0 引 言
漏洞(Vulnerability) 是在硬件,、軟件,、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,, 從而使攻擊者能夠在未授權(quán)的情況下訪問(wèn),、破壞或控制目標(biāo)系統(tǒng),。從技術(shù)層面看,,漏洞本身無(wú)法根除,。漏洞的開(kāi)發(fā)利用頻繁,,相對(duì)廉價(jià)快速,, 而漏洞發(fā)現(xiàn)后消除周期較長(zhǎng),。如果大量漏洞長(zhǎng)期暴露得不到及時(shí)有效的處置,那么新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將進(jìn)一步疊加,。
漏洞管理(Vulnerability Management) 通常定義為對(duì)操作系統(tǒng)(OS)、企業(yè)應(yīng)用程序,、瀏覽器和最終用戶(hù)應(yīng)用程序中的漏洞進(jìn)行識(shí)別,、分類(lèi)、確定優(yōu)先級(jí)和處理,,是一個(gè)持續(xù)的過(guò)程,。由于資源是有限的,漏洞管理強(qiáng)調(diào)用有限的投入去實(shí)現(xiàn)最大限度的安全效益,。
漏洞本身雖然不產(chǎn)生危害,,但一旦被利用, 極有可能帶來(lái)嚴(yán)重的威脅和損害,。在網(wǎng)絡(luò)安全領(lǐng)域,,漏洞常被攻擊方視為“殺手锏”武器, 又被防守方當(dāng)作“萬(wàn)惡之源”,。針對(duì)網(wǎng)絡(luò)安全本源性的難題,,構(gòu)建一個(gè)互利的、穩(wěn)定運(yùn)行的漏洞管理國(guó)際機(jī)制,,既符合各方利益,,也有利于推動(dòng)全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進(jìn)。
?。?漏洞管理國(guó)際合作的現(xiàn)實(shí)要求
在全球進(jìn)入萬(wàn)物互聯(lián)的時(shí)代,,各國(guó)處于加速發(fā)展數(shù)字經(jīng)濟(jì)、建設(shè)數(shù)字政府,、數(shù)字社會(huì)的新階段,,漏洞已經(jīng)成為影響一個(gè)國(guó)家經(jīng)濟(jì)發(fā)展和國(guó)計(jì)民生的重要網(wǎng)絡(luò)安全風(fēng)險(xiǎn),也是國(guó)際社會(huì)共同面臨的網(wǎng)絡(luò)空間治理難題,。
1.1 漏洞管理涉及網(wǎng)絡(luò)安全的全球生態(tài)建設(shè)
當(dāng)前,,全球安全漏洞數(shù)量快速增長(zhǎng),危險(xiǎn)級(jí)別不斷提升,。與此同時(shí),,漏洞的責(zé)任難以界定、漏洞的評(píng)估缺乏人員經(jīng)驗(yàn)支撐,、漏洞的修復(fù)推動(dòng)困難,,這些問(wèn)題都表明要想防止網(wǎng)絡(luò)安全漏洞在全球范圍內(nèi)造成更為巨大的危害,漏洞管理需要多方協(xié)作,。
第一,,漏洞的來(lái)源具有跨國(guó)性,。當(dāng)今世界, 幾乎所有的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施都對(duì)信息通信技術(shù)(以下簡(jiǎn)稱(chēng) ICT)的依賴(lài)程度越來(lái)越高,。ICT 供應(yīng)鏈最突出的特點(diǎn)是產(chǎn)品要通過(guò)高度分散的全球供應(yīng)鏈實(shí)現(xiàn)開(kāi)發(fā),、集成和交付, 而產(chǎn)品的設(shè)計(jì),、開(kāi)發(fā),、采購(gòu)、生產(chǎn),、倉(cāng)儲(chǔ),、物流、銷(xiāo)售,、維護(hù),、召回等每個(gè)環(huán)節(jié)都有可能被篡改或控制。
