蘆 健

（杭州安恒信息技術(shù)股份有限公司，浙江 杭州 310000）

1 披露網(wǎng)絡(luò)安全漏洞的必要性

近年來，網(wǎng)絡(luò)安全漏洞呈逐年上漲之勢（見圖1），從技術(shù)層面來看，盲目追求網(wǎng)絡(luò)絕對安全是不現(xiàn)實的，網(wǎng)絡(luò)安全問題的形成是一個漫長且復(fù)雜的過程。無論相關(guān)工作人員如何努力，網(wǎng)絡(luò)安全漏洞都可能會出現(xiàn)[1]。為應(yīng)對網(wǎng)絡(luò)安全威脅，可通過公開披露漏洞來幫助用戶更好地了解風(fēng)險，并在某種程度上減少或阻止威脅的擴大化。

圖1 2019—2022年網(wǎng)絡(luò)安全漏洞數(shù)據(jù)統(tǒng)計

1.1 與“風(fēng)險預(yù)防”管理理念相符

大數(shù)據(jù)時代，漏洞引發(fā)的網(wǎng)絡(luò)安全問題對個人、社會造成了深遠(yuǎn)影響。傳統(tǒng)的被動防御體系已無法抵御頻繁的網(wǎng)絡(luò)攻擊。為解決這一問題，相關(guān)工作人員積極嘗試構(gòu)建主動安全防御體系。立法機構(gòu)也意識到預(yù)防控制比懲罰的效果更好，并將風(fēng)險預(yù)防作為關(guān)鍵立場反映在多部法律中。漏洞信息披露是風(fēng)險預(yù)防體系中的關(guān)鍵一環(huán)，在協(xié)調(diào)各方利益和需求以及推動網(wǎng)絡(luò)治理理念轉(zhuǎn)變方面發(fā)揮著重要作用。CNCERT（中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）指出，發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞之后，在其并沒有導(dǎo)致嚴(yán)重后果的時候，應(yīng)及時披露漏洞信息，通過這種方式對用戶發(fā)出預(yù)警，令用戶對于可能遭受的網(wǎng)絡(luò)攻擊提前做好準(zhǔn)備，盡可能避免由于個人信息泄露而造成財產(chǎn)損失[2]。

1.2 與國家提出的信息安全管理要求相符

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊手段也越來越復(fù)雜及多樣化，因此對于保證網(wǎng)絡(luò)安全而言，漏洞信息披露顯得尤為重要。國家也提出了一系列針對網(wǎng)絡(luò)信息安全管理的要求，其中包括：①加大監(jiān)管力度。對此，政府應(yīng)加大對互聯(lián)網(wǎng)行業(yè)及相關(guān)企業(yè)的監(jiān)管力度，并嚴(yán)格執(zhí)行法律法規(guī)以打擊互聯(lián)網(wǎng)環(huán)境中存在的違法違規(guī)行為[3]。②建立健全相應(yīng)的標(biāo)準(zhǔn)體系。建立起完整、可靠、適用于各類企事業(yè)單位的信息化標(biāo)準(zhǔn)體系，以便更好地保障網(wǎng)絡(luò)安全。上述對于網(wǎng)絡(luò)信息安全管理要求都與漏洞信息披露密切相關(guān)。一方面，政府需要建立專門的機構(gòu)負(fù)責(zé)漏洞信息披露工作，并嚴(yán)格執(zhí)行法律法規(guī)以確?；ヂ?lián)網(wǎng)環(huán)境中沒有違法違規(guī)行為。在制定新技術(shù)標(biāo)準(zhǔn)、評估產(chǎn)品合規(guī)性等方面也需要考慮漏洞信息披露的相關(guān)要求。另一方面，漏洞信息披露需要遵循一定的規(guī)范和流程，因此在建立信息化標(biāo)準(zhǔn)體系時，需要考慮相關(guān)要求（如圖2所示）[4]。

2 網(wǎng)絡(luò)安全漏洞信息披露中存在的問題

網(wǎng)絡(luò)安全漏洞信息披露主體是指那些負(fù)責(zé)披露網(wǎng)絡(luò)安全漏洞的相關(guān)機構(gòu)或個人，這些主體不僅可以幫助企業(yè)和組織發(fā)現(xiàn)它們自身存在的漏洞，同時也能夠協(xié)助政府監(jiān)管部門更好地了解網(wǎng)絡(luò)安全風(fēng)險，以便采取相應(yīng)措施[5]。需要注意的是，網(wǎng)絡(luò)安全漏洞信息披露是一個循序漸進(jìn)、逐步完善的過程。在此過程中，如果沒有這些主體及時披露潛在問題，并提供有效建議來修復(fù)漏洞，則可能會導(dǎo)致嚴(yán)重后果。網(wǎng)絡(luò)安全漏洞信息披露中主要存在以下幾方面的問題。

