFF) 在 2014 年 5 月凭借《信息自由法案》成功推动美国政府公开“漏洞公平裁决程序”章程。 2014 年 11 月,美国政府公布第一批经过脱密处理的“漏洞公平裁决程序”章程,并在 2015 年、 2016 年再次公布相关文件。

完善于各界的争论和推动

根据迈克尔·丹尼尔的文章,漏洞公平裁 决程序的工作自始至终都处于技术专家层面, 无高级官员参与。他坦言,由美国国安局继 续按内部程序处理漏洞,难以适应网络安全形 势的发展,美国政府需要为 VEP“重新注入活 力”。受此影响,在“漏洞公平裁决程序” 相关章程公布后,美国各界在 2014 年后开始 讨论如何提高漏洞裁决流程的有效性。学术机 构(如哈佛大学肯尼迪学院贝尔弗中心)、 智库(如新美国基金会)和政府审查团体(如 总统情报和通信技术审查小组)纷纷建言献 策,形成以下共识:一是推动法律保障,提高“漏 洞公平裁决程序”章程的权威性;二是公开详 细的标准,提高“漏洞公平裁决程序”章程的可操作性;三是制定定期审查制度,确保对“漏 洞公平裁决程序”章程的监督。在此背景下, 特朗普政府启动“漏洞公平裁决程序”章程落 地实施。  

新版《漏洞公平裁决政策和程序》的内容与特点 

新版《漏洞公平裁决政策和程序》主要包 括目的、背景、范围、参与主体、程序和附件 六部分,区别于已公开的漏洞公平裁决程序文 件,新版文件在程序透明、考量要素、参与主 体等方面均进行了改进,分析如下:

细化裁决程序,增强政策操作性

新版《漏洞公平裁决政策和程序》目标是建立可重复的技术或方法,以快速权衡国家安全各要素,形成最佳实践,并依此详细规定了 六步裁决程序:第一,提交:相关机构确认并提交满足要求的漏洞,并给出通报或保留的建 议。第二,通知:漏洞裁决程序执行秘书处会 在 1 个工作日内通知所有的漏洞公平裁决程 序的联系人。第三,公平性研讨:受影响的机 构必须在 5 个工作日内对其是否同意公布或保 留给出反馈,若在裁决上未达成共识,可在 7 个工作日内进行公平性研讨。第四,裁决: 在与相关机构进行充分咨询之后,同时在保 障美国政府对网络安全、情报、反情报、执法、 军事行动以及关键基础设施保护等职能需求上,作出公布或保留的裁决。第五,处置手段 和后续行为:如果选择披露漏洞,漏洞的提交机构有责任将漏洞相关信息通报厂商,并在 7 个工作日内尽可能地扩散相关信息;如果保留漏洞信息不予公布,公平裁决员会 每年都 会对提交漏洞进行重新评估,直到漏洞可以通 报或通过其他的手段被消控。第六,对初步判决进行申辩:申请公平裁决的相关部门和机构可以通过国家安全 员会(National Security Council, NSC)相关途径上诉,申请重新考虑裁决。

公开裁决考量因素,提高政策透明度

根据新版《漏洞裁决政策和程序》,漏洞 裁决程序的关键优先项就在于提高其透明性, 因此首次公开了漏洞裁决的四大考虑要素,保证参与者能对利益和风险进行客观评估:(1) 国家防御方面考量。一是威胁因素,包括漏洞 产品使用位置、使用范围、受影响的产品范围、 被潜在威胁者利用的可能性等;二是安全漏洞 分析,包括威胁者利用漏洞的可能性、威胁者 发现或获取该漏洞的可能性等;三是影响力分 析,包括用户对产品安全性的依赖程度、漏洞 的严重程度、威胁者对其加以利用可能引发的 后果,用户抵消攻击者利用漏洞造成危害的可 能性;四是缓解因素,包括通过配置消除软件 漏洞的可能性、现有最佳实践或标准配置减弱 漏洞影响的可能性、供应商开发补丁对降低漏 洞威胁的影响。(2)情报、执法、网络行动方 面考量。一方面是价值因素,包括漏洞被利用 来支持情报收集、网络行动以及执法证据收集 的可能性;另一方面是行动影响因素,包括利 用漏洞打击网络空间威胁者、应对国家级的情 报获取或军事打击提供价值的可能性、披露该 漏洞对暴露情报来源和方法的影响等。(3) 商业方面考量,主要包括对披露漏洞给商业机 构带来风险的评估。(4)国际关系考量,主 要包括对披露漏洞给美国的国际关系带来风险 的评估。

