?。?引　言

　　漏洞（Vulnerability） 是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷， 從而使攻擊者能夠在未授權的情況下訪問、破壞或控制目標系統(tǒng)。從技術層面看，漏洞本身無法根除。漏洞的開發(fā)利用頻繁，相對廉價快速， 而漏洞發(fā)現(xiàn)后消除周期較長。如果大量漏洞長期暴露得不到及時有效的處置，那么新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加，網絡安全風險將進一步疊加。

　　漏洞管理（Vulnerability Management） 通常定義為對操作系統(tǒng)（OS）、企業(yè)應用程序、瀏覽器和最終用戶應用程序中的漏洞進行識別、分類、確定優(yōu)先級和處理，是一個持續(xù)的過程。由于資源是有限的，漏洞管理強調用有限的投入去實現(xiàn)最大限度的安全效益。

　　漏洞本身雖然不產生危害，但一旦被利用， 極有可能帶來嚴重的威脅和損害。在網絡安全領域，漏洞常被攻擊方視為“殺手锏”武器， 又被防守方當作“萬惡之源”。針對網絡安全本源性的難題，構建一個互利的、穩(wěn)定運行的漏洞管理國際機制，既符合各方利益，也有利于推動全球互聯(lián)網治理體系向著更加公正合理的方向邁進。

　?。?漏洞管理國際合作的現(xiàn)實要求

　　在全球進入萬物互聯(lián)的時代，各國處于加速發(fā)展數(shù)字經濟、建設數(shù)字政府、數(shù)字社會的新階段，漏洞已經成為影響一個國家經濟發(fā)展和國計民生的重要網絡安全風險，也是國際社會共同面臨的網絡空間治理難題。

　　1.1　漏洞管理涉及網絡安全的全球生態(tài)建設

　　當前，全球安全漏洞數(shù)量快速增長，危險級別不斷提升。與此同時，漏洞的責任難以界定、漏洞的評估缺乏人員經驗支撐、漏洞的修復推動困難，這些問題都表明要想防止網絡安全漏洞在全球范圍內造成更為巨大的危害，漏洞管理需要多方協(xié)作。

　　第一，漏洞的來源具有跨國性。當今世界， 幾乎所有的涉及國計民生的關鍵基礎設施都對信息通信技術（以下簡稱 ICT）的依賴程度越來越高。ICT 供應鏈最突出的特點是產品要通過高度分散的全球供應鏈實現(xiàn)開發(fā)、集成和交付， 而產品的設計、開發(fā)、采購、生產、倉儲、物流、銷售、維護、召回等每個環(huán)節(jié)都有可能被篡改或控制。

　　第二，漏洞的官方披露滯后。大量漏洞在官方披露之前已經在社交媒體和黑市討論。新聞站點、博客和社交媒體，以及暗網和犯罪論壇， 往往比美國國家標準與技術局（NIST）統(tǒng)管的加強對網絡安全漏洞的處置及后續(xù)的防控更快公布漏洞。威脅情報公司 Recorded Future 表示， 從 2015 年到 2017 年，有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網站上，然后社交媒體上討論近 90 天后才能收錄在美國國家數(shù)據庫中 。非官方與官方漏洞披露的錯位導致漏洞威脅信息不對稱，使得未能及時掌握漏洞信息的政府機構、企業(yè)、廠商和個人面臨漏洞利用帶來的重大安全風險。

　　第三，開源軟件漏洞的修復困難。隨著“大智移云鏈”等新興技術的廣泛應用，開源軟件的支撐作用越發(fā)明顯。幾乎所有的商業(yè)軟件代碼庫都包含開源共享代碼。由于開源軟件的規(guī)模龐大、漏洞頻發(fā)、引用關系復雜等特點，給應用系統(tǒng)的安全處置帶來很大挑戰(zhàn)。同時，漏洞修復和版本升級需要投入大量的開發(fā)和測試工作量，部分開源軟件沒有安全版本可用，對漏洞處置方案提出了更高的要求。

