《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 構(gòu)建漏洞管理國(guó)際合作機(jī)制的思考和建議

構(gòu)建漏洞管理國(guó)際合作機(jī)制的思考和建議

2021-08-28
來源:信息安全與通信保密雜志社
關(guān)鍵詞: 漏洞管理 合作機(jī)制

  0 引 言

  漏洞(Vulnerability) 是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷, 從而使攻擊者能夠在未授權(quán)的情況下訪問、破壞或控制目標(biāo)系統(tǒng)。從技術(shù)層面看,漏洞本身無法根除。漏洞的開發(fā)利用頻繁,相對(duì)廉價(jià)快速, 而漏洞發(fā)現(xiàn)后消除周期較長(zhǎng)。如果大量漏洞長(zhǎng)期暴露得不到及時(shí)有效的處置,那么新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將進(jìn)一步疊加。

  漏洞管理(Vulnerability Management) 通常定義為對(duì)操作系統(tǒng)(OS)、企業(yè)應(yīng)用程序、瀏覽器和最終用戶應(yīng)用程序中的漏洞進(jìn)行識(shí)別、分類、確定優(yōu)先級(jí)和處理,是一個(gè)持續(xù)的過程。由于資源是有限的,漏洞管理強(qiáng)調(diào)用有限的投入去實(shí)現(xiàn)最大限度的安全效益。

  漏洞本身雖然不產(chǎn)生危害,但一旦被利用, 極有可能帶來嚴(yán)重的威脅和損害。在網(wǎng)絡(luò)安全領(lǐng)域,漏洞常被攻擊方視為“殺手锏”武器, 又被防守方當(dāng)作“萬惡之源”。針對(duì)網(wǎng)絡(luò)安全本源性的難題,構(gòu)建一個(gè)互利的、穩(wěn)定運(yùn)行的漏洞管理國(guó)際機(jī)制,既符合各方利益,也有利于推動(dòng)全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進(jìn)。

  1 漏洞管理國(guó)際合作的現(xiàn)實(shí)要求

  在全球進(jìn)入萬物互聯(lián)的時(shí)代,各國(guó)處于加速發(fā)展數(shù)字經(jīng)濟(jì)、建設(shè)數(shù)字政府、數(shù)字社會(huì)的新階段,漏洞已經(jīng)成為影響一個(gè)國(guó)家經(jīng)濟(jì)發(fā)展和國(guó)計(jì)民生的重要網(wǎng)絡(luò)安全風(fēng)險(xiǎn),也是國(guó)際社會(huì)共同面臨的網(wǎng)絡(luò)空間治理難題。

  1.1 漏洞管理涉及網(wǎng)絡(luò)安全的全球生態(tài)建設(shè)

  當(dāng)前,全球安全漏洞數(shù)量快速增長(zhǎng),危險(xiǎn)級(jí)別不斷提升。與此同時(shí),漏洞的責(zé)任難以界定、漏洞的評(píng)估缺乏人員經(jīng)驗(yàn)支撐、漏洞的修復(fù)推動(dòng)困難,這些問題都表明要想防止網(wǎng)絡(luò)安全漏洞在全球范圍內(nèi)造成更為巨大的危害,漏洞管理需要多方協(xié)作。

  第一,漏洞的來源具有跨國(guó)性。當(dāng)今世界, 幾乎所有的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施都對(duì)信息通信技術(shù)(以下簡(jiǎn)稱 ICT)的依賴程度越來越高。ICT 供應(yīng)鏈最突出的特點(diǎn)是產(chǎn)品要通過高度分散的全球供應(yīng)鏈實(shí)現(xiàn)開發(fā)、集成和交付, 而產(chǎn)品的設(shè)計(jì)、開發(fā)、采購(gòu)、生產(chǎn)、倉(cāng)儲(chǔ)、物流、銷售、維護(hù)、召回等每個(gè)環(huán)節(jié)都有可能被篡改或控制。

