?。?引　言

　　漏洞（Vulnerability） 是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷， 從而使攻擊者能夠在未授權(quán)的情況下訪問、破壞或控制目標系統(tǒng)。從技術(shù)層面看，漏洞本身無法根除。漏洞的開發(fā)利用頻繁，相對廉價快速， 而漏洞發(fā)現(xiàn)后消除周期較長。如果大量漏洞長期暴露得不到及時有效的處置，那么新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加，網(wǎng)絡(luò)安全風險將進一步疊加。

　　漏洞管理（Vulnerability Management） 通常定義為對操作系統(tǒng)（OS）、企業(yè)應(yīng)用程序、瀏覽器和最終用戶應(yīng)用程序中的漏洞進行識別、分類、確定優(yōu)先級和處理，是一個持續(xù)的過程。由于資源是有限的，漏洞管理強調(diào)用有限的投入去實現(xiàn)最大限度的安全效益。

　　漏洞本身雖然不產(chǎn)生危害，但一旦被利用， 極有可能帶來嚴重的威脅和損害。在網(wǎng)絡(luò)安全領(lǐng)域，漏洞常被攻擊方視為“殺手锏”武器， 又被防守方當作“萬惡之源”。針對網(wǎng)絡(luò)安全本源性的難題，構(gòu)建一個互利的、穩(wěn)定運行的漏洞管理國際機制，既符合各方利益，也有利于推動全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進。

　?。?漏洞管理國際合作的現(xiàn)實要求

　　在全球進入萬物互聯(lián)的時代，各國處于加速發(fā)展數(shù)字經(jīng)濟、建設(shè)數(shù)字政府、數(shù)字社會的新階段，漏洞已經(jīng)成為影響一個國家經(jīng)濟發(fā)展和國計民生的重要網(wǎng)絡(luò)安全風險，也是國際社會共同面臨的網(wǎng)絡(luò)空間治理難題。

　　1.1　漏洞管理涉及網(wǎng)絡(luò)安全的全球生態(tài)建設(shè)

　　當前，全球安全漏洞數(shù)量快速增長，危險級別不斷提升。與此同時，漏洞的責任難以界定、漏洞的評估缺乏人員經(jīng)驗支撐、漏洞的修復(fù)推動困難，這些問題都表明要想防止網(wǎng)絡(luò)安全漏洞在全球范圍內(nèi)造成更為巨大的危害，漏洞管理需要多方協(xié)作。

　　第一，漏洞的來源具有跨國性。當今世界， 幾乎所有的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施都對信息通信技術(shù)（以下簡稱 ICT）的依賴程度越來越高。ICT 供應(yīng)鏈最突出的特點是產(chǎn)品要通過高度分散的全球供應(yīng)鏈實現(xiàn)開發(fā)、集成和交付， 而產(chǎn)品的設(shè)計、開發(fā)、采購、生產(chǎn)、倉儲、物流、銷售、維護、召回等每個環(huán)節(jié)都有可能被篡改或控制。

　　第二，漏洞的官方披露滯后。大量漏洞在官方披露之前已經(jīng)在社交媒體和黑市討論。新聞?wù)军c、博客和社交媒體，以及暗網(wǎng)和犯罪論壇， 往往比美國國家標準與技術(shù)局（NIST）統(tǒng)管的加強對網(wǎng)絡(luò)安全漏洞的處置及后續(xù)的防控更快公布漏洞。威脅情報公司 Recorded Future 表示， 從 2015 年到 2017 年，有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上，然后社交媒體上討論近 90 天后才能收錄在美國國家數(shù)據(jù)庫中 。非官方與官方漏洞披露的錯位導(dǎo)致漏洞威脅信息不對稱，使得未能及時掌握漏洞信息的政府機構(gòu)、企業(yè)、廠商和個人面臨漏洞利用帶來的重大安全風險。