扩大“多利益攸关方”参与,落实政策问责制

新版《漏洞公平裁决政策和程序》要求设 立“公平裁决 员会”(Equities Review Board, ERB),负责机构间的审议与裁决,并举行每月 例会。公平裁决 员会由 10 个联邦政府实体构 成,分别是国土安全部(责任单位是国家网络 安全与通信集成中心、美国特情局,下同)、 白宫行政管理和预算办公室、国家情报总监办 公室(情报联盟安全协调中心)、财政部、国 务院、司法部(联邦调查局国家网络调查联合 特遣队)、能源部、国防部(国家安全局、网 络司令部、网络犯罪中心)、商务部、中央情 报局;每个机构设立联系员,并任命1至2名 领域专家。文件还规定漏洞裁决程序的负责人 将由总统的网络安全助理担任,同时将漏洞公 平裁决程序的执行秘书处设在美国国家安全局, 主要负责确保信息共享、组织讨论、记录流程等。 对于未披露漏洞的信息,公平裁决 员会每年 还要进行重新评估并提交年度报告,同时负责 向供应商提供消控措施。

保留更多例外情形,确保政策实施灵活性

新版《漏洞公平裁决政策和程序》在原有 的开源渠道获得的漏洞以及公开研究的漏洞基础上,再次扩大了例外情况,规定美国政府公 布或限制漏洞信息的决定会受到“合作协定” 和“敏感行动”的制约,此部分漏洞由最初发 现的机构通过内部渠道直接报告裁决 员会主 席,但具体涉及到哪些漏洞属于涉密信息,美 国政府此次并未公开。此外,安全研究人员自 行确认的漏洞以及在安全事件响应中计划公布 的漏洞信息也不受漏洞裁决程序限定。 

新版《漏洞公平裁决政策和程序》的前与影响 

新版《漏洞公平裁决政策和程序》的出台, 既有回应当前美国漏洞操控舆论压力的现实之 需,也体现出完善美国漏洞管控体系的使命传 承,更是为今后谋求漏洞获取合法化,便于执法与情报行动奠定基础。

回应漏洞操控指责,营造有利的舆论环境

目前,美国在漏洞领域的领先地位受到严 重挑战。2013 年斯诺登事件揭示了美国政府利 用本质上是漏洞的“后门”在全球网络空间从 事情报搜集和秘密窃取的做法;2014年的“心 脏滴血”漏洞将美国“知情不报”的行为推上 舆论的漩涡;2017 年勒索病毒“WannaCry”席 卷全球则让美国利用漏洞囤积网络武器的行为 备受质疑。美国共和党参议员罗恩·约翰 逊 (Ron Johnson) 和民主党参议员布莱恩·夏兹 (Brian Schatz) 甚至于 2017 年 5 月提出议案“保 护我们的反黑客能力”(Protecting our Ability To Counter Hacking,PATCH Act of 2017),要求美 国国土安全部主持对 NSA 未披露的零日漏洞储 存库的审查。对此,特朗普政府加快完善《漏洞公平裁决政策和程序》,并在文件中直接表 明美国政府在漏洞裁决中倾向于“公开披露”, 以满足“绝大多数人”的利益,实为扭转舆论 被动局面之策。

完善漏洞管控体系,固化领先优势

长期以来,美国在漏洞领域一直处于全球 领先地位,但斯诺登事件加速了网络空间政治 化和军事化进程,导致全球漏洞研究、分析和 应用进入新阶段:大多数国家实体将信息安全 和网络安全作为国家战略关注重要内容,重视 漏洞的搜集、研究和防御;以互联网公司为 代表的信息产业企业高度重视信息安全和产 品漏洞,重视漏洞的搜集和防御;私营企业 主导的漏洞库快速发展,重视漏洞信息共享 和风险防御等。美国政府主导的漏洞管控体 系面临越来越大的挑战,在漏洞分析领域一家 独大的局面发生改变。近期,美国“记录未来” 等公司大肆炒作中国在漏洞领域超越美国, 即反应了美国对漏洞领域发展的担忧。白宫此 次发布新的《漏洞公平裁决政策和程序》,实 质是特朗普政府延续过往实践,谋求通过技术 手段规范漏洞管控,保障美国在网络空间领先 优势。

谋求漏洞获取合法化,便利执法与情报活动

随着苹果和谷歌等相继宣布将进一步加密 智能手机的操作系统,如何处理依托于获取用 户数据的执法取证问题越来越成为执法部门的 挑战。2015 年 2 月,美国国家安全局局长迈克 尔·罗杰斯曾指出,应该有“一种合法框架” 迫使苹果和谷歌等公司在他们的信息产品中留下“前门”,以方便政府调查犯罪或威胁国家 安全的问题。罗杰斯口中的“前门”与“后 门”本质上都是一种人为漏洞,即预先在信 息产品中设置可绕过安全控制而获得对程序 或者系统访问权的接口,目的是让美国政府或者情报界能够方便获取信息产品中的用户 信息,而两者的区别仅在于是否有法律支持与 强制性。2015 年底的苹果与美国联邦调查局 关于解密加密手机争端,加剧了执法机构是否 可利用加密数字产品“后门”的讨论白热化。 对此,西方国家情报与执法机构普遍开始寻求 在法律上取得突破,利用漏洞执法合法化上的 趋势越来越明显。《漏洞裁决政策和程序》 正是美国政府谋求情报与执法机构利用漏洞合 法化的产物,为后续发展更加完备的漏洞管控 体系做准备。