  第二,漏洞的官方披露滯后。大量漏洞在官方披露之前已經(jīng)在社交媒體和黑市討論。新聞?wù)军c(diǎn)、博客和社交媒體,以及暗網(wǎng)和犯罪論壇, 往往比美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)統(tǒng)管的加強(qiáng)對(duì)網(wǎng)絡(luò)安全漏洞的處置及后續(xù)的防控更快公布漏洞。威脅情報(bào)公司 Recorded Future 表示, 從 2015 年到 2017 年,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,然后社交媒體上討論近 90 天后才能收錄在美國(guó)國(guó)家數(shù)據(jù)庫(kù)中 。非官方與官方漏洞披露的錯(cuò)位導(dǎo)致漏洞威脅信息不對(duì)稱,使得未能及時(shí)掌握漏洞信息的政府機(jī)構(gòu)、企業(yè)、廠商和個(gè)人面臨漏洞利用帶來的重大安全風(fēng)險(xiǎn)。

  第三,開源軟件漏洞的修復(fù)困難。隨著“大智移云鏈”等新興技術(shù)的廣泛應(yīng)用,開源軟件的支撐作用越發(fā)明顯。幾乎所有的商業(yè)軟件代碼庫(kù)都包含開源共享代碼。由于開源軟件的規(guī)模龐大、漏洞頻發(fā)、引用關(guān)系復(fù)雜等特點(diǎn),給應(yīng)用系統(tǒng)的安全處置帶來很大挑戰(zhàn)。同時(shí),漏洞修復(fù)和版本升級(jí)需要投入大量的開發(fā)和測(cè)試工作量,部分開源軟件沒有安全版本可用,對(duì)漏洞處置方案提出了更高的要求。

  1.2 漏洞武器化成為網(wǎng)絡(luò)空間和平的重大威脅

  不同類型的漏洞獲取,意味著取得不同等級(jí)的系統(tǒng)控制權(quán)和風(fēng)險(xiǎn)數(shù)據(jù),并且隨著網(wǎng)絡(luò)漏洞的武器化,很多網(wǎng)絡(luò)安全維護(hù)措施可能失去效用。因此,在軍事上,漏洞是侵入他國(guó)系統(tǒng)最有力的武器,各國(guó)軍方將漏洞視為戰(zhàn)略資源。在民用領(lǐng)域,漏洞已參與到國(guó)家、企業(yè)之間的競(jìng)爭(zhēng)。

  美國(guó)利用信息技術(shù)及產(chǎn)品在全球的壟斷地位實(shí)現(xiàn)了對(duì)全球漏洞的掌控,加之其積極推行“前置防御”“持續(xù)交手”網(wǎng)絡(luò)空間戰(zhàn)略,網(wǎng)絡(luò)世界面臨濃重的戰(zhàn)爭(zhēng)陰影。美國(guó)政府可通過美國(guó)國(guó)家漏洞庫(kù)(NVD)面向全球收集漏洞, Microsoft、Cisco、Apple、Adobe 等全球主要軟硬件廠商的產(chǎn)品漏洞都在美國(guó)國(guó)家漏洞庫(kù)的掌握之中。同時(shí),美國(guó)通過“出口限制禁令”限制零日漏洞及其相關(guān)產(chǎn)品流出美國(guó)。2015 年美國(guó)《瓦森納協(xié)定》的新出口限制禁令,將未公開的軟件漏洞視為潛在的武器進(jìn)行限制和監(jiān)管。國(guó)際社會(huì)需要建立一種國(guó)際機(jī)制,有效抵消漏洞武器化的效果,并約束國(guó)家的惡意網(wǎng)絡(luò)行為。

  1.3 限制和消除漏洞已經(jīng)成為國(guó)際共識(shí)