第二,,漏洞的官方披露滯后,。大量漏洞在官方披露之前已經(jīng)在社交媒體和黑市討論。新聞?wù)军c(diǎn),、博客和社交媒體,,以及暗網(wǎng)和犯罪論壇, 往往比美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)統(tǒng)管的加強(qiáng)對(duì)網(wǎng)絡(luò)安全漏洞的處置及后續(xù)的防控更快公布漏洞,。威脅情報(bào)公司 Recorded Future 表示,, 從 2015 年到 2017 年,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,,然后社交媒體上討論近 90 天后才能收錄在美國(guó)國(guó)家數(shù)據(jù)庫(kù)中 。非官方與官方漏洞披露的錯(cuò)位導(dǎo)致漏洞威脅信息不對(duì)稱(chēng),,使得未能及時(shí)掌握漏洞信息的政府機(jī)構(gòu),、企業(yè)、廠商和個(gè)人面臨漏洞利用帶來(lái)的重大安全風(fēng)險(xiǎn),。
第三,,開(kāi)源軟件漏洞的修復(fù)困難。隨著“大智移云鏈”等新興技術(shù)的廣泛應(yīng)用,,開(kāi)源軟件的支撐作用越發(fā)明顯,。幾乎所有的商業(yè)軟件代碼庫(kù)都包含開(kāi)源共享代碼。由于開(kāi)源軟件的規(guī)模龐大,、漏洞頻發(fā),、引用關(guān)系復(fù)雜等特點(diǎn),給應(yīng)用系統(tǒng)的安全處置帶來(lái)很大挑戰(zhàn),。同時(shí),,漏洞修復(fù)和版本升級(jí)需要投入大量的開(kāi)發(fā)和測(cè)試工作量,,部分開(kāi)源軟件沒(méi)有安全版本可用,對(duì)漏洞處置方案提出了更高的要求,。
1.2 漏洞武器化成為網(wǎng)絡(luò)空間和平的重大威脅
不同類(lèi)型的漏洞獲取,,意味著取得不同等級(jí)的系統(tǒng)控制權(quán)和風(fēng)險(xiǎn)數(shù)據(jù),并且隨著網(wǎng)絡(luò)漏洞的武器化,,很多網(wǎng)絡(luò)安全維護(hù)措施可能失去效用,。因此,在軍事上,,漏洞是侵入他國(guó)系統(tǒng)最有力的武器,,各國(guó)軍方將漏洞視為戰(zhàn)略資源。在民用領(lǐng)域,,漏洞已參與到國(guó)家,、企業(yè)之間的競(jìng)爭(zhēng)。
美國(guó)利用信息技術(shù)及產(chǎn)品在全球的壟斷地位實(shí)現(xiàn)了對(duì)全球漏洞的掌控,,加之其積極推行“前置防御”“持續(xù)交手”網(wǎng)絡(luò)空間戰(zhàn)略,,網(wǎng)絡(luò)世界面臨濃重的戰(zhàn)爭(zhēng)陰影。美國(guó)政府可通過(guò)美國(guó)國(guó)家漏洞庫(kù)(NVD)面向全球收集漏洞,, Microsoft,、Cisco、Apple,、Adobe 等全球主要軟硬件廠商的產(chǎn)品漏洞都在美國(guó)國(guó)家漏洞庫(kù)的掌握之中,。同時(shí),美國(guó)通過(guò)“出口限制禁令”限制零日漏洞及其相關(guān)產(chǎn)品流出美國(guó),。2015 年美國(guó)《瓦森納協(xié)定》的新出口限制禁令,,將未公開(kāi)的軟件漏洞視為潛在的武器進(jìn)行限制和監(jiān)管。國(guó)際社會(huì)需要建立一種國(guó)際機(jī)制,,有效抵消漏洞武器化的效果,,并約束國(guó)家的惡意網(wǎng)絡(luò)行為。
1.3 限制和消除漏洞已經(jīng)成為國(guó)際共識(shí)
無(wú)論是出于對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的需要,, 還是國(guó)家安全的考慮,,限制和消除漏洞已經(jīng)成為大多數(shù)國(guó)家參與網(wǎng)絡(luò)空間國(guó)際治理的重要?jiǎng)恿Α?015 年聯(lián)合國(guó)信息安全政府專(zhuān)家組報(bào)告達(dá)成了 11 項(xiàng)自愿的非約束性負(fù)責(zé)任國(guó)家行為規(guī)范 。