文 | 哈爾濱工業(yè)大學(xué) 張兆心 孔珂；北京郵電大學(xué) 劉欣然

網(wǎng)絡(luò)空間作為 21 世紀(jì)國家主權(quán)的新疆域，其戰(zhàn)略意義與日俱增。漏洞治理是構(gòu)筑網(wǎng)絡(luò)安全基石的關(guān)鍵環(huán)節(jié)，它不僅承載著捍衛(wèi)國家網(wǎng)絡(luò)主權(quán)的重任，也是維護(hù)數(shù)字領(lǐng)土完整與安全的核心策略。漏洞治理涉及技術(shù)、管理、政策及法律等多個(gè)層面，不僅需要技術(shù)手段來發(fā)現(xiàn)和修復(fù)漏洞，還需要完善的管理體系、明確的政策指導(dǎo)和嚴(yán)格的法律法規(guī)來共同構(gòu)建。

一、國內(nèi)外漏洞治理現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和全球信息化進(jìn)程的持續(xù)深化，網(wǎng)絡(luò)安全已經(jīng)成為維護(hù)國家安全、社會穩(wěn)定及經(jīng)濟(jì)發(fā)展的關(guān)鍵環(huán)節(jié)。在網(wǎng)絡(luò)空間安全治理，尤其是漏洞管理體系的建設(shè)方面，國內(nèi)外展現(xiàn)了不同的發(fā)展路徑和戰(zhàn)略重點(diǎn)。

（一）國內(nèi)漏洞治理體系建設(shè)穩(wěn)步發(fā)展

我國從政策法規(guī)、漏洞治理機(jī)制、漏洞管理流程等多個(gè)方面構(gòu)建了漏洞治理體系。
在法律法規(guī)層面，我國出臺了《網(wǎng)絡(luò)安全法》，為漏洞管理提供了法律基礎(chǔ)。同時(shí)，發(fā)布了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞管理規(guī)范》等一系列規(guī)定和標(biāo)準(zhǔn)。這些文件不僅明確了網(wǎng)絡(luò)產(chǎn)品安全漏洞從發(fā)現(xiàn)、報(bào)告、修復(fù)到發(fā)布的整套流程，還確立了管理各階段的具體操作流程、規(guī)范要求及驗(yàn)證方法，為業(yè)界提供了詳盡的操作指南和嚴(yán)謹(jǐn)?shù)募夹g(shù)標(biāo)準(zhǔn)。
在漏洞治理機(jī)制方面，我國已建立以國家信息安全漏洞庫（CNNVD）為代表的多個(gè)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，有效集成了漏洞信息的收集、儲存與共享功能，顯著提升了漏洞識別和應(yīng)對的效率。通過實(shí)施協(xié)同漏洞披露機(jī)制（CVD），鼓勵(lì)社會各界積極參與漏洞發(fā)現(xiàn)與上報(bào)，確保了漏洞信息的快速流通與妥善處理。
在漏洞管理方面，我國已經(jīng)構(gòu)建起一套完善的流程體系，該體系涵蓋了漏洞發(fā)現(xiàn)與報(bào)告、驗(yàn)證與評估、處置與修復(fù)，以及修復(fù)后漏洞發(fā)布與跟蹤監(jiān)控。這套流程鼓勵(lì)安全專家在遵守法律法規(guī)的前提下，利用漏洞掃描、滲透測試等技術(shù)手段主動發(fā)現(xiàn)漏洞，并迅速通報(bào)給相應(yīng)機(jī)構(gòu)。一旦國家權(quán)威部門接到報(bào)告，他們將迅速對漏洞進(jìn)行驗(yàn)證評估，判定其潛在危害和影響范圍，據(jù)此制定并實(shí)施有效的修復(fù)策略，以確保漏洞能夠被迅速且徹底地解決。最后，修復(fù)情況將被公開發(fā)布并持續(xù)追蹤，以保持漏洞信息的時(shí)效性與透明度。

目前，以法律法規(guī)和標(biāo)準(zhǔn)規(guī)范為基礎(chǔ)，以漏洞治理機(jī)制為框架，以漏洞管理為內(nèi)容，我國已經(jīng)建立了較為完善的網(wǎng)絡(luò)漏洞治理體系。
（二）歐美漏洞治理體系的借鑒