　　第三，開源軟件漏洞的修復(fù)困難。隨著“大智移云鏈”等新興技術(shù)的廣泛應(yīng)用，開源軟件的支撐作用越發(fā)明顯。幾乎所有的商業(yè)軟件代碼庫都包含開源共享代碼。由于開源軟件的規(guī)模龐大、漏洞頻發(fā)、引用關(guān)系復(fù)雜等特點，給應(yīng)用系統(tǒng)的安全處置帶來很大挑戰(zhàn)。同時，漏洞修復(fù)和版本升級需要投入大量的開發(fā)和測試工作量，部分開源軟件沒有安全版本可用，對漏洞處置方案提出了更高的要求。

　　1.2　漏洞武器化成為網(wǎng)絡(luò)空間和平的重大威脅

　　不同類型的漏洞獲取，意味著取得不同等級的系統(tǒng)控制權(quán)和風險數(shù)據(jù)，并且隨著網(wǎng)絡(luò)漏洞的武器化，很多網(wǎng)絡(luò)安全維護措施可能失去效用。因此，在軍事上，漏洞是侵入他國系統(tǒng)最有力的武器，各國軍方將漏洞視為戰(zhàn)略資源。在民用領(lǐng)域，漏洞已參與到國家、企業(yè)之間的競爭。

　　美國利用信息技術(shù)及產(chǎn)品在全球的壟斷地位實現(xiàn)了對全球漏洞的掌控，加之其積極推行“前置防御”“持續(xù)交手”網(wǎng)絡(luò)空間戰(zhàn)略，網(wǎng)絡(luò)世界面臨濃重的戰(zhàn)爭陰影。美國政府可通過美國國家漏洞庫（NVD）面向全球收集漏洞， Microsoft、Cisco、Apple、Adobe 等全球主要軟硬件廠商的產(chǎn)品漏洞都在美國國家漏洞庫的掌握之中。同時，美國通過“出口限制禁令”限制零日漏洞及其相關(guān)產(chǎn)品流出美國。2015 年美國《瓦森納協(xié)定》的新出口限制禁令，將未公開的軟件漏洞視為潛在的武器進行限制和監(jiān)管。國際社會需要建立一種國際機制，有效抵消漏洞武器化的效果，并約束國家的惡意網(wǎng)絡(luò)行為。

　　1.3　限制和消除漏洞已經(jīng)成為國際共識

　　無論是出于對關(guān)鍵基礎(chǔ)設(shè)施保護的需要， 還是國家安全的考慮，限制和消除漏洞已經(jīng)成為大多數(shù)國家參與網(wǎng)絡(luò)空間國際治理的重要動力。2015 年聯(lián)合國信息安全政府專家組報告達成了 11 項自愿的非約束性負責任國家行為規(guī)范 。其中，第 10 項指出，“各國應(yīng)鼓勵負責任的報道信通技術(shù)的脆弱性，分享有關(guān)這種脆 弱性的現(xiàn)有補救辦法的相關(guān)資料，以限制并可 能消除信通技術(shù)和依賴信通技術(shù)的基礎(chǔ)設(shè)施所面臨的潛在威脅”。在本屆聯(lián)合國信息安全開放式工作組（OEWG）中，關(guān)于負責任行為規(guī)范議題，有多國提議“進一步確保信通技術(shù)供應(yīng)鏈的完整性，對在信通技術(shù)產(chǎn)品中創(chuàng)造有害的 隱藏功能表示關(guān)切，并有責任在發(fā)現(xiàn)重大漏洞時通知用戶”。關(guān)于能力建設(shè)，也有建議提出“建立有相關(guān)利益攸關(guān)方參與的國家協(xié)調(diào)機構(gòu)， 以評估方案的有效性，可有助于國家處理信通 技術(shù)安全問題”。

　?。?漏洞管理的國際組織和平臺

　　隨著信息技術(shù)的快速迭代發(fā)展，漏洞的發(fā)展變化給一國的漏洞管理帶來了新的挑戰(zhàn)。世界各主要國家紛紛制定漏洞管理政策，建立國家級漏洞平臺和處理機制，在漏洞管理的實踐中，積累了很多經(jīng)驗 。從全球視角看，以下國際組織和平臺體現(xiàn)了國際社會加強合作，共同應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)的努力。

