對漏洞治理體系革新發展的思考與建議
責編:gltian |2024-07-18 16:02:01網絡空間作為 21 世紀國家主權的新疆域,其戰略意義與日俱增。漏洞治理是構筑網絡安全基石的關鍵環節,它不僅承載著捍衛國家網絡主權的重任,也是維護數字領土完整與安全的核心策略。漏洞治理涉及技術、管理、政策及法律等多個層面,不僅需要技術手段來發現和修復漏洞,還需要完善的管理體系、明確的政策指導和嚴格的法律法規來共同構建。
一、國內外漏洞治理現狀
隨著互聯網技術的飛速發展和全球信息化進程的持續深化,網絡安全已經成為維護國家安全、社會穩定及經濟發展的關鍵環節。在網絡空間安全治理,尤其是漏洞管理體系的建設方面,國內外展現了不同的發展路徑和戰略重點。
(一)國內漏洞治理體系建設穩步發展
我國從政策法規、漏洞治理機制、漏洞管理流程等多個方面構建了漏洞治理體系。
在法律法規層面,我國出臺了《網絡安全法》,為漏洞管理提供了法律基礎。同時,發布了《網絡產品安全漏洞管理規定》《信息安全技術—網絡安全漏洞管理規范》等一系列規定和標準。這些文件不僅明確了網絡產品安全漏洞從發現、報告、修復到發布的整套流程,還確立了管理各階段的具體操作流程、規范要求及驗證方法,為業界提供了詳盡的操作指南和嚴謹的技術標準。
在漏洞治理機制方面,我國已建立以國家信息安全漏洞庫(CNNVD)為代表的多個網絡產品安全漏洞收集平臺,有效集成了漏洞信息的收集、儲存與共享功能,顯著提升了漏洞識別和應對的效率。通過實施協同漏洞披露機制(CVD),鼓勵社會各界積極參與漏洞發現與上報,確保了漏洞信息的快速流通與妥善處理。
在漏洞管理方面,我國已經構建起一套完善的流程體系,該體系涵蓋了漏洞發現與報告、驗證與評估、處置與修復,以及修復后漏洞發布與跟蹤監控。這套流程鼓勵安全專家在遵守法律法規的前提下,利用漏洞掃描、滲透測試等技術手段主動發現漏洞,并迅速通報給相應機構。一旦國家權威部門接到報告,他們將迅速對漏洞進行驗證評估,判定其潛在危害和影響范圍,據此制定并實施有效的修復策略,以確保漏洞能夠被迅速且徹底地解決。最后,修復情況將被公開發布并持續追蹤,以保持漏洞信息的時效性與透明度。
目前,以法律法規和標準規范為基礎,以漏洞治理機制為框架,以漏洞管理為內容,我國已經建立了較為完善的網絡漏洞治理體系。
(二)歐美漏洞治理體系的借鑒
美國在網絡安全漏洞治理方面具有先發優勢,已經建立了完善的漏洞治理框架和相關法律法規。特別是在公私合作方面,這種合作模式被視為美國網絡安全防御體系的重要組成部分。
美國政府早期通過通用漏洞披露(CommonVulnerabilities & Exposures,CVE)和國家漏洞庫(National Vulnerability Database,NVD)構建了漏洞治理的頂層架構設計。通過一系列立法和政策,如《公私網絡安全合作法案》,鼓勵公私部門之間在網絡安全信息共享、漏洞管理方面展開合作。美國網絡安全和基礎設施安全局(CISA)、美國國家標準與技術研究院(NIST)等機構在漏洞治理體系建設方面發揮了核心作用。
CISA 制定了全面的漏洞管理框架,指導各機構遵循標準化流程處理漏洞。例如,2021 年,CISA 發布了《網絡安全事件和漏洞響應手冊》,該手冊精煉地概述了漏洞管理的核心流程,涵蓋了從識別潛在威脅到評估影響、實施修復措施,再到最終的報告與通知這四個緊密相連的階段,確保了響應行動的系統性和時效性。
