信息來源：安全內(nèi)參

自誕生以來，漏洞就是黑客攻擊的主要武器來源、網(wǎng)絡(luò)安全的防護焦點、攻守對抗的核心所在。漏洞對于網(wǎng)絡(luò)空間的安全舉足輕重。對漏洞的管理，我國一直堅持“統(tǒng)籌發(fā)展與安全”的理念。2021 年印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，不僅規(guī)范了漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為，同時也鼓勵各類主體發(fā)揮各自技術(shù)和機制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作，以達到維護國家網(wǎng)絡(luò)安全的最終目的。

漏洞作為網(wǎng)絡(luò)空間安全的重要資源，涉及到全球信息技術(shù)產(chǎn)業(yè)，建立一個互利的漏洞管理國際合作機制，對漏洞資源進行共享和管控是國際通行慣例。但也有國家以本國安全優(yōu)先為由，對此層層設(shè)限。5 月 26 日，美國商務(wù)部產(chǎn)業(yè)和安全局（BIS）發(fā)布了針對網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控制：網(wǎng)絡(luò)安全物項》。該規(guī)定以所謂國家安全和反恐為由，要求美國實體（如互聯(lián)網(wǎng)企業(yè)）與中國政府等相關(guān)的組織和個人就網(wǎng)絡(luò)安全漏洞合作時，要事先通過美國商務(wù)部審核；并新增了漏洞檢測分析等技術(shù)產(chǎn)品針對我國的出口限制。此種限制實質(zhì)上是美國科技方面的技術(shù)封鎖在信息安全領(lǐng)域的延伸，這不僅破壞了國際網(wǎng)絡(luò)安全領(lǐng)域長久以來的漏洞分享機制，而且加劇了網(wǎng)絡(luò)空間安全形勢的惡化，更是對別國安全利益的嚴重威脅和對現(xiàn)行國際規(guī)則的肆意踐踏。

我國對漏洞管理一直秉持開放合作態(tài)度，2020年 9 月，我國提出《全球數(shù)據(jù)安全倡議》，呼吁全球各國秉持共商共建共享理念，齊心協(xié)力促進數(shù)據(jù)安全。在當(dāng)前復(fù)雜的國際形勢下，我們應(yīng)在總體國家安全觀的指引下，加快建設(shè)完善國家漏洞庫等管理平臺，加強網(wǎng)絡(luò)安全漏洞治理體系建設(shè)，防范和消控網(wǎng)絡(luò)安全重大風(fēng)險，保障國家網(wǎng)絡(luò)安全，同時推進漏洞管理的國際合作，推動全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進。

一、國內(nèi)外國家漏洞治理現(xiàn)狀分析

防范漏洞風(fēng)險威脅網(wǎng)絡(luò)及國家安全，強化管理和法律手段是有效治理漏洞的關(guān)鍵，世界主要國家紛紛運營漏洞庫，建立協(xié)同披露機制，加大漏洞出口限制力度，目的都是盡量讓漏洞資源掌握在自己的手中。

（一）漏洞庫成為主要國家漏洞資源管控模式，社區(qū)隨意散播漏洞敏感信息現(xiàn)象突出。

一是西方國家率先開展漏洞庫建設(shè)，開創(chuàng)漏洞資源管控模式。美國國家漏洞庫（NVD）是最早由政府投入建設(shè)和政策扶持的漏洞庫，利用其本國信息技術(shù)優(yōu)勢和平臺影響力，建立漏洞報送合作機制，制定漏洞技術(shù)標準和規(guī)范，從早期本土主流廠商、安全公司及研究機構(gòu)，逐步推廣到各國重要合作廠商和機構(gòu)、研究團隊及個人向其報送漏洞，現(xiàn)已擁有全球范圍的重要漏洞數(shù)據(jù)。NVD 表面上看是實行漏洞信息的公開披露，但存在一些選擇性披露和滯后等問題。歐俄日澳等地區(qū)和國家積極效仿，基于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體制機制，搭建漏洞庫并建立漏洞收集渠道。