　　2.1　國際標準化組織

　　國 際 標 準 化 組 織（International Standards Organization，ISO）兩項標準，ISO 29147 和 ISO 30111，規(guī)定了響應(yīng)安全漏洞的組織結(jié)構(gòu)和處理流程。

　　ISO/IEC 29147：漏洞披露流程。該標準為供應(yīng)商提供了從外部獲取其產(chǎn)品或在線服務(wù)的漏洞信息的五個步驟，包括接受漏洞報告、漏洞驗證、解決方案開發(fā)、發(fā)布和發(fā)布后事項。

　　ISO/IEC 30111：漏洞處理流程。該標準規(guī)定機構(gòu)應(yīng)該有的漏洞處理的內(nèi)部流程，幫助機構(gòu)在外部報告到達后進行漏洞調(diào)查和補救。

　　2.2　通用漏洞披露平臺

　　通用漏洞披露平臺（Common Vulnerabilities & Exposures，CVE），為已披露的漏洞給出唯一的公共命名。CVE 就好像是一個字典表，通過公共命名使得 CVE 成為了安全信息共享的“關(guān)鍵字”，幫助用戶在各自獨立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù)。雖然這些工具很難整合在一起，但是如果在漏洞報告中的一個漏洞有 CVE 名稱，就可以快速地在任何其他 CVE 兼容的數(shù)據(jù)庫中找到相應(yīng)修補的信息。

　　2.3　漏洞提交平臺

　　ExploitDB 是一個面向全世界黑客的漏洞提交平臺，該平臺會公布最新漏洞的相關(guān)情況， 由此幫助企業(yè)改善安全狀況，同時也幫助安全研究者更好地進行安全測試工作。ExploitDB 提供一整套龐大的歸檔體系，其中涵蓋了各類公開的攻擊事件、漏洞報告、安全文章以及技術(shù)教程等資源。

　　2.4　互聯(lián)網(wǎng)工程指導(dǎo)小組

　　2019 年12 月，互聯(lián)網(wǎng)工程指導(dǎo)小組 （Internet Engineering Steering Group，IESG）發(fā)布了網(wǎng)絡(luò)漏洞披露標準 Security.txt 的最終征求意見稿，該標準“Web 安全策略方法”旨在改善獨立安全研究人員用來披露 Web 服務(wù)漏洞的通信渠道，盡可能簡化研究人員的漏洞披露過程。在獲得美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 （CISA）發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后，IESG 的全球性網(wǎng)絡(luò)漏洞披露標準 Security.txt 草案也進入了最后一輪意見征詢階段。

　　2.5　事件響應(yīng)和安全團隊論壇

　　事件響應(yīng)和安全團隊論壇（Forum of Incident Response and Security Teams，F(xiàn)IRST） 是一個多利益攸關(guān)方參與的組織，匯集了來自政府、商業(yè)和教育組織的各種計算機安全事件響應(yīng)團隊， 也是事件響應(yīng)方面公認的全球領(lǐng)導(dǎo)者。FIRST 旨在促進事件預(yù)防方面的合作與協(xié)調(diào)，激發(fā)對事件的快速反應(yīng)，并促進成員與整個社群之間的信息共享。FIRST 實行會員制。目前FIRST 擁有500 多個會員，遍布非洲、美洲、亞洲、歐洲和大洋洲。其成員基本上分成三類，一是各個國家本土的CERT，二是設(shè)備制造商，三是運營商， 還包括一些來自學(xué)術(shù)機構(gòu)的其他成員。在漏洞管理方面，F(xiàn)IRST 有四項工作是非常有價值的。

　　第一，成立了由銀行、金融、技術(shù)和學(xué)術(shù)界等眾多行業(yè)代表組成的特別小組（SIG），對通用漏洞評分系統(tǒng) CVSS 進行改進。