其中,,第 10 項(xiàng)指出,,“各國(guó)應(yīng)鼓勵(lì)負(fù)責(zé)任的報(bào)道信通技術(shù)的脆弱性,分享有關(guān)這種脆 弱性的現(xiàn)有補(bǔ)救辦法的相關(guān)資料,,以限制并可 能消除信通技術(shù)和依賴(lài)信通技術(shù)的基礎(chǔ)設(shè)施所面臨的潛在威脅”,。在本屆聯(lián)合國(guó)信息安全開(kāi)放式工作組(OEWG)中,關(guān)于負(fù)責(zé)任行為規(guī)范議題,有多國(guó)提議“進(jìn)一步確保信通技術(shù)供應(yīng)鏈的完整性,,對(duì)在信通技術(shù)產(chǎn)品中創(chuàng)造有害的 隱藏功能表示關(guān)切,,并有責(zé)任在發(fā)現(xiàn)重大漏洞時(shí)通知用戶(hù)”。關(guān)于能力建設(shè),,也有建議提出“建立有相關(guān)利益攸關(guān)方參與的國(guó)家協(xié)調(diào)機(jī)構(gòu),, 以評(píng)估方案的有效性,可有助于國(guó)家處理信通 技術(shù)安全問(wèn)題”,。
?。?漏洞管理的國(guó)際組織和平臺(tái)
隨著信息技術(shù)的快速迭代發(fā)展,漏洞的發(fā)展變化給一國(guó)的漏洞管理帶來(lái)了新的挑戰(zhàn),。世界各主要國(guó)家紛紛制定漏洞管理政策,,建立國(guó)家級(jí)漏洞平臺(tái)和處理機(jī)制,在漏洞管理的實(shí)踐中,,積累了很多經(jīng)驗(yàn) ,。從全球視角看,以下國(guó)際組織和平臺(tái)體現(xiàn)了國(guó)際社會(huì)加強(qiáng)合作,,共同應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)的努力,。
2.1 國(guó)際標(biāo)準(zhǔn)化組織
國(guó) 際 標(biāo) 準(zhǔn) 化 組 織(International Standards Organization,ISO)兩項(xiàng)標(biāo)準(zhǔn),,ISO 29147 和 ISO 30111,,規(guī)定了響應(yīng)安全漏洞的組織結(jié)構(gòu)和處理流程。
ISO/IEC 29147:漏洞披露流程,。該標(biāo)準(zhǔn)為供應(yīng)商提供了從外部獲取其產(chǎn)品或在線服務(wù)的漏洞信息的五個(gè)步驟,,包括接受漏洞報(bào)告、漏洞驗(yàn)證,、解決方案開(kāi)發(fā),、發(fā)布和發(fā)布后事項(xiàng)。
ISO/IEC 30111:漏洞處理流程,。該標(biāo)準(zhǔn)規(guī)定機(jī)構(gòu)應(yīng)該有的漏洞處理的內(nèi)部流程,,幫助機(jī)構(gòu)在外部報(bào)告到達(dá)后進(jìn)行漏洞調(diào)查和補(bǔ)救。
2.2 通用漏洞披露平臺(tái)
通用漏洞披露平臺(tái)(Common Vulnerabilities & Exposures,,CVE),為已披露的漏洞給出唯一的公共命名,。CVE 就好像是一個(gè)字典表,,通過(guò)公共命名使得 CVE 成為了安全信息共享的“關(guān)鍵字”,幫助用戶(hù)在各自獨(dú)立的漏洞數(shù)據(jù)庫(kù)和漏洞評(píng)估工具中共享數(shù)據(jù),。雖然這些工具很難整合在一起,,但是如果在漏洞報(bào)告中的一個(gè)漏洞有 CVE 名稱(chēng),就可以快速地在任何其他 CVE 兼容的數(shù)據(jù)庫(kù)中找到相應(yīng)修補(bǔ)的信息,。
2.3 漏洞提交平臺(tái)
ExploitDB 是一個(gè)面向全世界黑客的漏洞提交平臺(tái),,該平臺(tái)會(huì)公布最新漏洞的相關(guān)情況,, 由此幫助企業(yè)改善安全狀況,同時(shí)也幫助安全研究者更好地進(jìn)行安全測(cè)試工作,。ExploitDB 提供一整套龐大的歸檔體系,,其中涵蓋了各類(lèi)公開(kāi)的攻擊事件、漏洞報(bào)告,、安全文章以及技術(shù)教程等資源,。
2.4 互聯(lián)網(wǎng)工程指導(dǎo)小組
