快捷搜索:

威胁就在路上,关于网络空间漏洞国家管理的观

2019-09-18 23:49栏目:战术战略
TAG:

摘 要:网络空间漏洞管理是个国家战略问题。因为网络空间漏洞是保障信息时代社会健康发展的基础,更被一些国家视为国家安全资源,漏洞管理需要公私全面的合作,需要国家倡导并构建一种宽松的战略文化环境。国际社会在该领域已经取得了共识,正在展开全面的战略实践,有很多方面值得我们借鉴。关 键 词:网络空间漏洞网络安全管理作者单位:知远战略与防务研究所国防大学一、网络空间漏洞及其管理的若干基本问题网络空间漏洞管理的社会本质是动态过程,目标是提升网络空间可用性网络空间漏洞是计算机系统的硬件和软件、网络通讯协议、网络系统安全策略方面存在的缺陷,攻击者能够在未得到授权的情况下,利用这些缺陷,访问网络,窃取数据或操控数据,或是瘫痪网络的功能,甚至是对网络系统制造物理性破坏。在商业世界,漏洞主要是因为计算机系统设计和操作中出现的错误所致,这些错误存在于从协议规范到物理硬件等各个信息系统层,能够造成信息的完整性、可获得性和保密性受损。这些错误通常存在于软件中,网络漏洞还可能是恶意用户故意编写和部署的自动恶意代码。美国国防部对“漏洞”的定义是,易受攻击性或利用信息安全系统设计、程序、实施或内部控制中的弱点,不经授权就可获得信息或进入信息系统。这里的关键词是“弱点”,是“系统缺陷或者脆弱性、威胁对系统缺陷的接入能力、攻击者利用系统缺陷的能力”三要素的交集。攻击者常常利用这些弱点来实现自己的目的。漏洞是现实世界向网络空间映射过程中的扭曲化表现,是从“用网”到“被用网”从而产生网络空间安全问题的根本,是影响信息化成果社会应用的主因。漏洞管理伴随着所有网络应用与服务的全过程,直接影响到网络服务的可用性。网络空间是“系统之系统”,网络中的单个漏洞可能会严重破坏一个机构的安全态势,这就是网络安全中的“短板效应”。理论上,任何系统或网络中的弱点都是可防范的。但是,前提是系统或网络中的弱点被发现,并且提出技术上可行的解决方案,并积极实施系统升级,修复漏洞,有时甚至需要放弃原有的系统设计架构,采用新型系统架构,从而提升网络安全。信息资产已经成为公司、公共机构、防务机构的重要资产,为了确保这些重要的信息系统及驻留其上的信息的安全,这些组织和机构就不得不建立健全的网络安全风险评估和管理制度。网络空间漏洞管理就是网络安全风险评估和管理制度的重要内容之一。网络空间漏洞管理是包括挖掘、识别、分类、披露、利用、修复等六大类相关过程的周期性实践过程。这个过程是不断循环往复的、迭代的,是不断积累计算机和网络系统安全技术,发现新的漏洞并进行分类,发布威胁信息,任何对网络系统进行整体升级的过程。在美国,商业部门、公共部门、国防部和各个军种都建立了完善的首席信息官制度,网络空间漏洞管理是首席信息官领导的网络安全体制的重要组成部分。网络空间漏洞管理的首要职能是减少漏洞,压缩已知漏洞的网络存在漏洞覆盖信息系统的三个领域:技术体系、业务架构和管理过程。三大类漏洞又普遍存在于公共因特网、国家关键信息基础设施、国家关键军事信息基础设施的中。因为用户的网络安全意识认识水平不一致,网络安全能力有限,导致这些设施中很多已知漏洞长期客观存在,无法全面及时修复。根据专业统计分析,网络空间威胁的90%来自现有利用网络空间的残留漏洞。所以网络空间漏洞管理的首要职能是加强漏洞披露与修补能力,减少已知漏洞的网络空间存在。网络空间漏洞管理的基本方式是公私合作,全面调动减少漏洞的能动性因为漏洞具有广泛性、隐蔽性、长久性、必然发现性[1],漏洞的管理过程涉及信息产业相关企业、社会用户和国家管理当局等三大类行为体。而各类行为主体内部以及相互之间又是一种利益博弈的关系。网络空间漏洞管理必须抓住这种关系的本质,从利益协调角度,疏导各类行为体在漏洞管理六类职能中的行为,通过法律、政策、制度,甚至是利益驱动,借以公私合作的方式,向网络空间提供高水平的、及时迅捷的漏洞管理能力。