　　第二，著手開發(fā)漏洞利用預(yù)測評分系統(tǒng)（Exploit Prediction Scoring System，EPSS）， 對公開披露的漏洞進行近實時的評估，預(yù)測軟件漏洞的利用，幫助網(wǎng)絡(luò)防御者更好地確定漏洞修復(fù)工作的優(yōu)先級。

　　第三，發(fā)布了“多方漏洞協(xié)調(diào)和披露指南和實踐”。該文件是美國國家電信和信息管理局（NTIA）與 FIRST 共同的研究成果，旨在幫助改善不同利益相關(guān)者之間的多方漏洞協(xié)調(diào)。

　　第四，成立了漏洞報告和數(shù)據(jù)交換特別小組，研究和推薦在不同的漏洞數(shù)據(jù)庫之間識別和交換漏洞信息的方法。在第一階段（2013 年至 2015 年），F(xiàn)IRST 開發(fā)漏洞數(shù)據(jù)庫目錄。在第二階段（從 2015 年開始），F(xiàn)IRST 將開發(fā)漏洞 ID 交叉引用系統(tǒng)和漏洞披露策略目錄，制定并發(fā)布漏洞披露以及處理策略的目錄。

　?。?漏洞管理國際合作的重點

　　眾所周知，從國家安全的角度，國家軍事部門和情報部門對漏洞非常重視，是漏洞利用的需求方、開發(fā)方和使用方。從這一點講，漏洞管理的國際合作非常敏感，也是漏洞管理國際合作需要平衡和兼顧之處。為了讓合作具有可操作性和可持續(xù)性，漏洞管理國際合作需要尊重各方國家安全上的關(guān)切和顧慮，在各方已經(jīng)公開的漏洞資源基礎(chǔ)上，以公開、透明的方式加強漏洞資源的共享和協(xié)調(diào)。

　　3.1　聚焦公開漏洞的信息分享

　　目前，世界上有大量的國家級漏洞平臺。包括中國國家信息安全漏洞庫（CNNVD）、中國國家信息安全漏洞共享平臺（CNVD）、美國國家漏洞數(shù)據(jù)庫（NVD）、日本漏洞庫（JVN）、歐盟的“安全漏洞庫服務(wù)”（Security Vulnerability Repository Service，SVRS） 等。漏洞管理的國際合作可在各國已經(jīng)公開披露的漏洞信息的基礎(chǔ)上加強漏洞信息分享和交流。

　　3.2　聚焦軟件供應(yīng)鏈安全

　　相對硬件供應(yīng)鏈，軟件供應(yīng)鏈的漏洞發(fā)現(xiàn)和修復(fù)相對比較容易。近期“太陽風”供應(yīng)鏈攻擊事件表明，軟件漏洞利用具有涉及維度廣、攻擊成本低、回報高、檢測困難等特性。加之開源代碼的使用，軟件漏洞的防控處理越發(fā)具有挑戰(zhàn)。同時，隨著物聯(lián)網(wǎng)的迅速發(fā)展，在物聯(lián)網(wǎng)相關(guān)的場景下，智慧城市、智慧家庭、智慧醫(yī)療、智慧交通和智慧工業(yè)等新應(yīng)用的安全問題將逐漸暴露出來。因此，物聯(lián)網(wǎng)軟件漏洞的管理將是有更多國際合作需求的領(lǐng)域。

　　3.3　聚焦漏洞修復(fù)

　　在實踐中，漏洞修復(fù)的問題比漏洞本身還大。一個漏洞可能涉及多個行業(yè)，也就意味著漏洞的修復(fù)涉及多家企業(yè)、多個廠商、多個用戶。但是，供應(yīng)商發(fā)布了補丁未必意味著脆弱設(shè)備就已被修復(fù)。很多情況下，有時候是因為物理上無法修復(fù)這些設(shè)備；有時候是因供應(yīng)商不具備漏洞修復(fù)能力，或者漏洞修復(fù)后系統(tǒng)不穩(wěn)定等原因使得有一部分漏洞難以修復(fù)。

