2017年11月，白宮發(fā)布了《漏洞平衡策略》，規(guī)范了美國(guó)政府的零日漏洞發(fā)布流程。2018年5月，美眾議院外交事務(wù)委員會(huì)提出“Hack Your State Department”法案，建議國(guó)務(wù)院建立漏洞賞金計(jì)劃，引導(dǎo)聯(lián)邦機(jī)構(gòu)接受已在私營(yíng)部門(mén)普遍實(shí)行的漏洞賞金活動(dòng)。美國(guó)政府的漏洞挖掘、披露等行為日益規(guī)范化、常態(tài)化。與之相對(duì)，我國(guó)網(wǎng)絡(luò)安全漏洞管控機(jī)制尚不健全，戰(zhàn)略性零日漏洞外流現(xiàn)象較為嚴(yán)重。應(yīng)借鑒美國(guó)經(jīng)驗(yàn)，研究建立符合我國(guó)實(shí)際的網(wǎng)絡(luò)安全漏洞管控機(jī)制。

加強(qiáng)漏洞挖掘領(lǐng)域的法律規(guī)范建設(shè)

完善相關(guān)法規(guī)制度，為“白帽子”的漏洞挖掘行為設(shè)置相應(yīng)的免責(zé)條款，保護(hù)經(jīng)當(dāng)事人授權(quán)或在國(guó)家機(jī)關(guān)指導(dǎo)下的漏洞挖掘行為。推動(dòng)建立“白帽子”主體身份備案制度，加強(qiáng)對(duì)“白帽子”身份的匿名化保護(hù)和行為的安全監(jiān)管。盡快研究制定網(wǎng)絡(luò)安全漏洞挖掘規(guī)范等國(guó)家標(biāo)準(zhǔn)，指導(dǎo)規(guī)范“ 白帽子” 黑客的漏洞挖掘行為。

打造漏洞挖掘的創(chuàng)新平臺(tái)

一方面，推動(dòng)政府機(jī)構(gòu)采用眾測(cè)眾包方式發(fā)現(xiàn)和收集漏洞。加強(qiáng)政府與網(wǎng)絡(luò)安全企業(yè)合作，充分利用網(wǎng)絡(luò)安全企業(yè)的漏洞挖掘能力和情報(bào)優(yōu)勢(shì)，幫助政府及早發(fā)現(xiàn)和修復(fù)漏洞。在安全可控前提下，制定實(shí)施漏洞賞金計(jì)劃，充分發(fā)動(dòng)社會(huì)各界的網(wǎng)絡(luò)安全力量發(fā)現(xiàn)和收集漏洞，提高網(wǎng)絡(luò)安全整體防護(hù)能力。另一方面，重點(diǎn)打造“強(qiáng)網(wǎng)杯”全國(guó)網(wǎng)絡(luò)安全挑戰(zhàn)賽、WCTF世界黑客大師賽等網(wǎng)絡(luò)安全競(jìng)賽，積極舉辦GeekPwn等大型國(guó)際黑客競(jìng)賽，加大競(jìng)賽的資金獎(jiǎng)勵(lì)和宣傳報(bào)道，吸引國(guó)內(nèi)外頂級(jí)黑客協(xié)助發(fā)現(xiàn)我信息技術(shù)產(chǎn)品的安全漏洞。

建立網(wǎng)絡(luò)空間漏洞披露審查機(jī)制

出臺(tái)漏洞管理的專門(mén)政策文件，對(duì)漏洞披露范圍、流程等進(jìn)行規(guī)范。建立零日漏洞安全評(píng)估和披露審批機(jī)制，充分考慮網(wǎng)絡(luò)安全漏洞的特殊性，以零日漏洞影響產(chǎn)品的波及面、導(dǎo)致的破壞程度、漏洞利用難度、漏洞修復(fù)難度等為評(píng)估重點(diǎn)，對(duì)漏洞進(jìn)行評(píng)級(jí)。視漏洞級(jí)別，決定是否披露漏洞、如何披露漏洞。嚴(yán)禁IT企業(yè)未經(jīng)授權(quán)和安全評(píng)估，以競(jìng)賽、通報(bào)等形式私自披露漏洞。