　　1.2　漏洞武器化成為網絡空間和平的重大威脅

　　不同類型的漏洞獲取，意味著取得不同等級的系統(tǒng)控制權和風險數(shù)據，并且隨著網絡漏洞的武器化，很多網絡安全維護措施可能失去效用。因此，在軍事上，漏洞是侵入他國系統(tǒng)最有力的武器，各國軍方將漏洞視為戰(zhàn)略資源。在民用領域，漏洞已參與到國家、企業(yè)之間的競爭。

　　美國利用信息技術及產品在全球的壟斷地位實現(xiàn)了對全球漏洞的掌控，加之其積極推行“前置防御”“持續(xù)交手”網絡空間戰(zhàn)略，網絡世界面臨濃重的戰(zhàn)爭陰影。美國政府可通過美國國家漏洞庫（NVD）面向全球收集漏洞， Microsoft、Cisco、Apple、Adobe 等全球主要軟硬件廠商的產品漏洞都在美國國家漏洞庫的掌握之中。同時，美國通過“出口限制禁令”限制零日漏洞及其相關產品流出美國。2015 年美國《瓦森納協(xié)定》的新出口限制禁令，將未公開的軟件漏洞視為潛在的武器進行限制和監(jiān)管。國際社會需要建立一種國際機制，有效抵消漏洞武器化的效果，并約束國家的惡意網絡行為。

　　1.3　限制和消除漏洞已經成為國際共識

　　無論是出于對關鍵基礎設施保護的需要， 還是國家安全的考慮，限制和消除漏洞已經成為大多數(shù)國家參與網絡空間國際治理的重要動力。2015 年聯(lián)合國信息安全政府專家組報告達成了 11 項自愿的非約束性負責任國家行為規(guī)范 。其中，第 10 項指出，“各國應鼓勵負責任的報道信通技術的脆弱性，分享有關這種脆 弱性的現(xiàn)有補救辦法的相關資料，以限制并可 能消除信通技術和依賴信通技術的基礎設施所面臨的潛在威脅”。在本屆聯(lián)合國信息安全開放式工作組（OEWG）中，關于負責任行為規(guī)范議題，有多國提議“進一步確保信通技術供應鏈的完整性，對在信通技術產品中創(chuàng)造有害的 隱藏功能表示關切，并有責任在發(fā)現(xiàn)重大漏洞時通知用戶”。關于能力建設，也有建議提出“建立有相關利益攸關方參與的國家協(xié)調機構， 以評估方案的有效性，可有助于國家處理信通 技術安全問題”。

　?。?漏洞管理的國際組織和平臺

　　隨著信息技術的快速迭代發(fā)展，漏洞的發(fā)展變化給一國的漏洞管理帶來了新的挑戰(zhàn)。世界各主要國家紛紛制定漏洞管理政策，建立國家級漏洞平臺和處理機制，在漏洞管理的實踐中，積累了很多經驗 。從全球視角看，以下國際組織和平臺體現(xiàn)了國際社會加強合作，共同應對網絡安全挑戰(zhàn)的努力。

　　2.1　國際標準化組織

　　國 際 標 準 化 組 織（International Standards Organization，ISO）兩項標準，ISO 29147 和 ISO 30111，規(guī)定了響應安全漏洞的組織結構和處理流程。

　　ISO/IEC 29147：漏洞披露流程。該標準為供應商提供了從外部獲取其產品或在線服務的漏洞信息的五個步驟，包括接受漏洞報告、漏洞驗證、解決方案開發(fā)、發(fā)布和發(fā)布后事項。

　　ISO/IEC 30111：漏洞處理流程。該標準規(guī)定機構應該有的漏洞處理的內部流程，幫助機構在外部報告到達后進行漏洞調查和補救。

　　2.2　通用漏洞披露平臺

　　通用漏洞披露平臺（Common Vulnerabilities & Exposures，CVE），為已披露的漏洞給出唯一的公共命名。CVE 就好像是一個字典表，通過公共命名使得 CVE 成為了安全信息共享的“關鍵字”，幫助用戶在各自獨立的漏洞數(shù)據庫和漏洞評估工具中共享數(shù)據。雖然這些工具很難整合在一起，但是如果在漏洞報告中的一個漏洞有 CVE 名稱，就可以快速地在任何其他 CVE 兼容的數(shù)據庫中找到相應修補的信息。