  無論是出于對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的需要, 還是國(guó)家安全的考慮,限制和消除漏洞已經(jīng)成為大多數(shù)國(guó)家參與網(wǎng)絡(luò)空間國(guó)際治理的重要?jiǎng)恿Α?015 年聯(lián)合國(guó)信息安全政府專家組報(bào)告達(dá)成了 11 項(xiàng)自愿的非約束性負(fù)責(zé)任國(guó)家行為規(guī)范 。其中,第 10 項(xiàng)指出,“各國(guó)應(yīng)鼓勵(lì)負(fù)責(zé)任的報(bào)道信通技術(shù)的脆弱性,分享有關(guān)這種脆 弱性的現(xiàn)有補(bǔ)救辦法的相關(guān)資料,以限制并可 能消除信通技術(shù)和依賴信通技術(shù)的基礎(chǔ)設(shè)施所面臨的潛在威脅”。在本屆聯(lián)合國(guó)信息安全開放式工作組(OEWG)中,關(guān)于負(fù)責(zé)任行為規(guī)范議題,有多國(guó)提議“進(jìn)一步確保信通技術(shù)供應(yīng)鏈的完整性,對(duì)在信通技術(shù)產(chǎn)品中創(chuàng)造有害的 隱藏功能表示關(guān)切,并有責(zé)任在發(fā)現(xiàn)重大漏洞時(shí)通知用戶”。關(guān)于能力建設(shè),也有建議提出“建立有相關(guān)利益攸關(guān)方參與的國(guó)家協(xié)調(diào)機(jī)構(gòu), 以評(píng)估方案的有效性,可有助于國(guó)家處理信通 技術(shù)安全問題”。

  2 漏洞管理的國(guó)際組織和平臺(tái)

  隨著信息技術(shù)的快速迭代發(fā)展,漏洞的發(fā)展變化給一國(guó)的漏洞管理帶來了新的挑戰(zhàn)。世界各主要國(guó)家紛紛制定漏洞管理政策,建立國(guó)家級(jí)漏洞平臺(tái)和處理機(jī)制,在漏洞管理的實(shí)踐中,積累了很多經(jīng)驗(yàn) 。從全球視角看,以下國(guó)際組織和平臺(tái)體現(xiàn)了國(guó)際社會(huì)加強(qiáng)合作,共同應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)的努力。

  2.1 國(guó)際標(biāo)準(zhǔn)化組織

  國(guó) 際 標(biāo) 準(zhǔn) 化 組 織(International Standards Organization,ISO)兩項(xiàng)標(biāo)準(zhǔn),ISO 29147 和 ISO 30111,規(guī)定了響應(yīng)安全漏洞的組織結(jié)構(gòu)和處理流程。

  ISO/IEC 29147:漏洞披露流程。該標(biāo)準(zhǔn)為供應(yīng)商提供了從外部獲取其產(chǎn)品或在線服務(wù)的漏洞信息的五個(gè)步驟,包括接受漏洞報(bào)告、漏洞驗(yàn)證、解決方案開發(fā)、發(fā)布和發(fā)布后事項(xiàng)。

  ISO/IEC 30111:漏洞處理流程。該標(biāo)準(zhǔn)規(guī)定機(jī)構(gòu)應(yīng)該有的漏洞處理的內(nèi)部流程,幫助機(jī)構(gòu)在外部報(bào)告到達(dá)后進(jìn)行漏洞調(diào)查和補(bǔ)救。

  2.2 通用漏洞披露平臺(tái)

  通用漏洞披露平臺(tái)(Common Vulnerabilities & Exposures,CVE),為已披露的漏洞給出唯一的公共命名。CVE 就好像是一個(gè)字典表,通過公共命名使得 CVE 成為了安全信息共享的“關(guān)鍵字”,幫助用戶在各自獨(dú)立的漏洞數(shù)據(jù)庫(kù)和漏洞評(píng)估工具中共享數(shù)據(jù)。雖然這些工具很難整合在一起,但是如果在漏洞報(bào)告中的一個(gè)漏洞有 CVE 名稱,就可以快速地在任何其他 CVE 兼容的數(shù)據(jù)庫(kù)中找到相應(yīng)修補(bǔ)的信息。

  2.3 漏洞提交平臺(tái)

  ExploitDB 是一個(gè)面向全世界黑客的漏洞提交平臺(tái),該平臺(tái)會(huì)公布最新漏洞的相關(guān)情況, 由此幫助企業(yè)改善安全狀況,同時(shí)也幫助安全研究者更好地進(jìn)行安全測(cè)試工作。ExploitDB 提供一整套龐大的歸檔體系,其中涵蓋了各類公開的攻擊事件、漏洞報(bào)告、安全文章以及技術(shù)教程等資源。

