信息來源：安全內參

自誕生以來，漏洞就是黑客攻擊的主要武器來源、網(wǎng)絡安全的防護焦點、攻守對抗的核心所在。漏洞對于網(wǎng)絡空間的安全舉足輕重。對漏洞的管理，我國一直堅持“統(tǒng)籌發(fā)展與安全”的理念。2021 年印發(fā)的《網(wǎng)絡產品安全漏洞管理規(guī)定》，不僅規(guī)范了漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為，同時也鼓勵各類主體發(fā)揮各自技術和機制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關工作，以達到維護國家網(wǎng)絡安全的最終目的。

漏洞作為網(wǎng)絡空間安全的重要資源，涉及到全球信息技術產業(yè)，建立一個互利的漏洞管理國際合作機制，對漏洞資源進行共享和管控是國際通行慣例。但也有國家以本國安全優(yōu)先為由，對此層層設限。5 月 26 日，美國商務部產業(yè)和安全局（BIS）發(fā)布了針對網(wǎng)絡安全領域新的出口管制規(guī)定《信息安全控制：網(wǎng)絡安全物項》。該規(guī)定以所謂國家安全和反恐為由，要求美國實體（如互聯(lián)網(wǎng)企業(yè)）與中國政府等相關的組織和個人就網(wǎng)絡安全漏洞合作時，要事先通過美國商務部審核；并新增了漏洞檢測分析等技術產品針對我國的出口限制。此種限制實質上是美國科技方面的技術封鎖在信息安全領域的延伸，這不僅破壞了國際網(wǎng)絡安全領域長久以來的漏洞分享機制，而且加劇了網(wǎng)絡空間安全形勢的惡化，更是對別國安全利益的嚴重威脅和對現(xiàn)行國際規(guī)則的肆意踐踏。

我國對漏洞管理一直秉持開放合作態(tài)度，2020年 9 月，我國提出《全球數(shù)據(jù)安全倡議》，呼吁全球各國秉持共商共建共享理念，齊心協(xié)力促進數(shù)據(jù)安全。在當前復雜的國際形勢下，我們應在總體國家安全觀的指引下，加快建設完善國家漏洞庫等管理平臺，加強網(wǎng)絡安全漏洞治理體系建設，防范和消控網(wǎng)絡安全重大風險，保障國家網(wǎng)絡安全，同時推進漏洞管理的國際合作，推動全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進。

一、國內外國家漏洞治理現(xiàn)狀分析

防范漏洞風險威脅網(wǎng)絡及國家安全，強化管理和法律手段是有效治理漏洞的關鍵，世界主要國家紛紛運營漏洞庫，建立協(xié)同披露機制，加大漏洞出口限制力度，目的都是盡量讓漏洞資源掌握在自己的手中。

（一）漏洞庫成為主要國家漏洞資源管控模式，社區(qū)隨意散播漏洞敏感信息現(xiàn)象突出。

一是西方國家率先開展漏洞庫建設，開創(chuàng)漏洞資源管控模式。美國國家漏洞庫（NVD）是最早由政府投入建設和政策扶持的漏洞庫，利用其本國信息技術優(yōu)勢和平臺影響力，建立漏洞報送合作機制，制定漏洞技術標準和規(guī)范，從早期本土主流廠商、安全公司及研究機構，逐步推廣到各國重要合作廠商和機構、研究團隊及個人向其報送漏洞，現(xiàn)已擁有全球范圍的重要漏洞數(shù)據(jù)。NVD 表面上看是實行漏洞信息的公開披露，但存在一些選擇性披露和滯后等問題。歐俄日澳等地區(qū)和國家積極效仿，基于網(wǎng)絡安全應急響應體制機制，搭建漏洞庫并建立漏洞收集渠道。

二是我國國家級漏洞庫發(fā)展迅速，資源匯聚管理見成效。國家領導高度重視網(wǎng)絡安全漏洞風險防范工作。2009 年，中國信息安全測評中心建設運營國家信息安全漏洞庫（CNNVD），廣泛收集漏洞數(shù)據(jù)，合理運用社會技術力量支撐機制，分析研判漏洞危害，披露漏洞信息，化解漏洞風險，切實履行漏洞資源匯聚和消除重大隱患的職責。隨著技術應用的發(fā)展和安全需求的擴大，工控、移動產品等專業(yè)漏洞庫相繼建設運營，定向通報漏洞信息，督促漏洞修復和處置，發(fā)揮著行業(yè)漏洞管理的積極作用。