　　2.3　漏洞提交平臺

　　ExploitDB 是一個面向全世界黑客的漏洞提交平臺，該平臺會公布最新漏洞的相關情況， 由此幫助企業(yè)改善安全狀況，同時也幫助安全研究者更好地進行安全測試工作。ExploitDB 提供一整套龐大的歸檔體系，其中涵蓋了各類公開的攻擊事件、漏洞報告、安全文章以及技術教程等資源。

　　2.4　互聯(lián)網工程指導小組

　　2019 年12 月，互聯(lián)網工程指導小組 （Internet Engineering Steering Group，IESG）發(fā)布了網絡漏洞披露標準 Security.txt 的最終征求意見稿，該標準“Web 安全策略方法”旨在改善獨立安全研究人員用來披露 Web 服務漏洞的通信渠道，盡可能簡化研究人員的漏洞披露過程。在獲得美國網絡安全與基礎設施安全局 （CISA）發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后，IESG 的全球性網絡漏洞披露標準 Security.txt 草案也進入了最后一輪意見征詢階段。

　　2.5　事件響應和安全團隊論壇

　　事件響應和安全團隊論壇（Forum of Incident Response and Security Teams，F(xiàn)IRST） 是一個多利益攸關方參與的組織，匯集了來自政府、商業(yè)和教育組織的各種計算機安全事件響應團隊， 也是事件響應方面公認的全球領導者。FIRST 旨在促進事件預防方面的合作與協(xié)調，激發(fā)對事件的快速反應，并促進成員與整個社群之間的信息共享。FIRST 實行會員制。目前FIRST 擁有500 多個會員，遍布非洲、美洲、亞洲、歐洲和大洋洲。其成員基本上分成三類，一是各個國家本土的CERT，二是設備制造商，三是運營商， 還包括一些來自學術機構的其他成員。在漏洞管理方面，F(xiàn)IRST 有四項工作是非常有價值的。

　　第一，成立了由銀行、金融、技術和學術界等眾多行業(yè)代表組成的特別小組（SIG），對通用漏洞評分系統(tǒng) CVSS 進行改進。

　　第二，著手開發(fā)漏洞利用預測評分系統(tǒng)（Exploit Prediction Scoring System，EPSS）， 對公開披露的漏洞進行近實時的評估，預測軟件漏洞的利用，幫助網絡防御者更好地確定漏洞修復工作的優(yōu)先級。

　　第三，發(fā)布了“多方漏洞協(xié)調和披露指南和實踐”。該文件是美國國家電信和信息管理局（NTIA）與 FIRST 共同的研究成果，旨在幫助改善不同利益相關者之間的多方漏洞協(xié)調。

　　第四，成立了漏洞報告和數(shù)據交換特別小組，研究和推薦在不同的漏洞數(shù)據庫之間識別和交換漏洞信息的方法。在第一階段（2013 年至 2015 年），F(xiàn)IRST 開發(fā)漏洞數(shù)據庫目錄。在第二階段（從 2015 年開始），F(xiàn)IRST 將開發(fā)漏洞 ID 交叉引用系統(tǒng)和漏洞披露策略目錄，制定并發(fā)布漏洞披露以及處理策略的目錄。

　?。?漏洞管理國際合作的重點

　　眾所周知，從國家安全的角度，國家軍事部門和情報部門對漏洞非常重視，是漏洞利用的需求方、開發(fā)方和使用方。從這一點講，漏洞管理的國際合作非常敏感，也是漏洞管理國際合作需要平衡和兼顧之處。為了讓合作具有可操作性和可持續(xù)性，漏洞管理國際合作需要尊重各方國家安全上的關切和顧慮，在各方已經公開的漏洞資源基礎上，以公開、透明的方式加強漏洞資源的共享和協(xié)調。

　　3.1　聚焦公開漏洞的信息分享

　　目前，世界上有大量的國家級漏洞平臺。包括中國國家信息安全漏洞庫（CNNVD）、中國國家信息安全漏洞共享平臺（CNVD）、美國國家漏洞數(shù)據庫（NVD）、日本漏洞庫（JVN）、歐盟的“安全漏洞庫服務”（Security Vulnerability Repository Service，SVRS） 等。漏洞管理的國際合作可在各國已經公開披露的漏洞信息的基礎上加強漏洞信息分享和交流。