  2.4 互聯(lián)網(wǎng)工程指導(dǎo)小組

  2019 年12 月,互聯(lián)網(wǎng)工程指導(dǎo)小組 (Internet Engineering Steering Group,IESG)發(fā)布了網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 的最終征求意見稿,該標(biāo)準(zhǔn)“Web 安全策略方法”旨在改善獨(dú)立安全研究人員用來披露 Web 服務(wù)漏洞的通信渠道,盡可能簡(jiǎn)化研究人員的漏洞披露過程。在獲得美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后,IESG 的全球性網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 草案也進(jìn)入了最后一輪意見征詢階段。

  2.5 事件響應(yīng)和安全團(tuán)隊(duì)論壇

  事件響應(yīng)和安全團(tuán)隊(duì)論壇(Forum of Incident Response and Security Teams,F(xiàn)IRST) 是一個(gè)多利益攸關(guān)方參與的組織,匯集了來自政府、商業(yè)和教育組織的各種計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì), 也是事件響應(yīng)方面公認(rèn)的全球領(lǐng)導(dǎo)者。FIRST 旨在促進(jìn)事件預(yù)防方面的合作與協(xié)調(diào),激發(fā)對(duì)事件的快速反應(yīng),并促進(jìn)成員與整個(gè)社群之間的信息共享。FIRST 實(shí)行會(huì)員制。目前FIRST 擁有500 多個(gè)會(huì)員,遍布非洲、美洲、亞洲、歐洲和大洋洲。其成員基本上分成三類,一是各個(gè)國(guó)家本土的CERT,二是設(shè)備制造商,三是運(yùn)營(yíng)商, 還包括一些來自學(xué)術(shù)機(jī)構(gòu)的其他成員。在漏洞管理方面,F(xiàn)IRST 有四項(xiàng)工作是非常有價(jià)值的。

  第一,成立了由銀行、金融、技術(shù)和學(xué)術(shù)界等眾多行業(yè)代表組成的特別小組(SIG),對(duì)通用漏洞評(píng)分系統(tǒng) CVSS 進(jìn)行改進(jìn)。

  第二,著手開發(fā)漏洞利用預(yù)測(cè)評(píng)分系統(tǒng)(Exploit Prediction Scoring System,EPSS), 對(duì)公開披露的漏洞進(jìn)行近實(shí)時(shí)的評(píng)估,預(yù)測(cè)軟件漏洞的利用,幫助網(wǎng)絡(luò)防御者更好地確定漏洞修復(fù)工作的優(yōu)先級(jí)。

  第三,發(fā)布了“多方漏洞協(xié)調(diào)和披露指南和實(shí)踐”。該文件是美國(guó)國(guó)家電信和信息管理局(NTIA)與 FIRST 共同的研究成果,旨在幫助改善不同利益相關(guān)者之間的多方漏洞協(xié)調(diào)。

  第四,成立了漏洞報(bào)告和數(shù)據(jù)交換特別小組,研究和推薦在不同的漏洞數(shù)據(jù)庫(kù)之間識(shí)別和交換漏洞信息的方法。在第一階段(2013 年至 2015 年),F(xiàn)IRST 開發(fā)漏洞數(shù)據(jù)庫(kù)目錄。在第二階段(從 2015 年開始),F(xiàn)IRST 將開發(fā)漏洞 ID 交叉引用系統(tǒng)和漏洞披露策略目錄,制定并發(fā)布漏洞披露以及處理策略的目錄。

 ?。?漏洞管理國(guó)際合作的重點(diǎn)

  眾所周知,從國(guó)家安全的角度,國(guó)家軍事部門和情報(bào)部門對(duì)漏洞非常重視,是漏洞利用的需求方、開發(fā)方和使用方。從這一點(diǎn)講,漏洞管理的國(guó)際合作非常敏感,也是漏洞管理國(guó)際合作需要平衡和兼顧之處。為了讓合作具有可操作性和可持續(xù)性,漏洞管理國(guó)際合作需要尊重各方國(guó)家安全上的關(guān)切和顧慮,在各方已經(jīng)公開的漏洞資源基礎(chǔ)上,以公開、透明的方式加強(qiáng)漏洞資源的共享和協(xié)調(diào)。