美國在網(wǎng)絡(luò)安全漏洞治理方面具有先發(fā)優(yōu)勢，已經(jīng)建立了完善的漏洞治理框架和相關(guān)法律法規(guī)。特別是在公私合作方面，這種合作模式被視為美國網(wǎng)絡(luò)安全防御體系的重要組成部分。
美國政府早期通過通用漏洞披露（CommonVulnerabilities & Exposures，CVE）和國家漏洞庫（National Vulnerability Database，NVD）構(gòu)建了漏洞治理的頂層架構(gòu)設(shè)計(jì)。通過一系列立法和政策，如《公私網(wǎng)絡(luò)安全合作法案》，鼓勵(lì)公私部門之間在網(wǎng)絡(luò)安全信息共享、漏洞管理方面展開合作。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）等機(jī)構(gòu)在漏洞治理體系建設(shè)方面發(fā)揮了核心作用。
CISA 制定了全面的漏洞管理框架，指導(dǎo)各機(jī)構(gòu)遵循標(biāo)準(zhǔn)化流程處理漏洞。例如，2021 年，CISA 發(fā)布了《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊》，該手冊精煉地概述了漏洞管理的核心流程，涵蓋了從識別潛在威脅到評估影響、實(shí)施修復(fù)措施，再到最終的報(bào)告與通知這四個(gè)緊密相連的階段，確保了響應(yīng)行動的系統(tǒng)性和時(shí)效性。

NIST 在漏洞治理的標(biāo)準(zhǔn)化方面做了大量工作，涵蓋了漏洞定義、分類、標(biāo)準(zhǔn)制定和披露框架等方面，例如，NIST 發(fā)布的《關(guān)鍵信息安全術(shù)語匯編》和《聯(lián)邦機(jī)構(gòu)漏洞披露指南建議》等文件。NIST 在漏洞定義、漏洞披露框架、正確處理漏洞報(bào)告以及溝通漏洞的緩解和修復(fù)等方面提出了指導(dǎo)建議。此外，NIST 還提供各種網(wǎng)絡(luò)安全資源和工具，如漏洞掃描工具，幫助政府機(jī)構(gòu)、企業(yè)、個(gè)人評估和改進(jìn)網(wǎng)絡(luò)安全措施。
近年來，美國在網(wǎng)絡(luò)安全治理上采取了雙軌策略。一方面，通過加強(qiáng)出口管控，嚴(yán)格限制敏感網(wǎng)絡(luò)安全技術(shù)的海外流動，以維護(hù)國家安全利益。例如，2022 年，美國商務(wù)部工業(yè)與安全局（BIS）對《出口管理?xiàng)l例》中的網(wǎng)絡(luò)安全條款進(jìn)行了修訂，對出口到某些國家的網(wǎng)絡(luò)安全相關(guān)技術(shù)產(chǎn)品施加了新的限制，特別是涉及網(wǎng)絡(luò)漏洞的相關(guān)技術(shù)。另一方面，面對內(nèi)部挑戰(zhàn)，如 NVD 的運(yùn)營壓力，美國政府正在尋求解決方案，同時(shí)在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上加大投入，強(qiáng)化公私合作機(jī)制，以全面提升國家的網(wǎng)絡(luò)韌性與安全防護(hù)水平。例如，2024 年，美國國防部網(wǎng)絡(luò)犯罪中心（DC3）宣布與美國國防反情報(bào)和安全局（DCSA）合作，建立國防工業(yè)基地的漏洞披露運(yùn)營計(jì)劃（DIB-VDP）。該計(jì)劃旨在提高國防工業(yè)基地（DIB）的漏洞披露能力。此計(jì)劃強(qiáng)調(diào)了公私合作在增強(qiáng)國家安全中的重要性，通過利用民間專家的力量來加強(qiáng)國防供應(yīng)鏈的安全。這些舉措體現(xiàn)了美國面對國際安全環(huán)境變化及國內(nèi)漏洞治理挑戰(zhàn)所采取的一系列應(yīng)對措施。
歐盟漏洞治理體系的特點(diǎn)在于各成員國之間的協(xié)調(diào)合作。自 2008 年啟動的歐盟“安全漏洞庫服務(wù)”（SVRS）倡議，標(biāo)志著歐盟在構(gòu)建集中化信息安全漏洞管理體系方面邁出了關(guān)鍵一步，其目標(biāo)是深化成員國間的協(xié)同作用與信息共享。這一舉措旨在通過一個(gè)統(tǒng)一的平臺，提升對網(wǎng)絡(luò)與信息安全漏洞的追蹤、分析和應(yīng)對能力，確保歐盟及其成員國能夠迅速應(yīng)對新興的網(wǎng)絡(luò)威脅，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)免受攻擊。
2022 年，歐洲網(wǎng)絡(luò)及信息安全局發(fā)布的《歐盟協(xié)調(diào)漏洞披露政策》表明成員國間在協(xié)同漏洞披露操作、術(shù)語界定及評估標(biāo)準(zhǔn)上存在的異質(zhì)性。這些差異成為合作進(jìn)程中的障礙，影響了政策實(shí)施的一致性和效率。在同一年，歐盟出臺了《關(guān)于歐盟全境網(wǎng)絡(luò)安全措施的高度統(tǒng)一指令》（第 2022/2555 號），該指令規(guī)定成員國采用統(tǒng)一的 CVD 政策，并指導(dǎo)建立共享漏洞數(shù)據(jù)庫，以促進(jìn)跨國界數(shù)據(jù)共享，從而加強(qiáng)合作和提高響應(yīng)速度。
鑒于成員國需將此指令轉(zhuǎn)化為國內(nèi)法的實(shí)際可行性，歐盟采取了靈活的監(jiān)管策略，僅制定了最低限度的框架規(guī)則，旨在促進(jìn)成員國間協(xié)調(diào)一致的同時(shí)，也為各國提供了根據(jù)其國情進(jìn)行調(diào)整的空間，力求在多樣性中尋求共識。歐盟在網(wǎng)絡(luò)安全政策上持續(xù)發(fā)展，加強(qiáng)了歐盟各國漏洞協(xié)同治理能力。

