踐行總體國家安全觀,推動網(wǎng)絡(luò)安全漏洞治理體系建設(shè) |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2022-07-15 瀏覽次數(shù): |
信息來源:安全內(nèi)參
自誕生以來,漏洞就是黑客攻擊的主要武器來源、網(wǎng)絡(luò)安全的防護焦點、攻守對抗的核心所在。漏洞對于網(wǎng)絡(luò)空間的安全舉足輕重。對漏洞的管理,我國一直堅持“統(tǒng)籌發(fā)展與安全”的理念。2021 年印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,不僅規(guī)范了漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為,同時也鼓勵各類主體發(fā)揮各自技術(shù)和機制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作,以達到維護國家網(wǎng)絡(luò)安全的最終目的。 漏洞作為網(wǎng)絡(luò)空間安全的重要資源,涉及到全球信息技術(shù)產(chǎn)業(yè),建立一個互利的漏洞管理國際合作機制,對漏洞資源進行共享和管控是國際通行慣例。但也有國家以本國安全優(yōu)先為由,對此層層設(shè)限。5 月 26 日,美國商務(wù)部產(chǎn)業(yè)和安全局(BIS)發(fā)布了針對網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控制:網(wǎng)絡(luò)安全物項》。該規(guī)定以所謂國家安全和反恐為由,要求美國實體(如互聯(lián)網(wǎng)企業(yè))與中國政府等相關(guān)的組織和個人就網(wǎng)絡(luò)安全漏洞合作時,要事先通過美國商務(wù)部審核;并新增了漏洞檢測分析等技術(shù)產(chǎn)品針對我國的出口限制。此種限制實質(zhì)上是美國科技方面的技術(shù)封鎖在信息安全領(lǐng)域的延伸,這不僅破壞了國際網(wǎng)絡(luò)安全領(lǐng)域長久以來的漏洞分享機制,而且加劇了網(wǎng)絡(luò)空間安全形勢的惡化,更是對別國安全利益的嚴(yán)重威脅和對現(xiàn)行國際規(guī)則的肆意踐踏。 我國對漏洞管理一直秉持開放合作態(tài)度,2020年 9 月,我國提出《全球數(shù)據(jù)安全倡議》,呼吁全球各國秉持共商共建共享理念,齊心協(xié)力促進數(shù)據(jù)安全。在當(dāng)前復(fù)雜的國際形勢下,我們應(yīng)在總體國家安全觀的指引下,加快建設(shè)完善國家漏洞庫等管理平臺,加強網(wǎng)絡(luò)安全漏洞治理體系建設(shè),防范和消控網(wǎng)絡(luò)安全重大風(fēng)險,保障國家網(wǎng)絡(luò)安全,同時推進漏洞管理的國際合作,推動全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進。 一、國內(nèi)外國家漏洞治理現(xiàn)狀分析 防范漏洞風(fēng)險威脅網(wǎng)絡(luò)及國家安全,強化管理和法律手段是有效治理漏洞的關(guān)鍵,世界主要國家紛紛運營漏洞庫,建立協(xié)同披露機制,加大漏洞出口限制力度,目的都是盡量讓漏洞資源掌握在自己的手中。 (一)漏洞庫成為主要國家漏洞資源管控模式,社區(qū)隨意散播漏洞敏感信息現(xiàn)象突出。 一是西方國家率先開展漏洞庫建設(shè),開創(chuàng)漏洞資源管控模式。美國國家漏洞庫(NVD)是最早由政府投入建設(shè)和政策扶持的漏洞庫,利用其本國信息技術(shù)優(yōu)勢和平臺影響力,建立漏洞報送合作機制,制定漏洞技術(shù)標(biāo)準(zhǔn)和規(guī)范,從早期本土主流廠商、安全公司及研究機構(gòu),逐步推廣到各國重要合作廠商和機構(gòu)、研究團隊及個人向其報送漏洞,現(xiàn)已擁有全球范圍的重要漏洞數(shù)據(jù)。