2019 年12 月,互聯(lián)網(wǎng)工程指導(dǎo)小組 (Internet Engineering Steering Group,,IESG)發(fā)布了網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 的最終征求意見(jiàn)稿,,該標(biāo)準(zhǔn)“Web 安全策略方法”旨在改善獨(dú)立安全研究人員用來(lái)披露 Web 服務(wù)漏洞的通信渠道,盡可能簡(jiǎn)化研究人員的漏洞披露過(guò)程,。在獲得美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布的聯(lián)邦政府漏洞披露策略草案背書(shū)后,,IESG 的全球性網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 草案也進(jìn)入了最后一輪意見(jiàn)征詢(xún)階段。
2.5 事件響應(yīng)和安全團(tuán)隊(duì)論壇
事件響應(yīng)和安全團(tuán)隊(duì)論壇(Forum of Incident Response and Security Teams,,F(xiàn)IRST) 是一個(gè)多利益攸關(guān)方參與的組織,,匯集了來(lái)自政府、商業(yè)和教育組織的各種計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì),, 也是事件響應(yīng)方面公認(rèn)的全球領(lǐng)導(dǎo)者,。FIRST 旨在促進(jìn)事件預(yù)防方面的合作與協(xié)調(diào),激發(fā)對(duì)事件的快速反應(yīng),,并促進(jìn)成員與整個(gè)社群之間的信息共享,。FIRST 實(shí)行會(huì)員制。目前FIRST 擁有500 多個(gè)會(huì)員,,遍布非洲,、美洲、亞洲,、歐洲和大洋洲,。其成員基本上分成三類(lèi),一是各個(gè)國(guó)家本土的CERT,,二是設(shè)備制造商,,三是運(yùn)營(yíng)商, 還包括一些來(lái)自學(xué)術(shù)機(jī)構(gòu)的其他成員,。在漏洞管理方面,,F(xiàn)IRST 有四項(xiàng)工作是非常有價(jià)值的。
第一,,成立了由銀行,、金融、技術(shù)和學(xué)術(shù)界等眾多行業(yè)代表組成的特別小組(SIG),對(duì)通用漏洞評(píng)分系統(tǒng) CVSS 進(jìn)行改進(jìn),。
第二,,著手開(kāi)發(fā)漏洞利用預(yù)測(cè)評(píng)分系統(tǒng)(Exploit Prediction Scoring System,EPSS),, 對(duì)公開(kāi)披露的漏洞進(jìn)行近實(shí)時(shí)的評(píng)估,,預(yù)測(cè)軟件漏洞的利用,幫助網(wǎng)絡(luò)防御者更好地確定漏洞修復(fù)工作的優(yōu)先級(jí),。
第三,,發(fā)布了“多方漏洞協(xié)調(diào)和披露指南和實(shí)踐”。該文件是美國(guó)國(guó)家電信和信息管理局(NTIA)與 FIRST 共同的研究成果,,旨在幫助改善不同利益相關(guān)者之間的多方漏洞協(xié)調(diào),。
第四,成立了漏洞報(bào)告和數(shù)據(jù)交換特別小組,,研究和推薦在不同的漏洞數(shù)據(jù)庫(kù)之間識(shí)別和交換漏洞信息的方法,。在第一階段(2013 年至 2015 年),F(xiàn)IRST 開(kāi)發(fā)漏洞數(shù)據(jù)庫(kù)目錄,。在第二階段(從 2015 年開(kāi)始),,F(xiàn)IRST 將開(kāi)發(fā)漏洞 ID 交叉引用系統(tǒng)和漏洞披露策略目錄,制定并發(fā)布漏洞披露以及處理策略的目錄,。
?。?漏洞管理國(guó)際合作的重點(diǎn)