二是我國國家級漏洞庫發(fā)展迅速，資源匯聚管理見成效。國家領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)安全漏洞風(fēng)險防范工作。2009 年，中國信息安全測評中心建設(shè)運營國家信息安全漏洞庫（CNNVD），廣泛收集漏洞數(shù)據(jù)，合理運用社會技術(shù)力量支撐機制，分析研判漏洞危害，披露漏洞信息，化解漏洞風(fēng)險，切實履行漏洞資源匯聚和消除重大隱患的職責(zé)。隨著技術(shù)應(yīng)用的發(fā)展和安全需求的擴大，工控、移動產(chǎn)品等專業(yè)漏洞庫相繼建設(shè)運營，定向通報漏洞信息，督促漏洞修復(fù)和處置，發(fā)揮著行業(yè)漏洞管理的積極作用。

三是社區(qū)或組織踴躍推出漏洞交流平臺，個性收集發(fā)布呈亂象。境外某些擁有資助背景的開源社區(qū)、安全組織極力宣傳漏洞獎勵機制，制定漏洞報送及披露策略，收集指定漏洞，隨意披露漏洞細節(jié)和利用代碼等敏感信息，甚至指名道姓地發(fā)布漏洞定位，此類不負責(zé)任的披露已經(jīng)給漏洞影響的系統(tǒng)和用戶帶來重大網(wǎng)絡(luò)安全風(fēng)險隱患，但仍處于法律灰色地帶并未加以管控。

（二）各國相繼推出漏洞披露制度，漏洞生命周期閉環(huán)管控機制有待完善。

一是美出臺多項漏洞披露相關(guān)法案，旨在維護國家安全并降低政府業(yè)務(wù)系統(tǒng)漏洞風(fēng)險。美國較早以法案和行政令等法律形式頒布漏洞披露策略，包括以情報機關(guān)主導(dǎo)的《漏洞裁決政策和程序》《補丁法案》，以及網(wǎng)絡(luò)安全部門發(fā)布的《網(wǎng)絡(luò)安全信息共享法》與有關(guān)漏洞協(xié)同披露行政令等，核心要義是為國家安全目的收集儲備可武器化漏洞提供機制保障，同時也是為權(quán)衡相關(guān)利益方及應(yīng)對大眾對公開透明的要求提供政策支撐。歐盟今年推出的《協(xié)同漏洞披露策略》報告分析了美中及歐盟成員國漏洞披露政策，傾向借鑒美的做法，為漏洞發(fā)現(xiàn)者創(chuàng)造“安全港”，提出了在歐洲范圍內(nèi)跨境協(xié)同披露漏洞的體制機制及法律方面的建設(shè)意見。

二是我國積極建立健全漏洞管理政策法規(guī)，側(cè)重確立漏洞利益相關(guān)主體的法律責(zé)任。我國《網(wǎng)絡(luò)安全法》首先提出漏洞管理要求，明確漏洞發(fā)現(xiàn)、發(fā)布及處置的責(zé)任范圍，最新執(zhí)行的《網(wǎng)絡(luò)產(chǎn)品漏洞管理規(guī)定》對《網(wǎng)絡(luò)安全法》的要求做了進一步明確，從行業(yè)主管層面規(guī)范網(wǎng)絡(luò)安全產(chǎn)品漏洞發(fā)現(xiàn)、修復(fù)、發(fā)布等行為和活動的責(zé)任義務(wù)，加強了漏洞報送和流通渠道管控，為全面開展漏洞治理制度體系建設(shè)打下堅實基礎(chǔ)。

三是漏洞披露是漏洞生命周期中心環(huán)節(jié)，管控手段僅發(fā)力于此遠不足以管制漏洞被攻擊利用。從產(chǎn)生、發(fā)現(xiàn)、發(fā)布直到徹底消除，不同漏洞的生命周期長度和各環(huán)節(jié)的發(fā)展千差萬別。事實證明，有的早期開發(fā)的 Linux 系統(tǒng)漏洞長存于代碼中十幾年未被發(fā)現(xiàn)，還有相當(dāng)一部分零日漏洞被隱秘發(fā)現(xiàn)導(dǎo)致長期黑產(chǎn)利用或武器化。任何主體都有發(fā)現(xiàn)和利用漏洞的可能，覆蓋漏洞全生命周期的管控才是漏洞治理一以貫之的正確方向。