NVD 表面上看是實行漏洞信息的公開披露,但存在一些選擇性披露和滯后等問題。歐俄日澳等地區(qū)和國家積極效仿,基于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體制機制,搭建漏洞庫并建立漏洞收集渠道。 二是我國國家級漏洞庫發(fā)展迅速,資源匯聚管理見成效。國家領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)安全漏洞風(fēng)險防范工作。2009 年,中國信息安全測評中心建設(shè)運營國家信息安全漏洞庫(CNNVD),廣泛收集漏洞數(shù)據(jù),合理運用社會技術(shù)力量支撐機制,分析研判漏洞危害,披露漏洞信息,化解漏洞風(fēng)險,切實履行漏洞資源匯聚和消除重大隱患的職責(zé)。隨著技術(shù)應(yīng)用的發(fā)展和安全需求的擴大,工控、移動產(chǎn)品等專業(yè)漏洞庫相繼建設(shè)運營,定向通報漏洞信息,督促漏洞修復(fù)和處置,發(fā)揮著行業(yè)漏洞管理的積極作用。 三是社區(qū)或組織踴躍推出漏洞交流平臺,個性收集發(fā)布呈亂象。境外某些擁有資助背景的開源社區(qū)、安全組織極力宣傳漏洞獎勵機制,制定漏洞報送及披露策略,收集指定漏洞,隨意披露漏洞細(xì)節(jié)和利用代碼等敏感信息,甚至指名道姓地發(fā)布漏洞定位,此類不負(fù)責(zé)任的披露已經(jīng)給漏洞影響的系統(tǒng)和用戶帶來重大網(wǎng)絡(luò)安全風(fēng)險隱患,但仍處于法律灰色地帶并未加以管控。 (二)各國相繼推出漏洞披露制度,漏洞生命周期閉環(huán)管控機制有待完善。 一是美出臺多項漏洞披露相關(guān)法案,旨在維護國家安全并降低政府業(yè)務(wù)系統(tǒng)漏洞風(fēng)險。美國較早以法案和行政令等法律形式頒布漏洞披露策略,包括以情報機關(guān)主導(dǎo)的《漏洞裁決政策和程序》《補丁法案》,以及網(wǎng)絡(luò)安全部門發(fā)布的《網(wǎng)絡(luò)安全信息共享法》與有關(guān)漏洞協(xié)同披露行政令等,核心要義是為國家安全目的收集儲備可武器化漏洞提供機制保障,同時也是為權(quán)衡相關(guān)利益方及應(yīng)對大眾對公開透明的要求提供政策支撐。歐盟今年推出的《協(xié)同漏洞披露策略》報告分析了美中及歐盟成員國漏洞披露政策,傾向借鑒美的做法,為漏洞發(fā)現(xiàn)者創(chuàng)造“安全港”,提出了在歐洲范圍內(nèi)跨境協(xié)同披露漏洞的體制機制及法律方面的建設(shè)意見。 二是我國積極建立健全漏洞管理政策法規(guī),側(cè)重確立漏洞利益相關(guān)主體的法律責(zé)任。我國《網(wǎng)絡(luò)安全法》首先提出漏洞管理要求,明確漏洞發(fā)現(xiàn)、發(fā)布及處置的責(zé)任范圍,最新執(zhí)行的《網(wǎng)絡(luò)產(chǎn)品漏洞管理規(guī)定》對《網(wǎng)絡(luò)安全法》的要求做了進一步明確,從行業(yè)主管層面規(guī)范網(wǎng)絡(luò)安全產(chǎn)品漏洞發(fā)現(xiàn)、修復(fù)、發(fā)布等行為和活動的責(zé)任義務(wù),加強了漏洞報送和流通渠道管控,為全面開展漏洞治理制度體系建設(shè)打下堅實基礎(chǔ)。 三是漏洞披露是漏洞生命周期中心環(huán)節(jié),管控手段僅發(fā)力于此遠(yuǎn)不足以管制漏洞被攻擊利用。從產(chǎn)生、發(fā)現(xiàn)、發(fā)布直到徹底消除,不同漏洞的生命周期長度和各環(huán)節(jié)的發(fā)展千差萬別。事實證明,有的早期開發(fā)的 Linux 系統(tǒng)漏洞長存于代碼中十幾年未被發(fā)現(xiàn),還有相當(dāng)一部分零日漏洞被隱秘發(fā)現(xiàn)導(dǎo)致長期黑產(chǎn)利用或武器化。