三是社區(qū)或組織踴躍推出漏洞交流平臺，個性收集發(fā)布呈亂象。境外某些擁有資助背景的開源社區(qū)、安全組織極力宣傳漏洞獎勵機制，制定漏洞報送及披露策略，收集指定漏洞，隨意披露漏洞細節(jié)和利用代碼等敏感信息，甚至指名道姓地發(fā)布漏洞定位，此類不負責任的披露已經(jīng)給漏洞影響的系統(tǒng)和用戶帶來重大網(wǎng)絡安全風險隱患，但仍處于法律灰色地帶并未加以管控。

（二）各國相繼推出漏洞披露制度，漏洞生命周期閉環(huán)管控機制有待完善。

一是美出臺多項漏洞披露相關法案，旨在維護國家安全并降低政府業(yè)務系統(tǒng)漏洞風險。美國較早以法案和行政令等法律形式頒布漏洞披露策略，包括以情報機關主導的《漏洞裁決政策和程序》《補丁法案》，以及網(wǎng)絡安全部門發(fā)布的《網(wǎng)絡安全信息共享法》與有關漏洞協(xié)同披露行政令等，核心要義是為國家安全目的收集儲備可武器化漏洞提供機制保障，同時也是為權衡相關利益方及應對大眾對公開透明的要求提供政策支撐。歐盟今年推出的《協(xié)同漏洞披露策略》報告分析了美中及歐盟成員國漏洞披露政策，傾向借鑒美的做法，為漏洞發(fā)現(xiàn)者創(chuàng)造“安全港”，提出了在歐洲范圍內跨境協(xié)同披露漏洞的體制機制及法律方面的建設意見。

二是我國積極建立健全漏洞管理政策法規(guī)，側重確立漏洞利益相關主體的法律責任。我國《網(wǎng)絡安全法》首先提出漏洞管理要求，明確漏洞發(fā)現(xiàn)、發(fā)布及處置的責任范圍，最新執(zhí)行的《網(wǎng)絡產品漏洞管理規(guī)定》對《網(wǎng)絡安全法》的要求做了進一步明確，從行業(yè)主管層面規(guī)范網(wǎng)絡安全產品漏洞發(fā)現(xiàn)、修復、發(fā)布等行為和活動的責任義務，加強了漏洞報送和流通渠道管控，為全面開展漏洞治理制度體系建設打下堅實基礎。

三是漏洞披露是漏洞生命周期中心環(huán)節(jié)，管控手段僅發(fā)力于此遠不足以管制漏洞被攻擊利用。從產生、發(fā)現(xiàn)、發(fā)布直到徹底消除，不同漏洞的生命周期長度和各環(huán)節(jié)的發(fā)展千差萬別。事實證明，有的早期開發(fā)的 Linux 系統(tǒng)漏洞長存于代碼中十幾年未被發(fā)現(xiàn)，還有相當一部分零日漏洞被隱秘發(fā)現(xiàn)導致長期黑產利用或武器化。任何主體都有發(fā)現(xiàn)和利用漏洞的可能，覆蓋漏洞全生命周期的管控才是漏洞治理一以貫之的正確方向。

（三）漏洞作為國家戰(zhàn)略資源被各國限制出境，外流管控乏力導致漏洞風險居高不下。

一是美國首先制定漏洞出口限制法律條文，認定漏洞為國家戰(zhàn)略資源。漏洞影響的安全范圍涉及漏洞宿主的所有使用者，受影響者應享有同等防范或降低漏洞風險的安全權益。由美國主導的《瓦森納協(xié)定》在 2013 年更新中明確限制“入侵軟件”出口，所謂“入侵軟件”實質上就是以漏洞為內核的數(shù)字武器，而我國正是該協(xié)議排除在成員國之外的禁運國。這項規(guī)定標志著以美為首的西方國家將漏洞正式界定到網(wǎng)絡空間武器管控范疇，同時也使漏洞武器化在一定范圍內合法化。2022 年 5 月 26日，美國再次以國家安全視角，對《出口管理條例》網(wǎng)絡安全條款進行了修訂，新增了漏洞檢測分析等技術產品針對我國的出口限制。此種限制看似是對本國安全利益的維護，而其實質加劇網(wǎng)絡空間安全形勢惡化，更是對別國安全利益的嚴重威脅和安全權力的肆意踐踏。

二是我國加大數(shù)據(jù)出境安全要求力度，嚴禁向境外提供危及國家安全的漏洞。某些境外組織機構利用打比賽贏獎金的模式吸引漏洞發(fā)現(xiàn)者提交高風險漏洞，導致漏洞嚴重外流、安全風險加劇，為此網(wǎng)信部門及時有效應對，發(fā)布《關于規(guī)范促進網(wǎng)絡安全競賽活動的通知》，嚴格禁止以損害國家安全為代價向境外賽事提供漏洞等敏感信息，鼓勵漏洞人才發(fā)揮技術特長積極保障國家網(wǎng)絡安全。占領網(wǎng)絡空間人才高地、引導漏洞研究力量朝著以維護國家安全為宗旨的方向發(fā)揮能力作用，是夯實網(wǎng)絡安全基礎的重中之重。