NIST 在漏洞治理的標準化方面做了大量工作,涵蓋了漏洞定義、分類、標準制定和披露框架等方面,例如,NIST 發布的《關鍵信息安全術語匯編》和《聯邦機構漏洞披露指南建議》等文件。NIST 在漏洞定義、漏洞披露框架、正確處理漏洞報告以及溝通漏洞的緩解和修復等方面提出了指導建議。此外,NIST 還提供各種網絡安全資源和工具,如漏洞掃描工具,幫助政府機構、企業、個人評估和改進網絡安全措施。
近年來,美國在網絡安全治理上采取了雙軌策略。一方面,通過加強出口管控,嚴格限制敏感網絡安全技術的海外流動,以維護國家安全利益。例如,2022 年,美國商務部工業與安全局(BIS)對《出口管理條例》中的網絡安全條款進行了修訂,對出口到某些國家的網絡安全相關技術產品施加了新的限制,特別是涉及網絡漏洞的相關技術。另一方面,面對內部挑戰,如 NVD 的運營壓力,美國政府正在尋求解決方案,同時在關鍵基礎設施保護上加大投入,強化公私合作機制,以全面提升國家的網絡韌性與安全防護水平。例如,2024 年,美國國防部網絡犯罪中心(DC3)宣布與美國國防反情報和安全局(DCSA)合作,建立國防工業基地的漏洞披露運營計劃(DIB-VDP)。該計劃旨在提高國防工業基地(DIB)的漏洞披露能力。此計劃強調了公私合作在增強國家安全中的重要性,通過利用民間專家的力量來加強國防供應鏈的安全。這些舉措體現了美國面對國際安全環境變化及國內漏洞治理挑戰所采取的一系列應對措施。
歐盟漏洞治理體系的特點在于各成員國之間的協調合作。自 2008 年啟動的歐盟“安全漏洞庫服務”(SVRS)倡議,標志著歐盟在構建集中化信息安全漏洞管理體系方面邁出了關鍵一步,其目標是深化成員國間的協同作用與信息共享。這一舉措旨在通過一個統一的平臺,提升對網絡與信息安全漏洞的追蹤、分析和應對能力,確保歐盟及其成員國能夠迅速應對新興的網絡威脅,保護關鍵基礎設施和信息系統免受攻擊。
2022 年,歐洲網絡及信息安全局發布的《歐盟協調漏洞披露政策》表明成員國間在協同漏洞披露操作、術語界定及評估標準上存在的異質性。這些差異成為合作進程中的障礙,影響了政策實施的一致性和效率。在同一年,歐盟出臺了《關于歐盟全境網絡安全措施的高度統一指令》(第 2022/2555 號),該指令規定成員國采用統一的 CVD 政策,并指導建立共享漏洞數據庫,以促進跨國界數據共享,從而加強合作和提高響應速度。
鑒于成員國需將此指令轉化為國內法的實際可行性,歐盟采取了靈活的監管策略,僅制定了最低限度的框架規則,旨在促進成員國間協調一致的同時,也為各國提供了根據其國情進行調整的空間,力求在多樣性中尋求共識。歐盟在網絡安全政策上持續發展,加強了歐盟各國漏洞協同治理能力。
二、對推動我國漏洞治理體系創新的建議
我國在漏洞治理體系的構建上已經奠定了堅實的基礎,并形成了一套較為完備的框架體系。展望未來,對外,應積極參與并引領漏洞治理相關標準建設,構建一個國家共享互信的漏洞治理共同體;對內,應從法律制度、技術創新、人才培養等多個維度著手,推動漏洞治理體系的根基、框架和內容實現創新發展。
(一)建設國家共享互信的漏洞治理共同體
一是參與國際標準與協議共建。在網絡安全漏洞治理方面,我國已經積累了豐富的經驗,并具備參與國際標準化機構工作的能力。我們應積極參與相關討論、主動提交提案,推動建立統一的漏洞分類、評估、報告和響應標準框架。