固化漏洞管理中政府的主导作用,推动 VEP 成为国际规则

虽然目前各界观察者对于新版《漏洞公平 裁决政策和程序》中有关规制漏洞的定义、例 外情形的扩大以及参考要素的考量等仍存质疑, 但是普遍认为新版《漏洞公平裁决政策和程序》 的发展方向总体向好,特别是对美国政府在管 理漏洞中的主导作用表示认可,有利于规范 零日漏洞市场乱象。值得注意的是,美国政府 将新版《漏洞公平裁决政策和程序》看作是建 立面向全球的漏洞管理规程的重要一步,并呼 吁英国、荷兰、瑞典、法国、德国、澳大利亚、加拿大等合作伙伴像美国一样建设自己的 VEP 机制,以此作为建设成为负责任网络空间行为体的必要条件,美国推动 VEP 程序成为国际网络规则的意愿进一步凸显。 

启示与建议 

从上世纪七十年代在美国南加州大学最早 开展漏洞挖掘和分析研究,到 21 世纪初发 布《漏洞分析框架》并成立全球最大的国家漏 洞库,再到 2015 年修改《瓦森纳协定》对 零日漏洞进行出口管控,美国不断完善漏洞管 控的政策体系,此次发布《漏洞公平裁决政策 和程序》将进一步完善漏洞处理生态系统, 对美国乃至全球网络治理都将产生重要影响。

与此同时,我国漏洞分析工作经过几年的探索和尝试,在基础理论、技术工具、挖掘评估以及标准规范等方面均积累了一定的经验和方法,特别是 2009 年我国的国家信息安全漏洞库 (CNNVD)正式运营上线,在信息安全漏洞收集、重大漏洞信息通报、高危漏洞安全消控、 信息安全标准化建设等方面发挥了重要作用。但是较之于急速发展的网络化时代和日趋严峻的信息安全形势,我国漏洞分析工作还有待突破和创新:

一是法规缺失。目前我国漏洞管理 相关条文仅在《网络安全法》、《国家安全法》 等有所体现,漏洞管理专门配套法规还未成型, 这与漏洞的战略地位严重不匹配;

二是标准滞后。《信息安全技术安全漏洞标识与描述规范》、 《信息安全技术信息安全漏洞管理规范》、《信息安全技术安全漏洞等级划分指南》、《信息 安全技术安全漏洞分类规范》等漏洞相关标准制定已有时日,未涉及漏洞挖掘、零日漏洞管理等新问题,难以适应当前信息安全形势;

是管理不足。目前国内相关企业纷纷建立漏洞平台,积极开展与漏洞处置相关的工作,但是受互联网自由思想的影响,存在个别黑客或安 全公司滥用漏洞、随意发布漏洞以及地下网络黑色产业膨胀等诸多乱象。因此,亟需从国家层面统一管控好漏洞这一极其敏感又关键的安全资源。

加强漏洞管理机制建设

目前,我国漏洞管理工作已有相关的制度安排与基础投入,《网络安全法》也对漏洞工作作出相关规定,因此当务之急是要进一步发挥职能部门的作用,充分发挥已建成的国家级漏洞库作用,整合各方漏洞信息,进行直接管理、 统一管控,提升国家整体的网络安全态势感知能力。

加快漏洞研究能力建设

我国目前的漏洞研究和搜集体系已初具规 模,但在高危漏洞挖掘与收集、漏洞利用与开 发等方面与发达国家存在差距,需继续加强漏 洞研究能力的建设工作,包括:漏洞挖掘与分 析能力建设、漏洞修补与风险评估能力建设、 漏洞利用与开发能力建设等。

提高漏洞规制国际话语权

在漏洞威胁全球网络安全、漏洞管理乱象 突出的背景下,漏洞已引发越来越多国家的重 视,并将其作为网络安全中的重点规制对象。 作为网络大国,我国在漏洞管理上已积累丰富 的经验和教训,对此我国应发挥优势强化漏洞 工作体系,积极作为扩大国际话语权,在国际 规制中提出中国方案,促成漏洞管理的共建共 治共享。在此过程中,要充分借鉴美国在漏洞管理中的先进经验,加强与美国在漏洞管理上 的合作,努力将其打造为中美网络安全合作的 着力点与突破点。 

为便于排版,已省去原文注释

作者:桂畅旎,中国信息安全测评中心助理研究员,国际关系学院硕士研究生,研究方向为国际关系、美国网络战略与政策。杨婧婧,中国信息安全测评中心助理研究员,国际关系学院硕士研究生,研究方向为信息管理与信息系统。李维杰,中国信息安全测评中心副研究员,中国信息安全测评中心副研究员,中国科学院研究生院博士研究生,研究方向为网络空间安全。 

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。