二、對推動我國漏洞治理體系創(chuàng)新的建議

我國在漏洞治理體系的構(gòu)建上已經(jīng)奠定了堅(jiān)實(shí)的基礎(chǔ)，并形成了一套較為完備的框架體系。展望未來，對外，應(yīng)積極參與并引領(lǐng)漏洞治理相關(guān)標(biāo)準(zhǔn)建設(shè)，構(gòu)建一個(gè)國家共享互信的漏洞治理共同體；對內(nèi)，應(yīng)從法律制度、技術(shù)創(chuàng)新、人才培養(yǎng)等多個(gè)維度著手，推動漏洞治理體系的根基、框架和內(nèi)容實(shí)現(xiàn)創(chuàng)新發(fā)展。

（一）建設(shè)國家共享互信的漏洞治理共同體

一是參與國際標(biāo)準(zhǔn)與協(xié)議共建。在網(wǎng)絡(luò)安全漏洞治理方面，我國已經(jīng)積累了豐富的經(jīng)驗(yàn)，并具備參與國際標(biāo)準(zhǔn)化機(jī)構(gòu)工作的能力。我們應(yīng)積極參與相關(guān)討論、主動提交提案，推動建立統(tǒng)一的漏洞分類、評估、報(bào)告和響應(yīng)標(biāo)準(zhǔn)框架。
二是強(qiáng)化跨境信息共享與技術(shù)合作。我們應(yīng)深化與主要國家和國際組織的合作，共同構(gòu)建或優(yōu)化跨境漏洞信息共享平臺，確保在遵循保護(hù)協(xié)議的前提下，實(shí)現(xiàn)漏洞情報(bào)的及時(shí)、高效共享。
三是漏洞治理能力援助與建設(shè)。我們可以通過多邊或雙邊的國際援助項(xiàng)目，在漏洞治理方面向發(fā)展中國家或地區(qū)提供資金和技術(shù)支持，如漏洞挖掘、評估等。這種支持有助于這些國家和地區(qū)建立并加強(qiáng)其本地的漏洞管理體系，包括提供漏洞管理軟件工具、培訓(xùn)當(dāng)?shù)丶夹g(shù)人員、建立應(yīng)急響應(yīng)機(jī)制等，增進(jìn)國與國之間的信任與合作，從而促進(jìn)網(wǎng)絡(luò)空間命運(yùn)共同體的構(gòu)建。
四是出口管制的審慎管理。對于漏洞管理、漏洞挖掘技術(shù)及其相關(guān)工具的出口，我們應(yīng)實(shí)行更為審慎的管制政策。同時(shí)，建立國際協(xié)調(diào)機(jī)制，與合作國家共同審查和規(guī)范相關(guān)技術(shù)的出口，以確保全球網(wǎng)絡(luò)空間的穩(wěn)定與安全。