三是美數(shù)字大廠運用漏洞賞金榮譽張榜及技術合作等做法，刺激高級漏洞研究者持續(xù)為其貢獻高風險漏洞。操作系統(tǒng)、云服務平臺及芯片等核心基礎軟硬件大廠積極回購產品漏洞，通過品牌效應、推高漏洞價格爭奪漏洞人才和市場，抓住安全提供者力求搶占漏洞應用市場先機的心理，利用共享漏洞成果等合作機制，積極獲取高質量漏洞。這種漏洞回流的運作模式的確有助于改善產品安全性能，但此種現(xiàn)象也暴露出我國漏洞研究力量正處于失控狀態(tài)。

二、漏洞治理面臨數(shù)字化發(fā)展與產業(yè)鏈不完整多重挑戰(zhàn)

一是我國數(shù)字革命加速演進與數(shù)字產業(yè)鏈不充分發(fā)展的矛盾，帶來漏洞風險治理難度增加。我國正在加快數(shù)字化發(fā)展和數(shù)字中國建設，推進數(shù)字經(jīng)濟與實體經(jīng)濟深度融合。但實現(xiàn)數(shù)字產業(yè)鏈自主可控目標還將經(jīng)過一個長期努力的過程，當前數(shù)字產業(yè)基礎能力薄弱導致產業(yè)鏈不完整，加之國際局勢動蕩帶來供應鏈不穩(wěn)定因素，數(shù)字安全保障痛點隨之加劇，漏洞風險治理難點問題更加突出。

二是網(wǎng)絡資產數(shù)量巨大增量加速及資產底數(shù)不清問題依舊存在，帶來漏洞風險辨識難以落位。網(wǎng)絡技術的變革推動萬物互聯(lián)向著萬物智聯(lián)邁進，網(wǎng)絡空間資產成指數(shù)級增長態(tài)勢，特別是云上云下資產復雜交織、類型眾多，工業(yè)互聯(lián)網(wǎng)等關鍵信息基礎設施網(wǎng)絡可見，物理點位和網(wǎng)絡地址對應關聯(lián)使得數(shù)字資產被實名化，而與此同時，很多企業(yè)機構自身家底有待梳理摸清，防護強度和范圍存在很大疏漏，漏洞風險排查能力和手段有待完善提升。

三是數(shù)字產品漏洞評價指標及評估機制尚不完善，缺乏漏洞風險管控責任監(jiān)督機制。數(shù)字產品生產進入組件化組裝開發(fā)模式，大量開源通用組件功能完備，自主代碼比例越來越低。隨著智能化的進程，數(shù)字產品生產效率越來越高，產品研發(fā)正在朝著自動化配置化趨近，定制化代碼比例日趨降低。開源通用組件如出現(xiàn)漏洞，導致鏈式影響，范圍極其廣泛。漏洞風險等級應成為開源組件首要質量評價指標，漏洞風險評估是監(jiān)督數(shù)字產品安全性能提升的基礎工作。

四是漏洞產業(yè)化發(fā)展不平衡，中上游出現(xiàn)的亂象是治理重點。不可避免的現(xiàn)實問題是漏洞的產業(yè)化。當前漏洞產業(yè)鏈可分為以漏洞發(fā)現(xiàn)為上游，漏洞交易和披露為中游，漏洞應用和利用為下游。漏洞市場受到黑產利益和政府支持的刺激，呈現(xiàn)出漏洞價格主導上游產出，加之漏洞生產工具購買和使用不受限，導致上游參與主體成分復雜不可控等問題。下游多以防護產品為主要產出，漏洞風險感知能力仍是短板，已知漏洞利用檢測技術仍待攻關。如何讓漏洞產業(yè)服務于國家安全，還需要加強治理和合理引導。

五是漏洞人才缺口較大，培養(yǎng)引導和激勵全方位機制有待完善。我國擁有世界頂級漏洞發(fā)現(xiàn)人才，研究力量主要分散在資金雄厚的互聯(lián)網(wǎng)企業(yè)，安全保障能力一流，但數(shù)量嚴重不足，院校培養(yǎng)和職業(yè)培訓遠遠不能滿足當前人才缺口。崗位設定和價值取向是漏洞研究最關心的問題，鼓勵引導青年優(yōu)秀漏洞人才服務國家安全是值得思考的重要議題。