网络技术因军事运用而生,但是现在,私营公司成为网络技术发展和应用的主体,私营公司也是网络技术投资的主力,尖端的网络安全技术也掌握在互联网科技公司中。它们开发的产品在各种行业和领域广泛运用,它们也提供产品维护服务,针对自己的信息产品,信息科技公司都会不断发布补丁程序。而普通民众也是网络使用的主体,百姓日常生活中已经不能离开网络运用,那么在使用过程中,养成争取的网络安全使用习惯,正确配置自己的网络系统设置,及时安装补丁程序,更新系统,就能减少网络漏洞的威胁;而国家政府应该运用法律权力和行政监管手段,履行公共职能,标准化国家漏洞管理制度,加强网络安全技术教育,培养网络安全文化。网络空间漏洞管理的重要方向是漏洞利用,为国家安全提供非对称能力网络空间的基本特征就是战略非对称性,这导致网络空间各类行为体之间的敏感性和脆弱性同时并存。网络空间漏洞利用是凭借网络空间的这种战略非对称性,平衡国家在网络空间战略安全的基本方式。网络空间漏洞管理的这种态势是一种客观存在的事实,也是导致网络空间竞争激烈、网络空间军事化的一个基本驱动。但无论是对网络强国还是弱国,漏洞利用都必须“有理、有力、有节”。无原则的、单方面的强调漏洞利用无法获得持久的网络安全。网络空间漏洞利用政策是国家软实力的重要方面。网络空间漏洞管理的核心能力是漏洞挖掘,黑客文化需要正确管理引导网络空间漏洞管理的周期性实践过程,导致网络空间战略态势出现一定的周期性:一段时间将是进攻性网络行为占主导,一段时间则是防御性网络行为占主导,社会对两者的关注点在不断交替。但漏洞又称作攻击接口,是网络空间攻防两股力量交锋之所在。不断挖掘新的漏洞,以此主导网络攻防态势的演化发展趋势,是网络空间漏洞管理的核心能力。但该能力更加强调技术实力,是网络空间技术能力的全面表现。这种更加纯粹的技术问题不是通过简单的加大投资就能解决的,需要一定文化背景的支撑。这需要我们在诸如黑客世界所倡导的精神方面做出正确的选择。二、网络空间漏洞国家管理的基本实践网络空间漏洞战略管理已经成为国家安全领域的重要议题网络空间漏洞管理成为保障国家关键信息基础设施安全的基础。就美国来看,在克林顿时代,2000年《保护美国的网络空间--信息系统保护国家计划》十大项目的第一项就是识别关键资产和相互依赖性、应对漏洞。2000年的《新世纪国家安全战略》中也是突出强调漏洞对国家安全的重要性。小布什政府时期,从国家安全战略、国防战略、国家军事战略到军队的联合作战条令,只要涉及网络空间安全的,第一个强调的问题就是国家的漏洞管理。自2009年以后世界上很多国家开始在战略上制定网络安全国家战略,网络空间漏洞的国家管理都是其首要目标。通过多渠道构建漏洞库,加强漏洞信息的国家共享与披露机制欧美等发达国家对漏洞库的研究较早,并拥有了一批在国际上颇具影响力的漏洞库,如美国国家漏洞库[2]、美国US-cert[3]、澳大利亚的Aus-CERT、丹麦的Secunia、法国的VUPEN。这些漏洞库之间执行共同标准,相互合作,强调提供基于漏洞信息的工具和修复,有效支撑力漏洞信息的国家共享与披露。以美国为例,美国政府部门、安全组织、商业公司即各司其职又深入合作,各机构保持高度的信息共享,各机构的漏洞库互为补充,才组成一个完善的体系。国土安全部的US-cert广泛协同联邦各部门、安全组织和商业公司,发布详尽而权威的漏洞信息和公告。开放安全基金筹建的“开源漏洞库”,是一个独立和开源的漏洞库。赛门铁克公司的“SecurityFocus 漏洞数据库”公布的漏洞包含很多技术细节,广受技术人员和安全爱好者的青睐,该数据库活跃着全球众多安全团队的自身专家,是国际上许多漏洞库的数据来源。VeriSign公司的iDEFENSE 漏洞顾问数据库以期“VCP[4]”能持续高效的发现漏洞,掌握着相当数量的0day漏洞,使其能够提供有关系统隐藏的、先前未知的漏电的即时独特的见解。但是,在美国加强网络安全的实践过程中,事实证明网络安全威胁信息的分析并非易事。