　　3.2　聚焦軟件供應鏈安全

　　相對硬件供應鏈，軟件供應鏈的漏洞發(fā)現(xiàn)和修復相對比較容易。近期“太陽風”供應鏈攻擊事件表明，軟件漏洞利用具有涉及維度廣、攻擊成本低、回報高、檢測困難等特性。加之開源代碼的使用，軟件漏洞的防控處理越發(fā)具有挑戰(zhàn)。同時，隨著物聯(lián)網的迅速發(fā)展，在物聯(lián)網相關的場景下，智慧城市、智慧家庭、智慧醫(yī)療、智慧交通和智慧工業(yè)等新應用的安全問題將逐漸暴露出來。因此，物聯(lián)網軟件漏洞的管理將是有更多國際合作需求的領域。

　　3.3　聚焦漏洞修復

　　在實踐中，漏洞修復的問題比漏洞本身還大。一個漏洞可能涉及多個行業(yè)，也就意味著漏洞的修復涉及多家企業(yè)、多個廠商、多個用戶。但是，供應商發(fā)布了補丁未必意味著脆弱設備就已被修復。很多情況下，有時候是因為物理上無法修復這些設備；有時候是因供應商不具備漏洞修復能力，或者漏洞修復后系統(tǒng)不穩(wěn)定等原因使得有一部分漏洞難以修復。

　　理論上，產品之間有交叉處的企業(yè)或廠商， 在漏洞修復上自然會有技術上合作的需求。但是，讓跨國企業(yè)一起去修復漏洞并不太容易， 這就需要國家力量的協(xié)調，找出企業(yè)的困難點在哪里，短板在哪里，去平衡企業(yè)的動力不足。因此，漏洞修復可以是政府間合作最能發(fā)揮作用的地方。

　?。?漏洞管理國際合作的路徑

　　網絡安全是一個系統(tǒng)性問題，任何一個環(huán)節(jié)出現(xiàn)錯誤都會導致整個系統(tǒng)出現(xiàn)問題，因而漏洞管理要從系統(tǒng)整個生命周期的多個階段去考慮。本著避免重復建設，充分利用現(xiàn)有資源的原則，針對已經公開披露的漏洞，漏洞管理的國際合作可以圍繞漏洞的報告、優(yōu)先化、響應的三大環(huán)節(jié)建立漏洞信息交流、評估、修復的國際合作運行機制。

　　4.1　漏洞信息交流機制

　　漏洞披露是修復漏洞的基礎環(huán)節(jié)，也是展開漏洞管理國際合作的重要前提。在很多國家內部，漏洞披露已經形成一條較為完整的產業(yè)鏈，按漏洞的生命周期可分為：發(fā)現(xiàn)漏洞、安全信息提供、漏洞信息資源提供。從各國的實踐看，漏洞披露政策有相似之處，都涉及漏洞信息通過什么方式提交，漏洞信息在專業(yè)機構、研究人員和廠商間如何共享，何時或者通過什么方式向公眾披露。而且，考慮到既要符合漏洞管理和利用的要求，也要符合社會公共安全利益，各國的漏洞披露策略都非常謹慎。在各方漏洞披露的基礎上加強漏洞信息交流共享， 及時更新漏洞警報和補丁信息，既有必要也非常有用。

　　目前，由非盈利組織 MITRE 管理的通用漏洞 披 露（Common Vulnerabilities & Exposures， CVE）平臺已成為國際公認的公開漏洞分享平臺。CVE 是一個漏洞索引數(shù)據庫，主要功能是對漏洞標識信息提供一個跨平臺標準。但是，CVE 有兩個局限。一是 CVE 沒有一個已存在的所有漏洞的完整列表。二是 CVE 的更新不及時，一些漏洞幾年的時間仍保持著“候選”狀態(tài)。因此， 國際合作可以通用漏洞披露平臺為基礎，聯(lián)合各方的國家級漏洞庫，在國家已公開披露的漏洞基礎上，建立漏洞更新的通報機制，具體內容可以包括：