  3.1 聚焦公開漏洞的信息分享

  目前,世界上有大量的國(guó)家級(jí)漏洞平臺(tái)。包括中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD)、中國(guó)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)、美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)、日本漏洞庫(kù)(JVN)、歐盟的“安全漏洞庫(kù)服務(wù)”(Security Vulnerability Repository Service,SVRS) 等。漏洞管理的國(guó)際合作可在各國(guó)已經(jīng)公開披露的漏洞信息的基礎(chǔ)上加強(qiáng)漏洞信息分享和交流。

  3.2 聚焦軟件供應(yīng)鏈安全

  相對(duì)硬件供應(yīng)鏈,軟件供應(yīng)鏈的漏洞發(fā)現(xiàn)和修復(fù)相對(duì)比較容易。近期“太陽(yáng)風(fēng)”供應(yīng)鏈攻擊事件表明,軟件漏洞利用具有涉及維度廣、攻擊成本低、回報(bào)高、檢測(cè)困難等特性。加之開源代碼的使用,軟件漏洞的防控處理越發(fā)具有挑戰(zhàn)。同時(shí),隨著物聯(lián)網(wǎng)的迅速發(fā)展,在物聯(lián)網(wǎng)相關(guān)的場(chǎng)景下,智慧城市、智慧家庭、智慧醫(yī)療、智慧交通和智慧工業(yè)等新應(yīng)用的安全問題將逐漸暴露出來。因此,物聯(lián)網(wǎng)軟件漏洞的管理將是有更多國(guó)際合作需求的領(lǐng)域。

  3.3 聚焦漏洞修復(fù)

  在實(shí)踐中,漏洞修復(fù)的問題比漏洞本身還大。一個(gè)漏洞可能涉及多個(gè)行業(yè),也就意味著漏洞的修復(fù)涉及多家企業(yè)、多個(gè)廠商、多個(gè)用戶。但是,供應(yīng)商發(fā)布了補(bǔ)丁未必意味著脆弱設(shè)備就已被修復(fù)。很多情況下,有時(shí)候是因?yàn)槲锢砩蠠o法修復(fù)這些設(shè)備;有時(shí)候是因供應(yīng)商不具備漏洞修復(fù)能力,或者漏洞修復(fù)后系統(tǒng)不穩(wěn)定等原因使得有一部分漏洞難以修復(fù)。

  理論上,產(chǎn)品之間有交叉處的企業(yè)或廠商, 在漏洞修復(fù)上自然會(huì)有技術(shù)上合作的需求。但是,讓跨國(guó)企業(yè)一起去修復(fù)漏洞并不太容易, 這就需要國(guó)家力量的協(xié)調(diào),找出企業(yè)的困難點(diǎn)在哪里,短板在哪里,去平衡企業(yè)的動(dòng)力不足。因此,漏洞修復(fù)可以是政府間合作最能發(fā)揮作用的地方。

  4 漏洞管理國(guó)際合作的路徑

  網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性問題,任何一個(gè)環(huán)節(jié)出現(xiàn)錯(cuò)誤都會(huì)導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問題,因而漏洞管理要從系統(tǒng)整個(gè)生命周期的多個(gè)階段去考慮。本著避免重復(fù)建設(shè),充分利用現(xiàn)有資源的原則,針對(duì)已經(jīng)公開披露的漏洞,漏洞管理的國(guó)際合作可以圍繞漏洞的報(bào)告、優(yōu)先化、響應(yīng)的三大環(huán)節(jié)建立漏洞信息交流、評(píng)估、修復(fù)的國(guó)際合作運(yùn)行機(jī)制。