　　理論上，產(chǎn)品之間有交叉處的企業(yè)或廠商， 在漏洞修復(fù)上自然會有技術(shù)上合作的需求。但是，讓跨國企業(yè)一起去修復(fù)漏洞并不太容易， 這就需要國家力量的協(xié)調(diào)，找出企業(yè)的困難點在哪里，短板在哪里，去平衡企業(yè)的動力不足。因此，漏洞修復(fù)可以是政府間合作最能發(fā)揮作用的地方。

　?。?漏洞管理國際合作的路徑

　　網(wǎng)絡(luò)安全是一個系統(tǒng)性問題，任何一個環(huán)節(jié)出現(xiàn)錯誤都會導(dǎo)致整個系統(tǒng)出現(xiàn)問題，因而漏洞管理要從系統(tǒng)整個生命周期的多個階段去考慮。本著避免重復(fù)建設(shè)，充分利用現(xiàn)有資源的原則，針對已經(jīng)公開披露的漏洞，漏洞管理的國際合作可以圍繞漏洞的報告、優(yōu)先化、響應(yīng)的三大環(huán)節(jié)建立漏洞信息交流、評估、修復(fù)的國際合作運行機制。

　　4.1　漏洞信息交流機制

　　漏洞披露是修復(fù)漏洞的基礎(chǔ)環(huán)節(jié)，也是展開漏洞管理國際合作的重要前提。在很多國家內(nèi)部，漏洞披露已經(jīng)形成一條較為完整的產(chǎn)業(yè)鏈，按漏洞的生命周期可分為：發(fā)現(xiàn)漏洞、安全信息提供、漏洞信息資源提供。從各國的實踐看，漏洞披露政策有相似之處，都涉及漏洞信息通過什么方式提交，漏洞信息在專業(yè)機構(gòu)、研究人員和廠商間如何共享，何時或者通過什么方式向公眾披露。而且，考慮到既要符合漏洞管理和利用的要求，也要符合社會公共安全利益，各國的漏洞披露策略都非常謹慎。在各方漏洞披露的基礎(chǔ)上加強漏洞信息交流共享， 及時更新漏洞警報和補丁信息，既有必要也非常有用。

　　目前，由非盈利組織 MITRE 管理的通用漏洞 披 露（Common Vulnerabilities & Exposures， CVE）平臺已成為國際公認的公開漏洞分享平臺。CVE 是一個漏洞索引數(shù)據(jù)庫，主要功能是對漏洞標識信息提供一個跨平臺標準。但是，CVE 有兩個局限。一是 CVE 沒有一個已存在的所有漏洞的完整列表。二是 CVE 的更新不及時，一些漏洞幾年的時間仍保持著“候選”狀態(tài)。因此， 國際合作可以通用漏洞披露平臺為基礎(chǔ)，聯(lián)合各方的國家級漏洞庫，在國家已公開披露的漏洞基礎(chǔ)上，建立漏洞更新的通報機制，具體內(nèi)容可以包括：

　　第一，豐富 CVE 的漏洞列表，加快 CVE 的漏洞審查速度。

　　第二，以自愿共享為原則，各方將其收集并已發(fā)布的漏洞信息上傳至國際漏洞信息共享平臺。

　　第三，檢測新漏洞動向，披露關(guān)于新漏洞的警告。利用廣泛的在線資源，主動收集漏洞信息，及時披露新發(fā)現(xiàn)漏洞，搶在黑客知悉漏洞細節(jié)并加以利用之前，向各方的 IT 部門、政府機構(gòu)和用戶發(fā)出警告。

　　4.2　漏洞評估機制

　　漏洞評估是目前漏洞管理的痛點所在。漏洞所造成的實際危害千差萬別，如果針對漏洞對應(yīng)的資產(chǎn)、環(huán)境等因素進行危害評估的體系缺位，將直接導(dǎo)致漏洞處置工作缺乏抓手。目前， 網(wǎng)絡(luò)安全漏洞危害評級主要采用定性定量評估方式，全球主要參考指南為美國國家基礎(chǔ)設(shè)施顧問委員會（NIAC）開發(fā)的《通用漏洞評分系統(tǒng)指南》（CVSS）。建議在 CVSS 的基礎(chǔ)上完善漏洞評估機制，進一步完善漏洞評估內(nèi)容。