　　第一，豐富 CVE 的漏洞列表，加快 CVE 的漏洞審查速度。

　　第二，以自愿共享為原則，各方將其收集并已發(fā)布的漏洞信息上傳至國際漏洞信息共享平臺。

　　第三，檢測新漏洞動向，披露關于新漏洞的警告。利用廣泛的在線資源，主動收集漏洞信息，及時披露新發(fā)現(xiàn)漏洞，搶在黑客知悉漏洞細節(jié)并加以利用之前，向各方的 IT 部門、政府機構和用戶發(fā)出警告。

　　4.2　漏洞評估機制

　　漏洞評估是目前漏洞管理的痛點所在。漏洞所造成的實際危害千差萬別，如果針對漏洞對應的資產、環(huán)境等因素進行危害評估的體系缺位，將直接導致漏洞處置工作缺乏抓手。目前， 網絡安全漏洞危害評級主要采用定性定量評估方式，全球主要參考指南為美國國家基礎設施顧問委員會（NIAC）開發(fā)的《通用漏洞評分系統(tǒng)指南》（CVSS）。建議在 CVSS 的基礎上完善漏洞評估機制，進一步完善漏洞評估內容。

　　其一，設置統(tǒng)一的“漏洞評估分類標準”， 對已上傳至漏洞信息共享平臺的漏洞進行二次評級?？芍攸c參照事件響應和安全小組論壇

　?。‵IRST）的指標集和國際標準組織 ISO 的漏洞披露標準文件，探索將漏洞危害與應用環(huán)境相結合的評估方法。

　　其二，對ICT 產品的漏洞修復能力進行評估。包括督促性分析，如未修復漏洞的超時時間和排名；最近一個月新增漏洞的修復排名，高危漏洞平均修復時間排名等，目的是以一種公開、透明的方式督促 ICT 供應商加強漏洞修復。

　　4.3　漏洞處置協(xié)調機制

　　加強漏洞修復和后續(xù)防控，可以減少可能引發(fā)的網絡安全損害。有些漏洞在特定的環(huán)境中無法完全消除，強行消除漏洞可能引入更大的安全風險，導致系統(tǒng)停擺、數(shù)據泄露等更嚴重的事故。而終端用戶往往缺乏有效的判斷依據，往往不懂漏洞處置，不敢處置。

　　目前，事件響應和安全小組論壇（FIRST） 已經建立了重大網絡安全事件響應的國際機制。但是由于FIRST 實行會員制，且入會門檻比較高， 準入機制復雜，審核時間較長，通常采取論壇、會議、培訓的方式開展國際學術活動，其在漏洞應急修復方面的全球協(xié)調能力有明顯不足。建議在 FIRST 的基礎上，完善漏洞處置協(xié)調機制，主要內容可以包括：

　　其一，建立漏洞補丁庫。使 CVE 的漏洞索引編號與漏洞補丁庫的索引編號相聯(lián)系，通過統(tǒng)一標識，加強漏洞識別和相對應的補救措施之間的協(xié)調。

　　其二，設立全球網絡漏洞管理的國際專家?guī)?。由全球網絡信息漏洞專家對披露的高危漏洞信息進行評估，制定漏洞修復策略。針對暗網和社交媒體等非官方渠道的漏洞披露信息， 依托技術實力較強的企業(yè)和技術社群，進行漏洞危險性評估和預警。

　　5 結　語

　　2020 年9 月，中國提出《全球數(shù)據安全倡議》。2021 年 3 月，中國外交部同阿拉伯國家共同發(fā)表《中阿數(shù)據安全合作倡議》，體現(xiàn)了發(fā)展中國家在數(shù)字治理領域的高度共識。網絡安全漏洞管理的合作可以作為一個構成網絡空間信任的基點，通過網絡空間基底層的具體合作行動去凝聚國際共識，尋求符合各國利益的網絡空間治理的最大公約數(shù)。對于網絡安全漏洞管理，我國積累了豐富的經驗和實踐，有能力以漏洞管理國際合作為突破口，在控制我國網絡空間風險的同時，推動網絡安全漏洞管理的最佳實踐，讓具備專業(yè)能力的政府機構作為牽頭單位， 以技術社群作支撐，逐步推進漏洞管理的國際合作。