  4.1 漏洞信息交流機(jī)制

  漏洞披露是修復(fù)漏洞的基礎(chǔ)環(huán)節(jié),也是展開漏洞管理國(guó)際合作的重要前提。在很多國(guó)家內(nèi)部,漏洞披露已經(jīng)形成一條較為完整的產(chǎn)業(yè)鏈,按漏洞的生命周期可分為:發(fā)現(xiàn)漏洞、安全信息提供、漏洞信息資源提供。從各國(guó)的實(shí)踐看,漏洞披露政策有相似之處,都涉及漏洞信息通過什么方式提交,漏洞信息在專業(yè)機(jī)構(gòu)、研究人員和廠商間如何共享,何時(shí)或者通過什么方式向公眾披露。而且,考慮到既要符合漏洞管理和利用的要求,也要符合社會(huì)公共安全利益,各國(guó)的漏洞披露策略都非常謹(jǐn)慎。在各方漏洞披露的基礎(chǔ)上加強(qiáng)漏洞信息交流共享, 及時(shí)更新漏洞警報(bào)和補(bǔ)丁信息,既有必要也非常有用。

  目前,由非盈利組織 MITRE 管理的通用漏洞 披 露(Common Vulnerabilities & Exposures, CVE)平臺(tái)已成為國(guó)際公認(rèn)的公開漏洞分享平臺(tái)。CVE 是一個(gè)漏洞索引數(shù)據(jù)庫(kù),主要功能是對(duì)漏洞標(biāo)識(shí)信息提供一個(gè)跨平臺(tái)標(biāo)準(zhǔn)。但是,CVE 有兩個(gè)局限。一是 CVE 沒有一個(gè)已存在的所有漏洞的完整列表。二是 CVE 的更新不及時(shí),一些漏洞幾年的時(shí)間仍保持著“候選”狀態(tài)。因此, 國(guó)際合作可以通用漏洞披露平臺(tái)為基礎(chǔ),聯(lián)合各方的國(guó)家級(jí)漏洞庫(kù),在國(guó)家已公開披露的漏洞基礎(chǔ)上,建立漏洞更新的通報(bào)機(jī)制,具體內(nèi)容可以包括:

  第一,豐富 CVE 的漏洞列表,加快 CVE 的漏洞審查速度。

  第二,以自愿共享為原則,各方將其收集并已發(fā)布的漏洞信息上傳至國(guó)際漏洞信息共享平臺(tái)。

  第三,檢測(cè)新漏洞動(dòng)向,披露關(guān)于新漏洞的警告。利用廣泛的在線資源,主動(dòng)收集漏洞信息,及時(shí)披露新發(fā)現(xiàn)漏洞,搶在黑客知悉漏洞細(xì)節(jié)并加以利用之前,向各方的 IT 部門、政府機(jī)構(gòu)和用戶發(fā)出警告。

  4.2 漏洞評(píng)估機(jī)制

  漏洞評(píng)估是目前漏洞管理的痛點(diǎn)所在。漏洞所造成的實(shí)際危害千差萬別,如果針對(duì)漏洞對(duì)應(yīng)的資產(chǎn)、環(huán)境等因素進(jìn)行危害評(píng)估的體系缺位,將直接導(dǎo)致漏洞處置工作缺乏抓手。目前, 網(wǎng)絡(luò)安全漏洞危害評(píng)級(jí)主要采用定性定量評(píng)估方式,全球主要參考指南為美國(guó)國(guó)家基礎(chǔ)設(shè)施顧問委員會(huì)(NIAC)開發(fā)的《通用漏洞評(píng)分系統(tǒng)指南》(CVSS)。建議在 CVSS 的基礎(chǔ)上完善漏洞評(píng)估機(jī)制,進(jìn)一步完善漏洞評(píng)估內(nèi)容。

  其一,設(shè)置統(tǒng)一的“漏洞評(píng)估分類標(biāo)準(zhǔn)”, 對(duì)已上傳至漏洞信息共享平臺(tái)的漏洞進(jìn)行二次評(píng)級(jí)??芍攸c(diǎn)參照事件響應(yīng)和安全小組論壇

 ?。‵IRST)的指標(biāo)集和國(guó)際標(biāo)準(zhǔn)組織 ISO 的漏洞披露標(biāo)準(zhǔn)文件,探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評(píng)估方法。