眾所周知,從國(guó)家安全的角度,,國(guó)家軍事部門(mén)和情報(bào)部門(mén)對(duì)漏洞非常重視,,是漏洞利用的需求方、開(kāi)發(fā)方和使用方,。從這一點(diǎn)講,,漏洞管理的國(guó)際合作非常敏感,也是漏洞管理國(guó)際合作需要平衡和兼顧之處,。為了讓合作具有可操作性和可持續(xù)性,,漏洞管理國(guó)際合作需要尊重各方國(guó)家安全上的關(guān)切和顧慮,在各方已經(jīng)公開(kāi)的漏洞資源基礎(chǔ)上,,以公開(kāi),、透明的方式加強(qiáng)漏洞資源的共享和協(xié)調(diào)。
3.1 聚焦公開(kāi)漏洞的信息分享
目前,,世界上有大量的國(guó)家級(jí)漏洞平臺(tái),。包括中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD)、中國(guó)國(guó)家信息安全漏洞共享平臺(tái)(CNVD),、美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD),、日本漏洞庫(kù)(JVN)、歐盟的“安全漏洞庫(kù)服務(wù)”(Security Vulnerability Repository Service,,SVRS) 等,。漏洞管理的國(guó)際合作可在各國(guó)已經(jīng)公開(kāi)披露的漏洞信息的基礎(chǔ)上加強(qiáng)漏洞信息分享和交流。
3.2 聚焦軟件供應(yīng)鏈安全
相對(duì)硬件供應(yīng)鏈,,軟件供應(yīng)鏈的漏洞發(fā)現(xiàn)和修復(fù)相對(duì)比較容易,。近期“太陽(yáng)風(fēng)”供應(yīng)鏈攻擊事件表明,軟件漏洞利用具有涉及維度廣,、攻擊成本低,、回報(bào)高、檢測(cè)困難等特性,。加之開(kāi)源代碼的使用,,軟件漏洞的防控處理越發(fā)具有挑戰(zhàn)。同時(shí),,隨著物聯(lián)網(wǎng)的迅速發(fā)展,,在物聯(lián)網(wǎng)相關(guān)的場(chǎng)景下,智慧城市,、智慧家庭,、智慧醫(yī)療、智慧交通和智慧工業(yè)等新應(yīng)用的安全問(wèn)題將逐漸暴露出來(lái),。因此,,物聯(lián)網(wǎng)軟件漏洞的管理將是有更多國(guó)際合作需求的領(lǐng)域。
3.3 聚焦漏洞修復(fù)
在實(shí)踐中,,漏洞修復(fù)的問(wèn)題比漏洞本身還大,。一個(gè)漏洞可能涉及多個(gè)行業(yè),也就意味著漏洞的修復(fù)涉及多家企業(yè),、多個(gè)廠商,、多個(gè)用戶(hù)。但是,,供應(yīng)商發(fā)布了補(bǔ)丁未必意味著脆弱設(shè)備就已被修復(fù),。很多情況下,有時(shí)候是因?yàn)槲锢砩蠠o(wú)法修復(fù)這些設(shè)備,;有時(shí)候是因供應(yīng)商不具備漏洞修復(fù)能力,,或者漏洞修復(fù)后系統(tǒng)不穩(wěn)定等原因使得有一部分漏洞難以修復(fù)。
理論上,,產(chǎn)品之間有交叉處的企業(yè)或廠商,, 在漏洞修復(fù)上自然會(huì)有技術(shù)上合作的需求。但是,,讓跨國(guó)企業(yè)一起去修復(fù)漏洞并不太容易,, 這就需要國(guó)家力量的協(xié)調(diào),,找出企業(yè)的困難點(diǎn)在哪里,短板在哪里,,去平衡企業(yè)的動(dòng)力不足,。因此,漏洞修復(fù)可以是政府間合作最能發(fā)揮作用的地方,。
?。?漏洞管理國(guó)際合作的路徑
網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性問(wèn)題,任何一個(gè)環(huán)節(jié)出現(xiàn)錯(cuò)誤都會(huì)導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問(wèn)題,,因而漏洞管理要從系統(tǒng)整個(gè)生命周期的多個(gè)階段去考慮,。本著避免重復(fù)建設(shè),充分利用現(xiàn)有資源的原則,,針對(duì)已經(jīng)公開(kāi)披露的漏洞,,漏洞管理的國(guó)際合作可以圍繞漏洞的報(bào)告、優(yōu)先化,、響應(yīng)的三大環(huán)節(jié)建立漏洞信息交流,、評(píng)估、修復(fù)的國(guó)際合作運(yùn)行機(jī)制,。