私营部门和政府部门都不愿意积极分享威胁信息,比如,一些公司遭受网络攻击以后,害怕信誉和形象受损,往往不愿意透露网络攻击事故,这样的隐而不报,就失去了共享网络漏洞等风险信息的机会;再比如,国家安全局也不愿意分享自己的网络安全威胁信息,因为会泄露自己的资源和方法。根据爱德华·斯诺登透露的信息,美国国家安全局的网络空间刺探活动很多都要依靠这些网络空间漏洞。目前美国政府部门在网络安全方面承担了积极的责任:国土安全部已经开发了入侵探测系统和入侵防御系统保护政府的网络;而军队采取了相似的措施,保护军队网络。但是所做的还不够,私营部门没有部署这些系统,很难及时利用网络漏洞信息,及时升级系统,提高网络安全。那么,如果把这些措施放在民用网络中,就可以提高网络安全,但是这就引发了政府对民用网络的监控问题。目前,美国政府在努力推动网络安全立法方面,把保护关键基础设施以及促进政府与产业界之间的信息交换作为重点。比如,在促进政府与产业界之间的信息交换这个问题上,众议院在2012年通过了《网络情报共享和保护法案》,但是法案受到了工业界、隐私保护团体的阻碍,众议院不得不加以修订,在2013年通过了新的《网络情报共享和保护法案》。即便经过修订,白宫仍然认为不够,如果这个版本提交总统签字的话,奥巴马总统会否决这个法案。这个曲折的过程也反映出了各方利益诉求的不同和冲突,建立有效的网络风险信息共享机制并非易事。主动颁布漏洞利用的政策法律,通过约束漏洞利用行为提升国家软实力就2009~2012年的震网、DUQU和火焰三次攻击性网络作战行动来说,将漏洞利用提升到国家安全重要工具已经成为一种趋势。这三次行动通过对几些重要漏洞巧妙利用,形成了从“网络渗透、网络传播、网络侦察、网络指挥控制到网络攻击”这一整套的网络攻击作战。因为漏洞利用得好,这几个案例成为定向网络攻击的典型,彻底的改变了人们对网络武器攻击行为不可控的认知。但2010年的震网极大的打击了人们对德国西门子公司产品的信心,直接加快德国、法国等国家对网络安全力量建设的步伐。英国、澳大利亚、日本、韩国、印度与美国在网络安全领域合作的过程中更多的表现出的是一种战略姿态,实质性的网络安全合作非常有限。特别是当2012年美国政府通过媒体有关专家等多种渠道隐含的透露了这些攻击行为为其官方所为甚至是奥巴马直接下达的命令之后,沉重的打击了全世界所有国家对美国的信心,严重的损害了美国的国家软实力。网络漏洞利用的真正价值在于它是一种潜在的威慑能力。即使是强大国家也不应该将其轻易付诸行动。增强对漏洞利用的政策与法律透明度、强化监管是对漏洞国家管理的重要内容,对增进对国家网络力量运用的软实力、避免不必要的冲突具有重要意义。技术的规范化管理与新技术应用是网络空间漏洞管理的基础动力漏洞管理是需要紧跟新技术的应用而不断发展的。国家在其中的关键角色应该是制定国家层面安全的战略需求,加强对相关安全项目的投资。云计算、大数据、下一代互联网、移动互联网、物联网和量子通信等技术正在火热发展之中。随之在社会领域的广泛应用,必然直接影响网络空间漏洞国家管理模式。可能的漏洞管理新思路包括:关注新技术的发展趋势,提前明确国家网络层面的安全技术需求,以内置式的信息安全技术标准,指导信息产业对新技术的开发,谋求漏洞管理的相对优势;加大对网络安全的投入,上马大型网络安全态势感知项目,保护国家与军队的关键信息基础设施;按照网络生态的新理念,强化对网络空间行为体行为的管理,统一规范应用软件、安全软件的安装使用,净化网络环境卫生。这些新的思路与方法对于减少漏洞出现、提升漏洞存在层次、强化漏洞修复能力非常有益,是漏洞管理国家的宝贵实践。全方位、多领域、多层主体的合作是网络空间漏洞管理成为必然趋势网络空间漏洞管理的全面合作是网络空间安全管理的必然要求。在经济全球化、社会信息化的大时代,在封闭网络空间独善其身的想法早已过时。就全球整个网络空间来说,共享、交流、互动、合作不仅成为网络空间的核心价值观,也是网络空间的世界观、方法论。全世界的所有国家都已经意识到网络空间漏洞管理合作的重要意义。都在努力创建良好漏洞管理的国际政策与法律环境,积极参与网络空间安全发展筹划。