  其二,對(duì)ICT 產(chǎn)品的漏洞修復(fù)能力進(jìn)行評(píng)估。包括督促性分析,如未修復(fù)漏洞的超時(shí)時(shí)間和排名;最近一個(gè)月新增漏洞的修復(fù)排名,高危漏洞平均修復(fù)時(shí)間排名等,目的是以一種公開、透明的方式督促 ICT 供應(yīng)商加強(qiáng)漏洞修復(fù)。

  4.3 漏洞處置協(xié)調(diào)機(jī)制

  加強(qiáng)漏洞修復(fù)和后續(xù)防控,可以減少可能引發(fā)的網(wǎng)絡(luò)安全損害。有些漏洞在特定的環(huán)境中無法完全消除,強(qiáng)行消除漏洞可能引入更大的安全風(fēng)險(xiǎn),導(dǎo)致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴(yán)重的事故。而終端用戶往往缺乏有效的判斷依據(jù),往往不懂漏洞處置,不敢處置。

  目前,事件響應(yīng)和安全小組論壇(FIRST) 已經(jīng)建立了重大網(wǎng)絡(luò)安全事件響應(yīng)的國(guó)際機(jī)制。但是由于FIRST 實(shí)行會(huì)員制,且入會(huì)門檻比較高, 準(zhǔn)入機(jī)制復(fù)雜,審核時(shí)間較長(zhǎng),通常采取論壇、會(huì)議、培訓(xùn)的方式開展國(guó)際學(xué)術(shù)活動(dòng),其在漏洞應(yīng)急修復(fù)方面的全球協(xié)調(diào)能力有明顯不足。建議在 FIRST 的基礎(chǔ)上,完善漏洞處置協(xié)調(diào)機(jī)制,主要內(nèi)容可以包括:

  其一,建立漏洞補(bǔ)丁庫(kù)。使 CVE 的漏洞索引編號(hào)與漏洞補(bǔ)丁庫(kù)的索引編號(hào)相聯(lián)系,通過統(tǒng)一標(biāo)識(shí),加強(qiáng)漏洞識(shí)別和相對(duì)應(yīng)的補(bǔ)救措施之間的協(xié)調(diào)。

  其二,設(shè)立全球網(wǎng)絡(luò)漏洞管理的國(guó)際專家?guī)臁S扇蚓W(wǎng)絡(luò)信息漏洞專家對(duì)披露的高危漏洞信息進(jìn)行評(píng)估,制定漏洞修復(fù)策略。針對(duì)暗網(wǎng)和社交媒體等非官方渠道的漏洞披露信息, 依托技術(shù)實(shí)力較強(qiáng)的企業(yè)和技術(shù)社群,進(jìn)行漏洞危險(xiǎn)性評(píng)估和預(yù)警。

  5 結(jié) 語(yǔ)

  2020 年9 月,中國(guó)提出《全球數(shù)據(jù)安全倡議》。2021 年 3 月,中國(guó)外交部同阿拉伯國(guó)家共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》,體現(xiàn)了發(fā)展中國(guó)家在數(shù)字治理領(lǐng)域的高度共識(shí)。網(wǎng)絡(luò)安全漏洞管理的合作可以作為一個(gè)構(gòu)成網(wǎng)絡(luò)空間信任的基點(diǎn),通過網(wǎng)絡(luò)空間基底層的具體合作行動(dòng)去凝聚國(guó)際共識(shí),尋求符合各國(guó)利益的網(wǎng)絡(luò)空間治理的最大公約數(shù)。對(duì)于網(wǎng)絡(luò)安全漏洞管理,我國(guó)積累了豐富的經(jīng)驗(yàn)和實(shí)踐,有能力以漏洞管理國(guó)際合作為突破口,在控制我國(guó)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)的同時(shí),推動(dòng)網(wǎng)絡(luò)安全漏洞管理的最佳實(shí)踐,讓具備專業(yè)能力的政府機(jī)構(gòu)作為牽頭單位, 以技術(shù)社群作支撐,逐步推進(jìn)漏洞管理的國(guó)際合作。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。