2.1 技術(shù)層面存在缺陷

網(wǎng)絡(luò)安全漏洞信息披露是促進(jìn)網(wǎng)絡(luò)安全的重要環(huán)節(jié)，它可以幫助軟件開發(fā)人員修補安全漏洞，增強系統(tǒng)的安全性。然而，在技術(shù)層面上信息披露中存在一些缺陷。

首先，通常情況下，安全漏洞被修補前是不會對公眾公開的，只有修補后的信息才會被公布。但是黑客和攻擊者往往比開發(fā)人員更快地發(fā)現(xiàn)漏洞，因此安全漏洞可能已經(jīng)被利用了一段時間。如果安全漏洞在修補前被公開，則攻擊者可以利用該漏洞攻擊系統(tǒng)，這使得信息披露缺乏實效性。其次，信息披露的內(nèi)容很難做到完全透明。軟件開發(fā)商有時會刻意隱瞞漏洞信息，以避免自身的品牌聲譽受到影響。各種廠商之間也會存在爭端，不同廠商對漏洞的認(rèn)識和分類標(biāo)準(zhǔn)存在差異，因此信息披露的過程可能會受到廠商之間的相互影響。

最后，當(dāng)漏洞被公開后，攻擊者通常會利用這些信息來進(jìn)行攻擊，而目標(biāo)系統(tǒng)可能還沒有來得及修補漏洞。因此，信息披露本身也可能會成為攻擊的媒介。

當(dāng)前階段各企業(yè)都面臨著網(wǎng)絡(luò)攻擊者對其系統(tǒng)進(jìn)行的攻擊和利用已知或未知的軟件缺陷等多方面威脅（見表1）。

表1 2022年1—6月份新增安全漏洞信息公司排名

因此，投入大量資金和社會資源消除這些漏洞成為保障經(jīng)濟穩(wěn)定發(fā)展所必須做出的犧牲與付出。加強企業(yè)對網(wǎng)絡(luò)安全問題的認(rèn)識、增強技術(shù)力量等，可以幫助各企業(yè)更好地預(yù)防和處理各種漏洞問題[6]。

2.2 行業(yè)規(guī)范不健全

近年來，“互聯(lián)網(wǎng)+”模式在各行各業(yè)中得到了廣泛應(yīng)用，網(wǎng)絡(luò)技術(shù)與社會發(fā)展也在不斷實現(xiàn)深度融合，然而，“互聯(lián)網(wǎng)+”也使得互聯(lián)網(wǎng)的脆弱性、危險性等弊端逐漸顯現(xiàn)。隨著各種新型威脅不斷涌現(xiàn)，企業(yè)在保持創(chuàng)新的同時維護(hù)網(wǎng)絡(luò)安全變得愈加困難。這些威脅包括軟件勒索、惡意軟件攻擊、黑客攻擊、數(shù)據(jù)泄露等，其中最常見的是網(wǎng)絡(luò)攻擊者利用漏洞進(jìn)行攻擊或入侵系統(tǒng)[7]。針對這些問題，互聯(lián)網(wǎng)行業(yè)各大公司牽頭，整合互聯(lián)網(wǎng)產(chǎn)業(yè)各類資源，制定出了一系列針對漏洞信息披露的行業(yè)規(guī)則（見表2）。

表2 網(wǎng)絡(luò)安全漏洞信息披露行業(yè)規(guī)范（節(jié)選）

分析表2可以發(fā)現(xiàn)，在互聯(lián)網(wǎng)企業(yè)制定的行業(yè)公約中，對于互聯(lián)網(wǎng)安全漏洞信息披露相關(guān)問題并沒有給予應(yīng)有的重視，其中，《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露自律公約》僅從宏觀層面對漏洞信息披露問題提出了框架性指導(dǎo)，未進(jìn)行深層次管理。加之互聯(lián)網(wǎng)行業(yè)發(fā)展速度快，新的安全漏洞層出不窮，導(dǎo)致互聯(lián)網(wǎng)行業(yè)規(guī)范在具體執(zhí)行過程中得不到有效的執(zhí)行。