（三）漏洞作為國家戰(zhàn)略資源被各國限制出境，外流管控乏力導(dǎo)致漏洞風(fēng)險居高不下。

一是美國首先制定漏洞出口限制法律條文，認定漏洞為國家戰(zhàn)略資源。漏洞影響的安全范圍涉及漏洞宿主的所有使用者，受影響者應(yīng)享有同等防范或降低漏洞風(fēng)險的安全權(quán)益。由美國主導(dǎo)的《瓦森納協(xié)定》在 2013 年更新中明確限制“入侵軟件”出口，所謂“入侵軟件”實質(zhì)上就是以漏洞為內(nèi)核的數(shù)字武器，而我國正是該協(xié)議排除在成員國之外的禁運國。這項規(guī)定標志著以美為首的西方國家將漏洞正式界定到網(wǎng)絡(luò)空間武器管控范疇，同時也使漏洞武器化在一定范圍內(nèi)合法化。2022 年 5 月 26日，美國再次以國家安全視角，對《出口管理條例》網(wǎng)絡(luò)安全條款進行了修訂，新增了漏洞檢測分析等技術(shù)產(chǎn)品針對我國的出口限制。此種限制看似是對本國安全利益的維護，而其實質(zhì)加劇網(wǎng)絡(luò)空間安全形勢惡化，更是對別國安全利益的嚴重威脅和安全權(quán)力的肆意踐踏。

二是我國加大數(shù)據(jù)出境安全要求力度，嚴禁向境外提供危及國家安全的漏洞。某些境外組織機構(gòu)利用打比賽贏獎金的模式吸引漏洞發(fā)現(xiàn)者提交高風(fēng)險漏洞，導(dǎo)致漏洞嚴重外流、安全風(fēng)險加劇，為此網(wǎng)信部門及時有效應(yīng)對，發(fā)布《關(guān)于規(guī)范促進網(wǎng)絡(luò)安全競賽活動的通知》，嚴格禁止以損害國家安全為代價向境外賽事提供漏洞等敏感信息，鼓勵漏洞人才發(fā)揮技術(shù)特長積極保障國家網(wǎng)絡(luò)安全。占領(lǐng)網(wǎng)絡(luò)空間人才高地、引導(dǎo)漏洞研究力量朝著以維護國家安全為宗旨的方向發(fā)揮能力作用，是夯實網(wǎng)絡(luò)安全基礎(chǔ)的重中之重。

三是美數(shù)字大廠運用漏洞賞金榮譽張榜及技術(shù)合作等做法，刺激高級漏洞研究者持續(xù)為其貢獻高風(fēng)險漏洞。操作系統(tǒng)、云服務(wù)平臺及芯片等核心基礎(chǔ)軟硬件大廠積極回購產(chǎn)品漏洞，通過品牌效應(yīng)、推高漏洞價格爭奪漏洞人才和市場，抓住安全提供者力求搶占漏洞應(yīng)用市場先機的心理，利用共享漏洞成果等合作機制，積極獲取高質(zhì)量漏洞。這種漏洞回流的運作模式的確有助于改善產(chǎn)品安全性能，但此種現(xiàn)象也暴露出我國漏洞研究力量正處于失控狀態(tài)。

二、漏洞治理面臨數(shù)字化發(fā)展與產(chǎn)業(yè)鏈不完整多重挑戰(zhàn)

一是我國數(shù)字革命加速演進與數(shù)字產(chǎn)業(yè)鏈不充分發(fā)展的矛盾，帶來漏洞風(fēng)險治理難度增加。我國正在加快數(shù)字化發(fā)展和數(shù)字中國建設(shè)，推進數(shù)字經(jīng)濟與實體經(jīng)濟深度融合。但實現(xiàn)數(shù)字產(chǎn)業(yè)鏈自主可控目標還將經(jīng)過一個長期努力的過程，當(dāng)前數(shù)字產(chǎn)業(yè)基礎(chǔ)能力薄弱導(dǎo)致產(chǎn)業(yè)鏈不完整，加之國際局勢動蕩帶來供應(yīng)鏈不穩(wěn)定因素，數(shù)字安全保障痛點隨之加劇，漏洞風(fēng)險治理難點問題更加突出。

二是網(wǎng)絡(luò)資產(chǎn)數(shù)量巨大增量加速及資產(chǎn)底數(shù)不清問題依舊存在，帶來漏洞風(fēng)險辨識難以落位。網(wǎng)絡(luò)技術(shù)的變革推動萬物互聯(lián)向著萬物智聯(lián)邁進，網(wǎng)絡(luò)空間資產(chǎn)成指數(shù)級增長態(tài)勢，特別是云上云下資產(chǎn)復(fù)雜交織、類型眾多，工業(yè)互聯(lián)網(wǎng)等關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)可見，物理點位和網(wǎng)絡(luò)地址對應(yīng)關(guān)聯(lián)使得數(shù)字資產(chǎn)被實名化，而與此同時，很多企業(yè)機構(gòu)自身家底有待梳理摸清，防護強度和范圍存在很大疏漏，漏洞風(fēng)險排查能力和手段有待完善提升。