任何主體都有發(fā)現(xiàn)和利用漏洞的可能,覆蓋漏洞全生命周期的管控才是漏洞治理一以貫之的正確方向。 (三)漏洞作為國家戰(zhàn)略資源被各國限制出境,外流管控乏力導(dǎo)致漏洞風(fēng)險居高不下。 一是美國首先制定漏洞出口限制法律條文,認(rèn)定漏洞為國家戰(zhàn)略資源。漏洞影響的安全范圍涉及漏洞宿主的所有使用者,受影響者應(yīng)享有同等防范或降低漏洞風(fēng)險的安全權(quán)益。由美國主導(dǎo)的《瓦森納協(xié)定》在 2013 年更新中明確限制“入侵軟件”出口,所謂“入侵軟件”實質(zhì)上就是以漏洞為內(nèi)核的數(shù)字武器,而我國正是該協(xié)議排除在成員國之外的禁運國。這項規(guī)定標(biāo)志著以美為首的西方國家將漏洞正式界定到網(wǎng)絡(luò)空間武器管控范疇,同時也使漏洞武器化在一定范圍內(nèi)合法化。2022 年 5 月 26日,美國再次以國家安全視角,對《出口管理條例》網(wǎng)絡(luò)安全條款進行了修訂,新增了漏洞檢測分析等技術(shù)產(chǎn)品針對我國的出口限制。此種限制看似是對本國安全利益的維護,而其實質(zhì)加劇網(wǎng)絡(luò)空間安全形勢惡化,更是對別國安全利益的嚴(yán)重威脅和安全權(quán)力的肆意踐踏。 二是我國加大數(shù)據(jù)出境安全要求力度,嚴(yán)禁向境外提供危及國家安全的漏洞。某些境外組織機構(gòu)利用打比賽贏獎金的模式吸引漏洞發(fā)現(xiàn)者提交高風(fēng)險漏洞,導(dǎo)致漏洞嚴(yán)重外流、安全風(fēng)險加劇,為此網(wǎng)信部門及時有效應(yīng)對,發(fā)布《關(guān)于規(guī)范促進網(wǎng)絡(luò)安全競賽活動的通知》,嚴(yán)格禁止以損害國家安全為代價向境外賽事提供漏洞等敏感信息,鼓勵漏洞人才發(fā)揮技術(shù)特長積極保障國家網(wǎng)絡(luò)安全。占領(lǐng)網(wǎng)絡(luò)空間人才高地、引導(dǎo)漏洞研究力量朝著以維護國家安全為宗旨的方向發(fā)揮能力作用,是夯實網(wǎng)絡(luò)安全基礎(chǔ)的重中之重。 三是美數(shù)字大廠運用漏洞賞金榮譽張榜及技術(shù)合作等做法,刺激高級漏洞研究者持續(xù)為其貢獻高風(fēng)險漏洞。操作系統(tǒng)、云服務(wù)平臺及芯片等核心基礎(chǔ)軟硬件大廠積極回購產(chǎn)品漏洞,通過品牌效應(yīng)、推高漏洞價格爭奪漏洞人才和市場,抓住安全提供者力求搶占漏洞應(yīng)用市場先機的心理,利用共享漏洞成果等合作機制,積極獲取高質(zhì)量漏洞。這種漏洞回流的運作模式的確有助于改善產(chǎn)品安全性能,但此種現(xiàn)象也暴露出我國漏洞研究力量正處于失控狀態(tài)。 二、漏洞治理面臨數(shù)字化發(fā)展與產(chǎn)業(yè)鏈不完整多重挑戰(zhàn) 一是我國數(shù)字革命加速演進與數(shù)字產(chǎn)業(yè)鏈不充分發(fā)展的矛盾,帶來漏洞風(fēng)險治理難度增加。我國正在加快數(shù)字化發(fā)展和數(shù)字中國建設(shè),推進數(shù)字經(jīng)濟與實體經(jīng)濟深度融合。但實現(xiàn)數(shù)字產(chǎn)業(yè)鏈自主可控目標(biāo)還將經(jīng)過一個長期努力的過程,當(dāng)前數(shù)字產(chǎn)業(yè)基礎(chǔ)能力薄弱導(dǎo)致產(chǎn)業(yè)鏈不完整,加之國際局勢動蕩帶來供應(yīng)鏈不穩(wěn)定因素,數(shù)字安全保障痛點隨之加劇,漏洞風(fēng)險治理難點問題更加突出。 二是網(wǎng)絡(luò)資產(chǎn)數(shù)量巨大增量加速及資產(chǎn)底數(shù)不清問題依舊存在,帶來漏洞風(fēng)險辨識難以落位。