4.1 漏洞信息交流機(jī)制
漏洞披露是修復(fù)漏洞的基礎(chǔ)環(huán)節(jié),,也是展開(kāi)漏洞管理國(guó)際合作的重要前提。在很多國(guó)家內(nèi)部,,漏洞披露已經(jīng)形成一條較為完整的產(chǎn)業(yè)鏈,,按漏洞的生命周期可分為:發(fā)現(xiàn)漏洞、安全信息提供,、漏洞信息資源提供,。從各國(guó)的實(shí)踐看,漏洞披露政策有相似之處,,都涉及漏洞信息通過(guò)什么方式提交,,漏洞信息在專(zhuān)業(yè)機(jī)構(gòu)、研究人員和廠商間如何共享,,何時(shí)或者通過(guò)什么方式向公眾披露,。而且,考慮到既要符合漏洞管理和利用的要求,,也要符合社會(huì)公共安全利益,,各國(guó)的漏洞披露策略都非常謹(jǐn)慎。在各方漏洞披露的基礎(chǔ)上加強(qiáng)漏洞信息交流共享,, 及時(shí)更新漏洞警報(bào)和補(bǔ)丁信息,,既有必要也非常有用。
目前,,由非盈利組織 MITRE 管理的通用漏洞 披 露(Common Vulnerabilities & Exposures,, CVE)平臺(tái)已成為國(guó)際公認(rèn)的公開(kāi)漏洞分享平臺(tái),。CVE 是一個(gè)漏洞索引數(shù)據(jù)庫(kù),主要功能是對(duì)漏洞標(biāo)識(shí)信息提供一個(gè)跨平臺(tái)標(biāo)準(zhǔn),。但是,,CVE 有兩個(gè)局限。一是 CVE 沒(méi)有一個(gè)已存在的所有漏洞的完整列表,。二是 CVE 的更新不及時(shí),一些漏洞幾年的時(shí)間仍保持著“候選”狀態(tài),。因此,, 國(guó)際合作可以通用漏洞披露平臺(tái)為基礎(chǔ),聯(lián)合各方的國(guó)家級(jí)漏洞庫(kù),,在國(guó)家已公開(kāi)披露的漏洞基礎(chǔ)上,,建立漏洞更新的通報(bào)機(jī)制,具體內(nèi)容可以包括:
第一,,豐富 CVE 的漏洞列表,,加快 CVE 的漏洞審查速度。
第二,,以自愿共享為原則,,各方將其收集并已發(fā)布的漏洞信息上傳至國(guó)際漏洞信息共享平臺(tái)。
第三,,檢測(cè)新漏洞動(dòng)向,,披露關(guān)于新漏洞的警告。利用廣泛的在線資源,,主動(dòng)收集漏洞信息,,及時(shí)披露新發(fā)現(xiàn)漏洞,搶在黑客知悉漏洞細(xì)節(jié)并加以利用之前,,向各方的 IT 部門(mén),、政府機(jī)構(gòu)和用戶(hù)發(fā)出警告。
4.2 漏洞評(píng)估機(jī)制
漏洞評(píng)估是目前漏洞管理的痛點(diǎn)所在,。漏洞所造成的實(shí)際危害千差萬(wàn)別,,如果針對(duì)漏洞對(duì)應(yīng)的資產(chǎn)、環(huán)境等因素進(jìn)行危害評(píng)估的體系缺位,,將直接導(dǎo)致漏洞處置工作缺乏抓手,。目前, 網(wǎng)絡(luò)安全漏洞危害評(píng)級(jí)主要采用定性定量評(píng)估方式,,全球主要參考指南為美國(guó)國(guó)家基礎(chǔ)設(shè)施顧問(wèn)委員會(huì)(NIAC)開(kāi)發(fā)的《通用漏洞評(píng)分系統(tǒng)指南》(CVSS),。建議在 CVSS 的基礎(chǔ)上完善漏洞評(píng)估機(jī)制,進(jìn)一步完善漏洞評(píng)估內(nèi)容,。
其一,,設(shè)置統(tǒng)一的“漏洞評(píng)估分類(lèi)標(biāo)準(zhǔn)”,, 對(duì)已上傳至漏洞信息共享平臺(tái)的漏洞進(jìn)行二次評(píng)級(jí)??芍攸c(diǎn)參照事件響應(yīng)和安全小組論壇
?。‵IRST)的指標(biāo)集和國(guó)際標(biāo)準(zhǔn)組織 ISO 的漏洞披露標(biāo)準(zhǔn)文件,探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評(píng)估方法,。