三是數(shù)字產(chǎn)品漏洞評價指標及評估機制尚不完善，缺乏漏洞風(fēng)險管控責(zé)任監(jiān)督機制。數(shù)字產(chǎn)品生產(chǎn)進入組件化組裝開發(fā)模式，大量開源通用組件功能完備，自主代碼比例越來越低。隨著智能化的進程，數(shù)字產(chǎn)品生產(chǎn)效率越來越高，產(chǎn)品研發(fā)正在朝著自動化配置化趨近，定制化代碼比例日趨降低。開源通用組件如出現(xiàn)漏洞，導(dǎo)致鏈式影響，范圍極其廣泛。漏洞風(fēng)險等級應(yīng)成為開源組件首要質(zhì)量評價指標，漏洞風(fēng)險評估是監(jiān)督數(shù)字產(chǎn)品安全性能提升的基礎(chǔ)工作。

四是漏洞產(chǎn)業(yè)化發(fā)展不平衡，中上游出現(xiàn)的亂象是治理重點。不可避免的現(xiàn)實問題是漏洞的產(chǎn)業(yè)化。當(dāng)前漏洞產(chǎn)業(yè)鏈可分為以漏洞發(fā)現(xiàn)為上游，漏洞交易和披露為中游，漏洞應(yīng)用和利用為下游。漏洞市場受到黑產(chǎn)利益和政府支持的刺激，呈現(xiàn)出漏洞價格主導(dǎo)上游產(chǎn)出，加之漏洞生產(chǎn)工具購買和使用不受限，導(dǎo)致上游參與主體成分復(fù)雜不可控等問題。下游多以防護產(chǎn)品為主要產(chǎn)出，漏洞風(fēng)險感知能力仍是短板，已知漏洞利用檢測技術(shù)仍待攻關(guān)。如何讓漏洞產(chǎn)業(yè)服務(wù)于國家安全，還需要加強治理和合理引導(dǎo)。

五是漏洞人才缺口較大，培養(yǎng)引導(dǎo)和激勵全方位機制有待完善。我國擁有世界頂級漏洞發(fā)現(xiàn)人才，研究力量主要分散在資金雄厚的互聯(lián)網(wǎng)企業(yè)，安全保障能力一流，但數(shù)量嚴重不足，院校培養(yǎng)和職業(yè)培訓(xùn)遠遠不能滿足當(dāng)前人才缺口。崗位設(shè)定和價值取向是漏洞研究最關(guān)心的問題，鼓勵引導(dǎo)青年優(yōu)秀漏洞人才服務(wù)國家安全是值得思考的重要議題。

三、落實國家安全要求，推動漏洞治理體系化能力建設(shè)

漏洞風(fēng)險關(guān)乎國家安全，治理漏洞風(fēng)險是維護國家安全和保障網(wǎng)絡(luò)安全的必然要求，實現(xiàn)高水平漏洞風(fēng)險治理自立自強，要重點著力在提高漏洞風(fēng)險治理的整體層面、貫徹漏洞全生命周期管控治理理念、拓展國際合作、推動漏洞產(chǎn)業(yè)的創(chuàng)新發(fā)展、激發(fā)漏洞研究人才的綜合價值。

一是把漏洞治理提升到國家安全層面，統(tǒng)籌漏洞治理體制機制建立健全。漏洞治理是解決非傳統(tǒng)安全風(fēng)險向傳統(tǒng)安全風(fēng)險傳導(dǎo)問題的關(guān)鍵環(huán)節(jié)，是提升國家安全治理能力的基礎(chǔ)，更是維護國家安全的重要戰(zhàn)略任務(wù)，狠抓漏洞治理就是筑牢網(wǎng)絡(luò)安全根基。網(wǎng)絡(luò)互聯(lián)互通，數(shù)據(jù)無處不在，看似不起眼的漏洞可以毀掉宏大的數(shù)字工程。漏洞治理的關(guān)鍵和根本，是要依賴國家安全層面統(tǒng)一部署的工作機制，明確漏洞治理職能，構(gòu)建基礎(chǔ)研究、發(fā)現(xiàn)檢測、風(fēng)險評估及人才管理等治理能力，統(tǒng)籌推進漏洞風(fēng)險治理體系建設(shè)，實現(xiàn)漏洞風(fēng)險有效管控。