網(wǎng)絡(luò)技術(shù)的變革推動萬物互聯(lián)向著萬物智聯(lián)邁進,網(wǎng)絡(luò)空間資產(chǎn)成指數(shù)級增長態(tài)勢,特別是云上云下資產(chǎn)復(fù)雜交織、類型眾多,工業(yè)互聯(lián)網(wǎng)等關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)可見,物理點位和網(wǎng)絡(luò)地址對應(yīng)關(guān)聯(lián)使得數(shù)字資產(chǎn)被實名化,而與此同時,很多企業(yè)機構(gòu)自身家底有待梳理摸清,防護強度和范圍存在很大疏漏,漏洞風(fēng)險排查能力和手段有待完善提升。 三是數(shù)字產(chǎn)品漏洞評價指標(biāo)及評估機制尚不完善,缺乏漏洞風(fēng)險管控責(zé)任監(jiān)督機制。數(shù)字產(chǎn)品生產(chǎn)進入組件化組裝開發(fā)模式,大量開源通用組件功能完備,自主代碼比例越來越低。隨著智能化的進程,數(shù)字產(chǎn)品生產(chǎn)效率越來越高,產(chǎn)品研發(fā)正在朝著自動化配置化趨近,定制化代碼比例日趨降低。開源通用組件如出現(xiàn)漏洞,導(dǎo)致鏈?zhǔn)接绊?,范圍極其廣泛。漏洞風(fēng)險等級應(yīng)成為開源組件首要質(zhì)量評價指標(biāo),漏洞風(fēng)險評估是監(jiān)督數(shù)字產(chǎn)品安全性能提升的基礎(chǔ)工作。 四是漏洞產(chǎn)業(yè)化發(fā)展不平衡,中上游出現(xiàn)的亂象是治理重點。不可避免的現(xiàn)實問題是漏洞的產(chǎn)業(yè)化。當(dāng)前漏洞產(chǎn)業(yè)鏈可分為以漏洞發(fā)現(xiàn)為上游,漏洞交易和披露為中游,漏洞應(yīng)用和利用為下游。漏洞市場受到黑產(chǎn)利益和政府支持的刺激,呈現(xiàn)出漏洞價格主導(dǎo)上游產(chǎn)出,加之漏洞生產(chǎn)工具購買和使用不受限,導(dǎo)致上游參與主體成分復(fù)雜不可控等問題。下游多以防護產(chǎn)品為主要產(chǎn)出,漏洞風(fēng)險感知能力仍是短板,已知漏洞利用檢測技術(shù)仍待攻關(guān)。如何讓漏洞產(chǎn)業(yè)服務(wù)于國家安全,還需要加強治理和合理引導(dǎo)。 五是漏洞人才缺口較大,培養(yǎng)引導(dǎo)和激勵全方位機制有待完善。我國擁有世界頂級漏洞發(fā)現(xiàn)人才,研究力量主要分散在資金雄厚的互聯(lián)網(wǎng)企業(yè),安全保障能力一流,但數(shù)量嚴(yán)重不足,院校培養(yǎng)和職業(yè)培訓(xùn)遠(yuǎn)遠(yuǎn)不能滿足當(dāng)前人才缺口。崗位設(shè)定和價值取向是漏洞研究最關(guān)心的問題,鼓勵引導(dǎo)青年優(yōu)秀漏洞人才服務(wù)國家安全是值得思考的重要議題。 三、落實國家安全要求,推動漏洞治理體系化能力建設(shè) 漏洞風(fēng)險關(guān)乎國家安全,治理漏洞風(fēng)險是維護國家安全和保障網(wǎng)絡(luò)安全的必然要求,實現(xiàn)高水平漏洞風(fēng)險治理自立自強,要重點著力在提高漏洞風(fēng)險治理的整體層面、貫徹漏洞全生命周期管控治理理念、拓展國際合作、推動漏洞產(chǎn)業(yè)的創(chuàng)新發(fā)展、激發(fā)漏洞研究人才的綜合價值。 一是把漏洞治理提升到國家安全層面,統(tǒng)籌漏洞治理體制機制建立健全。漏洞治理是解決非傳統(tǒng)安全風(fēng)險向傳統(tǒng)安全風(fēng)險傳導(dǎo)問題的關(guān)鍵環(huán)節(jié),是提升國家安全治理能力的基礎(chǔ),更是維護國家安全的重要戰(zhàn)略任務(wù),狠抓漏洞治理就是筑牢網(wǎng)絡(luò)安全根基。網(wǎng)絡(luò)互聯(lián)互通,數(shù)據(jù)無處不在,看似不起眼的漏洞可以毀掉宏大的數(shù)字工程。