3 加強網(wǎng)絡(luò)安全漏洞信息披露工作的具體措施

3.1 建立健全漏洞信息收集機制

建立健全漏洞信息收集機制是網(wǎng)絡(luò)安全保障的重要環(huán)節(jié)。在具體實踐中，相關(guān)工作人員可以從以下幾個方面入手，對漏洞信息收集制度進(jìn)行完善[8]。①建立專業(yè)的漏洞信息采集工作小組。組建一支由技術(shù)人員、安全工程師和分析師等多個領(lǐng)域?qū)I(yè)人士組成的團隊，負(fù)責(zé)通過定期掃描、監(jiān)測和分析系統(tǒng)日志、數(shù)據(jù)包等方式獲取相關(guān)信息。②選擇合適的漏洞掃描工具。企業(yè)根據(jù)實際情況選用相應(yīng)的漏洞掃描工具，如Nessus、OpenVAS等常見開源軟件或商業(yè)軟件。通過自動化掃描來獲得更加準(zhǔn)確和及時的檢測結(jié)果。③建立統(tǒng)一標(biāo)準(zhǔn)與分類規(guī)范。針對不同類型或級別的漏洞制定詳細(xì)操作手冊和管理流程，并按照危害性質(zhì)劃分優(yōu)先級。同時建立統(tǒng)一標(biāo)準(zhǔn)與分類規(guī)范，以便于后續(xù)處理過程中進(jìn)行快速識別并制定相應(yīng)措施。

3.2 加強技術(shù)支持

提高網(wǎng)絡(luò)安全漏洞披露水平，離不開技術(shù)層面的支持。相關(guān)企業(yè)以及工作人員可從以下幾個方面入手，對現(xiàn)有的網(wǎng)絡(luò)安全漏洞檢測及披露技術(shù)進(jìn)行優(yōu)化。①搭建完善的服務(wù)平臺。為廣大用戶提供必要的技術(shù)支持和指導(dǎo)服務(wù)，并在企業(yè)官網(wǎng)上搭建在線論壇或社區(qū)等交流平臺，增加互動性和透明度。同時制定詳細(xì)操作手冊或FAQ文檔，以便用戶能快速解決相關(guān)問題。②加強培訓(xùn)與教育。對不同類型或級別的漏洞及其修復(fù)方案進(jìn)行分類歸納，并通過內(nèi)部培訓(xùn)、外部研討會等形式將這些知識傳授給相關(guān)人員[9]。此外，在日常工作中也可以結(jié)合實際情況開展模擬演練、攻防對抗等活動來提升整體應(yīng)急響應(yīng)能力。③優(yōu)化客戶體驗。對于每一個用戶提交的漏洞問題，應(yīng)當(dāng)及時回復(fù)并提供相應(yīng)解決方案。同時加強與用戶之間的溝通和反饋機制，收集客戶的意見和建議，并不斷優(yōu)化完善自身工作流程。

3.3 加入第三方評估機構(gòu)

在加強網(wǎng)絡(luò)安全漏洞披露工作中引入第三方評估機構(gòu)，能夠提高整個安全體系的可靠性和透明度。在具體實踐中，相關(guān)工作人員可以從以下四個方面入手，讓第三方評估機構(gòu)能夠真正參與到網(wǎng)絡(luò)安全漏洞披露工作當(dāng)中。①確定合作方式與范圍。在確定合作之前需要明確雙方責(zé)任范圍以及具體工作流程，并簽訂保密協(xié)議以確保信息不被泄露。同時還需對服務(wù)周期、費用結(jié)算等問題進(jìn)行充分溝通和確認(rèn)[10]。②提供必要支持和配合。為第三方評估機構(gòu)提供必要的技術(shù)支持和配合，如開放接口、提供測試環(huán)境等，以便其能夠更好地完成檢測任務(wù)。③定期跟蹤網(wǎng)絡(luò)安全漏洞披露進(jìn)展情況并反饋意見。在檢測過程中需要對結(jié)果進(jìn)行監(jiān)督與管理，并及時向相關(guān)部門匯報發(fā)現(xiàn)的問題及解決進(jìn)展情況。同時也應(yīng)當(dāng)積極參與到漏洞修復(fù)階段中去，并就后續(xù)運營中可能涉及的問題提出自己的意見和建議。④建立長期合作關(guān)系。在與第三方評估機構(gòu)合作過程中，可以建立起長期穩(wěn)定的合作關(guān)系，以便于更好地共同應(yīng)對各類安全挑戰(zhàn)。同時還需加強經(jīng)驗總結(jié)和知識沉淀，為后續(xù)工作提供寶貴參考。

4 結(jié)束語

網(wǎng)絡(luò)安全漏洞信息披露是保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)，其中存在著一些難題，如技術(shù)層面存在缺陷、行業(yè)規(guī)范不健全等。針對這些問題，相關(guān)工作人員可通過建立健全漏洞信息收集機制、加強技術(shù)支持能力、并引入第三方評估機構(gòu)等方式，提高整個安全體系的可靠性和透明度。在此基礎(chǔ)上，不斷創(chuàng)新并優(yōu)化自身工作流程，以更好地應(yīng)對各類網(wǎng)絡(luò)安全威脅?！?/p>