其二,,對(duì)ICT 產(chǎn)品的漏洞修復(fù)能力進(jìn)行評(píng)估。包括督促性分析,,如未修復(fù)漏洞的超時(shí)時(shí)間和排名,;最近一個(gè)月新增漏洞的修復(fù)排名,高危漏洞平均修復(fù)時(shí)間排名等,,目的是以一種公開(kāi),、透明的方式督促 ICT 供應(yīng)商加強(qiáng)漏洞修復(fù)。
4.3 漏洞處置協(xié)調(diào)機(jī)制
加強(qiáng)漏洞修復(fù)和后續(xù)防控,,可以減少可能引發(fā)的網(wǎng)絡(luò)安全損害,。有些漏洞在特定的環(huán)境中無(wú)法完全消除,強(qiáng)行消除漏洞可能引入更大的安全風(fēng)險(xiǎn),,導(dǎo)致系統(tǒng)停擺,、數(shù)據(jù)泄露等更嚴(yán)重的事故。而終端用戶(hù)往往缺乏有效的判斷依據(jù),,往往不懂漏洞處置,,不敢處置。
目前,,事件響應(yīng)和安全小組論壇(FIRST) 已經(jīng)建立了重大網(wǎng)絡(luò)安全事件響應(yīng)的國(guó)際機(jī)制,。但是由于FIRST 實(shí)行會(huì)員制,且入會(huì)門(mén)檻比較高,, 準(zhǔn)入機(jī)制復(fù)雜,,審核時(shí)間較長(zhǎng),通常采取論壇,、會(huì)議,、培訓(xùn)的方式開(kāi)展國(guó)際學(xué)術(shù)活動(dòng),其在漏洞應(yīng)急修復(fù)方面的全球協(xié)調(diào)能力有明顯不足,。建議在 FIRST 的基礎(chǔ)上,,完善漏洞處置協(xié)調(diào)機(jī)制,主要內(nèi)容可以包括:
其一,,建立漏洞補(bǔ)丁庫(kù),。使 CVE 的漏洞索引編號(hào)與漏洞補(bǔ)丁庫(kù)的索引編號(hào)相聯(lián)系,通過(guò)統(tǒng)一標(biāo)識(shí),,加強(qiáng)漏洞識(shí)別和相對(duì)應(yīng)的補(bǔ)救措施之間的協(xié)調(diào),。
其二,,設(shè)立全球網(wǎng)絡(luò)漏洞管理的國(guó)際專(zhuān)家?guī)臁S扇蚓W(wǎng)絡(luò)信息漏洞專(zhuān)家對(duì)披露的高危漏洞信息進(jìn)行評(píng)估,,制定漏洞修復(fù)策略,。針對(duì)暗網(wǎng)和社交媒體等非官方渠道的漏洞披露信息, 依托技術(shù)實(shí)力較強(qiáng)的企業(yè)和技術(shù)社群,,進(jìn)行漏洞危險(xiǎn)性評(píng)估和預(yù)警,。
5 結(jié) 語(yǔ)
2020 年9 月,中國(guó)提出《全球數(shù)據(jù)安全倡議》,。2021 年 3 月,,中國(guó)外交部同阿拉伯國(guó)家共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》,體現(xiàn)了發(fā)展中國(guó)家在數(shù)字治理領(lǐng)域的高度共識(shí),。網(wǎng)絡(luò)安全漏洞管理的合作可以作為一個(gè)構(gòu)成網(wǎng)絡(luò)空間信任的基點(diǎn),通過(guò)網(wǎng)絡(luò)空間基底層的具體合作行動(dòng)去凝聚國(guó)際共識(shí),,尋求符合各國(guó)利益的網(wǎng)絡(luò)空間治理的最大公約數(shù),。對(duì)于網(wǎng)絡(luò)安全漏洞管理,我國(guó)積累了豐富的經(jīng)驗(yàn)和實(shí)踐,,有能力以漏洞管理國(guó)際合作為突破口,,在控制我國(guó)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)的同時(shí),推動(dòng)網(wǎng)絡(luò)安全漏洞管理的最佳實(shí)踐,,讓具備專(zhuān)業(yè)能力的政府機(jī)構(gòu)作為牽頭單位,, 以技術(shù)社群作支撐,逐步推進(jìn)漏洞管理的國(guó)際合作,。