漏洞治理的關(guān)鍵和根本,是要依賴國家安全層面統(tǒng)一部署的工作機制,明確漏洞治理職能,構(gòu)建基礎(chǔ)研究、發(fā)現(xiàn)檢測、風(fēng)險評估及人才管理等治理能力,統(tǒng)籌推進漏洞風(fēng)險治理體系建設(shè),實現(xiàn)漏洞風(fēng)險有效管控。 二是貫穿漏洞全生命周期各環(huán)節(jié)細(xì)化管控制度,強化落實相關(guān)方責(zé)任。漏洞雖不可避免,但采取有效的管理和技術(shù)手段可以減少漏洞產(chǎn)生的數(shù)量、降低漏洞風(fēng)險的等級,改善數(shù)字產(chǎn)品安全性能。建立數(shù)字產(chǎn)品漏洞風(fēng)險評估機制,規(guī)范漏洞風(fēng)險等級標(biāo)準(zhǔn),組織可靠力量分級分批深挖細(xì)排。建議在已有安全審查機制基礎(chǔ)上,增強漏洞風(fēng)險動態(tài)評估機制。明確數(shù)字產(chǎn)品提供者使用者等相關(guān)方漏洞排查和修復(fù)的責(zé)任和要求,專業(yè)機構(gòu)協(xié)同檢測評估處置,實現(xiàn)漏洞全生命周期覆蓋管控。 三是倡導(dǎo)全球數(shù)字產(chǎn)業(yè)高質(zhì)量發(fā)展,促進國際合作共同構(gòu)建漏洞治理體系。數(shù)字化轉(zhuǎn)型是全球經(jīng)濟發(fā)展趨勢,全球數(shù)字供應(yīng)鏈相互交織,單方面斷供禁售不符合協(xié)作共贏的發(fā)展理念,提供高質(zhì)量數(shù)字技術(shù)、以負(fù)責(zé)任的態(tài)度持續(xù)保障產(chǎn)品安全性能才是拓展國際市場的長遠(yuǎn)之計。特別要與核心基礎(chǔ)數(shù)字產(chǎn)品供應(yīng)方建立漏洞信息及時共享的保障機制,共同創(chuàng)建國際通用的漏洞規(guī)范標(biāo)準(zhǔn),引領(lǐng)國際漏洞治理體系新規(guī)則,實現(xiàn)安全權(quán)益最大化。 四是營造良好的漏洞產(chǎn)業(yè)發(fā)展環(huán)境,推動漏洞技術(shù)攻關(guān)和應(yīng)用創(chuàng)新。漏洞產(chǎn)業(yè)是漏洞風(fēng)險治理的重要支柱力量,在嚴(yán)厲打擊黑產(chǎn)鏈條基礎(chǔ)上,合理引導(dǎo)上游產(chǎn)出,加大中游參與主體準(zhǔn)入和監(jiān)督力度,運用政策支持鼓勵下游企業(yè)積極應(yīng)用創(chuàng)新,規(guī)劃布局產(chǎn)業(yè)整體發(fā)展方向,有力提升產(chǎn)業(yè)效能,充分發(fā)揮產(chǎn)業(yè)漏洞治理的重要作用。 五是加快建設(shè)漏洞人才戰(zhàn)略力量,突出人才價值體現(xiàn),發(fā)揮人才隊伍主觀能動性。網(wǎng)絡(luò)空間安全博弈既是攻防較量,更是人與人的對抗,漏洞人才是維護國家安全和提升技術(shù)優(yōu)勢地位的戰(zhàn)略資產(chǎn)。我國漏洞人才面臨嚴(yán)重不足和合理利用雙重挑戰(zhàn),既要從娃娃抓起,建設(shè)漏洞學(xué)科體系,培養(yǎng)致力于投身國家安全的高素質(zhì)人才,又要正向引導(dǎo)社會人才隊伍積極技術(shù)攻關(guān),同時統(tǒng)籌漏洞人才職業(yè)教育,激勵人才學(xué)以致用,吸引更多有識之士投入到漏洞治理行動中來。 漏洞治理為國家安全賦能,是保障數(shù)字經(jīng)濟國家戰(zhàn)略順利推進的一把利劍,是網(wǎng)絡(luò)安全能力提升的關(guān)鍵環(huán)節(jié),大力推動漏洞風(fēng)險治理體系建設(shè)勢在必行。維護國家安全是每個公民應(yīng)盡的義務(wù),作為安全從業(yè)者,攻克漏洞治理這一最具挑戰(zhàn)的課題,既是責(zé)任擔(dān)當(dāng)更是初心使命。 (本文刊登于《中國信息安全》雜志2022年第6期) |
上一篇:2022年7月14日聚銘安全速遞 |