三、落實國家安全要求，推動漏洞治理體系化能力建設

漏洞風險關乎國家安全，治理漏洞風險是維護國家安全和保障網(wǎng)絡安全的必然要求，實現(xiàn)高水平漏洞風險治理自立自強，要重點著力在提高漏洞風險治理的整體層面、貫徹漏洞全生命周期管控治理理念、拓展國際合作、推動漏洞產業(yè)的創(chuàng)新發(fā)展、激發(fā)漏洞研究人才的綜合價值。

一是把漏洞治理提升到國家安全層面，統(tǒng)籌漏洞治理體制機制建立健全。漏洞治理是解決非傳統(tǒng)安全風險向傳統(tǒng)安全風險傳導問題的關鍵環(huán)節(jié)，是提升國家安全治理能力的基礎，更是維護國家安全的重要戰(zhàn)略任務，狠抓漏洞治理就是筑牢網(wǎng)絡安全根基。網(wǎng)絡互聯(lián)互通，數(shù)據(jù)無處不在，看似不起眼的漏洞可以毀掉宏大的數(shù)字工程。漏洞治理的關鍵和根本，是要依賴國家安全層面統(tǒng)一部署的工作機制，明確漏洞治理職能，構建基礎研究、發(fā)現(xiàn)檢測、風險評估及人才管理等治理能力，統(tǒng)籌推進漏洞風險治理體系建設，實現(xiàn)漏洞風險有效管控。

二是貫穿漏洞全生命周期各環(huán)節(jié)細化管控制度，強化落實相關方責任。漏洞雖不可避免，但采取有效的管理和技術手段可以減少漏洞產生的數(shù)量、降低漏洞風險的等級，改善數(shù)字產品安全性能。建立數(shù)字產品漏洞風險評估機制，規(guī)范漏洞風險等級標準，組織可靠力量分級分批深挖細排。建議在已有安全審查機制基礎上，增強漏洞風險動態(tài)評估機制。明確數(shù)字產品提供者使用者等相關方漏洞排查和修復的責任和要求，專業(yè)機構協(xié)同檢測評估處置，實現(xiàn)漏洞全生命周期覆蓋管控。

三是倡導全球數(shù)字產業(yè)高質量發(fā)展，促進國際合作共同構建漏洞治理體系。數(shù)字化轉型是全球經(jīng)濟發(fā)展趨勢，全球數(shù)字供應鏈相互交織，單方面斷供禁售不符合協(xié)作共贏的發(fā)展理念，提供高質量數(shù)字技術、以負責任的態(tài)度持續(xù)保障產品安全性能才是拓展國際市場的長遠之計。特別要與核心基礎數(shù)字產品供應方建立漏洞信息及時共享的保障機制，共同創(chuàng)建國際通用的漏洞規(guī)范標準，引領國際漏洞治理體系新規(guī)則，實現(xiàn)安全權益最大化。

四是營造良好的漏洞產業(yè)發(fā)展環(huán)境，推動漏洞技術攻關和應用創(chuàng)新。漏洞產業(yè)是漏洞風險治理的重要支柱力量，在嚴厲打擊黑產鏈條基礎上，合理引導上游產出，加大中游參與主體準入和監(jiān)督力度，運用政策支持鼓勵下游企業(yè)積極應用創(chuàng)新，規(guī)劃布局產業(yè)整體發(fā)展方向，有力提升產業(yè)效能，充分發(fā)揮產業(yè)漏洞治理的重要作用。

五是加快建設漏洞人才戰(zhàn)略力量，突出人才價值體現(xiàn)，發(fā)揮人才隊伍主觀能動性。網(wǎng)絡空間安全博弈既是攻防較量，更是人與人的對抗，漏洞人才是維護國家安全和提升技術優(yōu)勢地位的戰(zhàn)略資產。我國漏洞人才面臨嚴重不足和合理利用雙重挑戰(zhàn)，既要從娃娃抓起，建設漏洞學科體系，培養(yǎng)致力于投身國家安全的高素質人才，又要正向引導社會人才隊伍積極技術攻關，同時統(tǒng)籌漏洞人才職業(yè)教育，激勵人才學以致用，吸引更多有識之士投入到漏洞治理行動中來。

漏洞治理為國家安全賦能，是保障數(shù)字經(jīng)濟國家戰(zhàn)略順利推進的一把利劍，是網(wǎng)絡安全能力提升的關鍵環(huán)節(jié)，大力推動漏洞風險治理體系建設勢在必行。維護國家安全是每個公民應盡的義務，作為安全從業(yè)者，攻克漏洞治理這一最具挑戰(zhàn)的課題，既是責任擔當更是初心使命。

（本文刊登于《中國信息安全》雜志2022年第6期）