二是貫穿漏洞全生命周期各環(huán)節(jié)細化管控制度，強化落實相關(guān)方責(zé)任。漏洞雖不可避免，但采取有效的管理和技術(shù)手段可以減少漏洞產(chǎn)生的數(shù)量、降低漏洞風(fēng)險的等級，改善數(shù)字產(chǎn)品安全性能。建立數(shù)字產(chǎn)品漏洞風(fēng)險評估機制，規(guī)范漏洞風(fēng)險等級標準，組織可靠力量分級分批深挖細排。建議在已有安全審查機制基礎(chǔ)上，增強漏洞風(fēng)險動態(tài)評估機制。明確數(shù)字產(chǎn)品提供者使用者等相關(guān)方漏洞排查和修復(fù)的責(zé)任和要求，專業(yè)機構(gòu)協(xié)同檢測評估處置，實現(xiàn)漏洞全生命周期覆蓋管控。

三是倡導(dǎo)全球數(shù)字產(chǎn)業(yè)高質(zhì)量發(fā)展，促進國際合作共同構(gòu)建漏洞治理體系。數(shù)字化轉(zhuǎn)型是全球經(jīng)濟發(fā)展趨勢，全球數(shù)字供應(yīng)鏈相互交織，單方面斷供禁售不符合協(xié)作共贏的發(fā)展理念，提供高質(zhì)量數(shù)字技術(shù)、以負責(zé)任的態(tài)度持續(xù)保障產(chǎn)品安全性能才是拓展國際市場的長遠之計。特別要與核心基礎(chǔ)數(shù)字產(chǎn)品供應(yīng)方建立漏洞信息及時共享的保障機制，共同創(chuàng)建國際通用的漏洞規(guī)范標準，引領(lǐng)國際漏洞治理體系新規(guī)則，實現(xiàn)安全權(quán)益最大化。

四是營造良好的漏洞產(chǎn)業(yè)發(fā)展環(huán)境，推動漏洞技術(shù)攻關(guān)和應(yīng)用創(chuàng)新。漏洞產(chǎn)業(yè)是漏洞風(fēng)險治理的重要支柱力量，在嚴厲打擊黑產(chǎn)鏈條基礎(chǔ)上，合理引導(dǎo)上游產(chǎn)出，加大中游參與主體準入和監(jiān)督力度，運用政策支持鼓勵下游企業(yè)積極應(yīng)用創(chuàng)新，規(guī)劃布局產(chǎn)業(yè)整體發(fā)展方向，有力提升產(chǎn)業(yè)效能，充分發(fā)揮產(chǎn)業(yè)漏洞治理的重要作用。

五是加快建設(shè)漏洞人才戰(zhàn)略力量，突出人才價值體現(xiàn)，發(fā)揮人才隊伍主觀能動性。網(wǎng)絡(luò)空間安全博弈既是攻防較量，更是人與人的對抗，漏洞人才是維護國家安全和提升技術(shù)優(yōu)勢地位的戰(zhàn)略資產(chǎn)。我國漏洞人才面臨嚴重不足和合理利用雙重挑戰(zhàn)，既要從娃娃抓起，建設(shè)漏洞學(xué)科體系，培養(yǎng)致力于投身國家安全的高素質(zhì)人才，又要正向引導(dǎo)社會人才隊伍積極技術(shù)攻關(guān)，同時統(tǒng)籌漏洞人才職業(yè)教育，激勵人才學(xué)以致用，吸引更多有識之士投入到漏洞治理行動中來。

漏洞治理為國家安全賦能，是保障數(shù)字經(jīng)濟國家戰(zhàn)略順利推進的一把利劍，是網(wǎng)絡(luò)安全能力提升的關(guān)鍵環(huán)節(jié)，大力推動漏洞風(fēng)險治理體系建設(shè)勢在必行。維護國家安全是每個公民應(yīng)盡的義務(wù)，作為安全從業(yè)者，攻克漏洞治理這一最具挑戰(zhàn)的課題，既是責(zé)任擔(dān)當(dāng)更是初心使命。

（本文刊登于《中國信息安全》雜志2022年第6期）