　　其一，設(shè)置統(tǒng)一的“漏洞評估分類標準”， 對已上傳至漏洞信息共享平臺的漏洞進行二次評級。可重點參照事件響應(yīng)和安全小組論壇

　?。‵IRST）的指標集和國際標準組織 ISO 的漏洞披露標準文件，探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評估方法。

　　其二，對ICT 產(chǎn)品的漏洞修復(fù)能力進行評估。包括督促性分析，如未修復(fù)漏洞的超時時間和排名；最近一個月新增漏洞的修復(fù)排名，高危漏洞平均修復(fù)時間排名等，目的是以一種公開、透明的方式督促 ICT 供應(yīng)商加強漏洞修復(fù)。

　　4.3　漏洞處置協(xié)調(diào)機制

　　加強漏洞修復(fù)和后續(xù)防控，可以減少可能引發(fā)的網(wǎng)絡(luò)安全損害。有些漏洞在特定的環(huán)境中無法完全消除，強行消除漏洞可能引入更大的安全風險，導(dǎo)致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴重的事故。而終端用戶往往缺乏有效的判斷依據(jù)，往往不懂漏洞處置，不敢處置。

　　目前，事件響應(yīng)和安全小組論壇（FIRST） 已經(jīng)建立了重大網(wǎng)絡(luò)安全事件響應(yīng)的國際機制。但是由于FIRST 實行會員制，且入會門檻比較高， 準入機制復(fù)雜，審核時間較長，通常采取論壇、會議、培訓(xùn)的方式開展國際學(xué)術(shù)活動，其在漏洞應(yīng)急修復(fù)方面的全球協(xié)調(diào)能力有明顯不足。建議在 FIRST 的基礎(chǔ)上，完善漏洞處置協(xié)調(diào)機制，主要內(nèi)容可以包括：

　　其一，建立漏洞補丁庫。使 CVE 的漏洞索引編號與漏洞補丁庫的索引編號相聯(lián)系，通過統(tǒng)一標識，加強漏洞識別和相對應(yīng)的補救措施之間的協(xié)調(diào)。

　　其二，設(shè)立全球網(wǎng)絡(luò)漏洞管理的國際專家?guī)臁Ｓ扇蚓W(wǎng)絡(luò)信息漏洞專家對披露的高危漏洞信息進行評估，制定漏洞修復(fù)策略。針對暗網(wǎng)和社交媒體等非官方渠道的漏洞披露信息， 依托技術(shù)實力較強的企業(yè)和技術(shù)社群，進行漏洞危險性評估和預(yù)警。

　　5 結(jié)　語

　　2020 年9 月，中國提出《全球數(shù)據(jù)安全倡議》。2021 年 3 月，中國外交部同阿拉伯國家共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》，體現(xiàn)了發(fā)展中國家在數(shù)字治理領(lǐng)域的高度共識。網(wǎng)絡(luò)安全漏洞管理的合作可以作為一個構(gòu)成網(wǎng)絡(luò)空間信任的基點，通過網(wǎng)絡(luò)空間基底層的具體合作行動去凝聚國際共識，尋求符合各國利益的網(wǎng)絡(luò)空間治理的最大公約數(shù)。對于網(wǎng)絡(luò)安全漏洞管理，我國積累了豐富的經(jīng)驗和實踐，有能力以漏洞管理國際合作為突破口，在控制我國網(wǎng)絡(luò)空間風險的同時，推動網(wǎng)絡(luò)安全漏洞管理的最佳實踐，讓具備專業(yè)能力的政府機構(gòu)作為牽頭單位， 以技術(shù)社群作支撐，逐步推進漏洞管理的國際合作。