（二）推進(jìn)漏洞治理體系基石、框架、內(nèi)容創(chuàng)新發(fā)展

一是完善漏洞管理法律和標(biāo)準(zhǔn)，強(qiáng)化漏洞治理體系基石。我們需要制定明確的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，從而規(guī)范漏洞挖掘與報(bào)告行為，并強(qiáng)化公私合作，鼓勵(lì)安全研究者積極參與特定領(lǐng)域的漏洞發(fā)現(xiàn)活動。通過提供法律保護(hù)、獎(jiǎng)勵(lì)機(jī)制和透明的披露流程，確保安全研究者能夠在不觸犯法律的前提下，為提升網(wǎng)絡(luò)安全貢獻(xiàn)力量。此舉既能維護(hù)互聯(lián)網(wǎng)安全的前沿防線，又能促進(jìn)技術(shù)創(chuàng)新與信息安全行業(yè)的健康發(fā)展，從而營造一個(gè)正向循環(huán)的漏洞治理環(huán)境。
二是深化改革漏洞治理框架，引導(dǎo)專項(xiàng)領(lǐng)域漏洞精細(xì)化治理。針對關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)以及新興技術(shù)領(lǐng)域，如電力網(wǎng)、金融系統(tǒng)、智能城市設(shè)施、醫(yī)療健康 IT 系統(tǒng)等，作為專項(xiàng)漏洞懸賞的重點(diǎn)對象。政府和相關(guān)行業(yè)應(yīng)共同出資，設(shè)立專項(xiàng)漏洞懸賞基金，為那些研發(fā)工具、報(bào)告領(lǐng)域內(nèi)高危漏洞的研究人員提供豐厚的獎(jiǎng)勵(lì)。還應(yīng)定期組織專項(xiàng)懸賞活動，并根據(jù)網(wǎng)絡(luò)安全態(tài)勢發(fā)展，靈活增設(shè)特別懸賞，以應(yīng)對新出現(xiàn)的重大威脅或特定的技術(shù)挑戰(zhàn)。
三是積極推動漏洞管理方法全鏈條創(chuàng)新發(fā)展。聚焦于智能化等新技術(shù)的應(yīng)用，重塑從漏洞發(fā)現(xiàn)到評估的整個(gè)流程，以提升漏洞管理的效率和精準(zhǔn)度。革新漏洞評估標(biāo)準(zhǔn)，以適應(yīng)不斷變化的威脅景觀，并建立一個(gè)更加動態(tài)、全面的評估體系。這個(gè)體系不僅會考慮漏洞的技術(shù)細(xì)節(jié)，還會納入業(yè)務(wù)影響、攻擊可能性、資產(chǎn)價(jià)值等多維度因素，形成更為科學(xué)合理的風(fēng)險(xiǎn)評分機(jī)制，助力優(yōu)先排序漏洞修復(fù)工作，確保有限資源得到最高效的配置。
四是構(gòu)建多層次人才培養(yǎng)。漏洞治理體系中，人才培養(yǎng)是至關(guān)重要的基礎(chǔ)環(huán)節(jié)。我們應(yīng)重視網(wǎng)絡(luò)安全人才的培養(yǎng)，并在基礎(chǔ)教育、職業(yè)教育和在職培訓(xùn)等各個(gè)階段設(shè)置專門的網(wǎng)絡(luò)安全課程和實(shí)踐環(huán)節(jié)，內(nèi)容涵蓋漏洞管理的理論與實(shí)操技能。此外，在基礎(chǔ)教育階段應(yīng)融入網(wǎng)絡(luò)漏洞相關(guān)知識，以提升全民的漏洞安全意識，并為專業(yè)人才的早期發(fā)現(xiàn)和培養(yǎng)奠定基礎(chǔ)。

三、結(jié) 語

國內(nèi)外在網(wǎng)絡(luò)漏洞治理方面的探索與實(shí)踐，展現(xiàn)了一個(gè)從無到有、由點(diǎn)及面的體系建設(shè)過程，以及在復(fù)雜多變的國際環(huán)境中不斷適應(yīng)與進(jìn)化的策略調(diào)整。面向未來，我國應(yīng)當(dāng)繼續(xù)加強(qiáng)國際交流與合作，積極參與國際標(biāo)準(zhǔn)的制定，構(gòu)建跨國界的漏洞治理共同體，并審慎管理技術(shù)出口，以維護(hù)全球網(wǎng)絡(luò)空間的穩(wěn)定。在國內(nèi)層面，應(yīng)不斷完善法律法規(guī)，優(yōu)化治理體系，推動技術(shù)創(chuàng)新，注重人才培養(yǎng)。漏洞治理是一項(xiàng)長期而系統(tǒng)的工程，需要不斷適應(yīng)技術(shù)進(jìn)步與安全挑戰(zhàn)的變化。我們應(yīng)堅(jiān)持法治引領(lǐng)、創(chuàng)新驅(qū)動、協(xié)同合作的原則，攜手構(gòu)筑更加牢固的網(wǎng)絡(luò)防線。

（本文刊登于《中國信息安全》雜志2024年第5期）