二是強化跨境信息共享與技術合作。我們應深化與主要國家和國際組織的合作,共同構建或優化跨境漏洞信息共享平臺,確保在遵循保護協議的前提下,實現漏洞情報的及時、高效共享。
三是漏洞治理能力援助與建設。我們可以通過多邊或雙邊的國際援助項目,在漏洞治理方面向發展中國家或地區提供資金和技術支持,如漏洞挖掘、評估等。這種支持有助于這些國家和地區建立并加強其本地的漏洞管理體系,包括提供漏洞管理軟件工具、培訓當地技術人員、建立應急響應機制等,增進國與國之間的信任與合作,從而促進網絡空間命運共同體的構建。
四是出口管制的審慎管理。對于漏洞管理、漏洞挖掘技術及其相關工具的出口,我們應實行更為審慎的管制政策。同時,建立國際協調機制,與合作國家共同審查和規范相關技術的出口,以確保全球網絡空間的穩定與安全。
(二)推進漏洞治理體系基石、框架、內容創新發展
一是完善漏洞管理法律和標準,強化漏洞治理體系基石。我們需要制定明確的法律法規和標準規范,從而規范漏洞挖掘與報告行為,并強化公私合作,鼓勵安全研究者積極參與特定領域的漏洞發現活動。通過提供法律保護、獎勵機制和透明的披露流程,確保安全研究者能夠在不觸犯法律的前提下,為提升網絡安全貢獻力量。此舉既能維護互聯網安全的前沿防線,又能促進技術創新與信息安全行業的健康發展,從而營造一個正向循環的漏洞治理環境。
二是深化改革漏洞治理框架,引導專項領域漏洞精細化治理。針對關鍵信息基礎設施、重要信息系統以及新興技術領域,如電力網、金融系統、智能城市設施、醫療健康 IT 系統等,作為專項漏洞懸賞的重點對象。政府和相關行業應共同出資,設立專項漏洞懸賞基金,為那些研發工具、報告領域內高危漏洞的研究人員提供豐厚的獎勵。還應定期組織專項懸賞活動,并根據網絡安全態勢發展,靈活增設特別懸賞,以應對新出現的重大威脅或特定的技術挑戰。
三是積極推動漏洞管理方法全鏈條創新發展。聚焦于智能化等新技術的應用,重塑從漏洞發現到評估的整個流程,以提升漏洞管理的效率和精準度。革新漏洞評估標準,以適應不斷變化的威脅景觀,并建立一個更加動態、全面的評估體系。這個體系不僅會考慮漏洞的技術細節,還會納入業務影響、攻擊可能性、資產價值等多維度因素,形成更為科學合理的風險評分機制,助力優先排序漏洞修復工作,確保有限資源得到最高效的配置。
四是構建多層次人才培養。漏洞治理體系中,人才培養是至關重要的基礎環節。我們應重視網絡安全人才的培養,并在基礎教育、職業教育和在職培訓等各個階段設置專門的網絡安全課程和實踐環節,內容涵蓋漏洞管理的理論與實操技能。此外,在基礎教育階段應融入網絡漏洞相關知識,以提升全民的漏洞安全意識,并為專業人才的早期發現和培養奠定基礎。
三、結 語
國內外在網絡漏洞治理方面的探索與實踐,展現了一個從無到有、由點及面的體系建設過程,以及在復雜多變的國際環境中不斷適應與進化的策略調整。面向未來,我國應當繼續加強國際交流與合作,積極參與國際標準的制定,構建跨國界的漏洞治理共同體,并審慎管理技術出口,以維護全球網絡空間的穩定。在國內層面,應不斷完善法律法規,優化治理體系,推動技術創新,注重人才培養。漏洞治理是一項長期而系統的工程,需要不斷適應技術進步與安全挑戰的變化。我們應堅持法治引領、創新驅動、協同合作的原則,攜手構筑更加牢固的網絡防線。
(本文刊登于《中國信息安全》雜志2024年第5期)
來源:中國信息安全