同时,鼓励本国企业、有关政府机构、相关安全专家参与到这一全球性的安全进程之中。三、思考与建议我国在网络空间面临的战略环境有很多特殊性:一是知识产权保护力度跟不上,导致信息产业处于低水平徘徊阶段,漏洞管理实力有限。二是软硬件产业基本处于整个产业链的下游,漏洞管理的主导权不在我方。三是网络空间漏洞发展非常快,漏洞挖掘能力非常有限。这些问题导致我们的漏洞国家管理面临许多特殊的问题。深化网络空间漏洞管理的国家认知、创建网络空间漏洞管理战略文化我们必须深刻的认识到:网络空间漏洞是网络空间漏洞利用成为网络空间网络攻防的焦点、网络空间国家安全的焦点,是网络空间安全的战略资源;加大知识产权保护既是信息产业发展的自身需求,也能够为漏洞管理理顺责权关系;正视网络空间漏洞长远存在的事实,在责权明晰的基础上,区分对待漏洞发现与漏洞利用,修改现行计算机犯罪相关法律,打击网络空间漏洞的黑市交易,同时放宽对“网络扫描等网络行为”的政策限制,尊重黑客文化与黑客精神,构建“鼓励开发漏洞、打击漏洞利用”的文化环境;加大网络空间立法,尽早加入《网络犯罪布达佩斯条约》,并推动该条约的国际化发展,为网络空间漏洞战略管理交流共享营造外部环境。迫切需要形成体系化的、综合全面的网络空间漏洞管理的国家机制进一步完善网络空间漏洞国家管理平台[5]的职能,形成挖掘、识别、分类、披露、利用、修复、减少漏洞的闭环管理业务:特别是漏洞的强制修复职能,保证即时修复已有漏洞,减少网络空间漏洞风险;强化网络空间漏洞管理对国家关键基础设施、公开互联网各类涉及国家安全的信息网络的服务能力;建立网络空间漏洞披露审查、评估机制,保证网络空间漏洞的快速修复;规范特殊漏洞的披露程序,形成国家安全需要的漏洞管理机制。适时出台法律法规,调动公私部门的自身潜力,促使其提升企业高品质信息服务能力,形成良性、健康的公私合作漏洞管理机制。打破企业自身产品中存在的漏洞会影响产品市场的禁忌,让信息产业相关企业充分意识到加强网络空间漏洞管理是提升用户对其产品与服务信心的重要环节,是产品与服务的关键价值所在。核心关键软硬件的自主可控应更加强调可控,更少强调自主“核高基”项目的发展是我国网络安全领域的重大项目工程,但应该调整发展模式,更加强调可控,更少的强调自主。核心软硬件的自主可控必须把握几个关键问题与原则:一是产业牵引的原则,国家必须大力培育基于自主软硬件的网络应用模式,形成新型信息服务产业。在应用过程中减少漏洞、完善自身发展。二是开放的原则,相关软硬件必须能够支撑为全球范围提供服务的原则。必须接受更大范围的用户检验。应用越广泛、自主可控能力的影响力越大。三是创新的原则,软硬件发展当前出现很多方向性的创新领域,我们必须把握信息产业这种客观发展趋势,通过创新来推动自主可控。不能再走过去软件产业的发展思路。以军队为主体整合国家网络空间安全力量,形成战略非对称能力网络空间是与核、航天领域并列的战略空间。网络空间作战已经取代陆战场时代的坦克、海战场的航空母舰、空战场的战斗机,成为贯穿未来战场的主要作战行为。以军队为主体构建国家网络空间安全力量是国际上的通用做法,有助于网络空间态势感知能力、网络空间防御能力、网络空间反应能力、网络空间调查取证能力、网络空间进攻能力在国家范围内的有效集成。对于我军来说,通信、保密、情报[6]、指挥自动化、电子战甚至是航天,都在网络空间具有相当的部队和能力。我军缺少的是一种网络空间的战略布局,这需要我军在消除军兵种利益、制定统一的发展规划、构建统一的组织机制、形成统一的指挥控制上做出重大的战略决策。

内容提要:

威胁就在路上 目标也许正是这块网络空间安全的“必争之地”


网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求,可借鉴域外经验,以协同披露为导向,围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系,为安全漏洞披露行为提供明确指引。

——加强关键信息基础设施安全保护 维护国家网络空间安全利益

[1][1]广泛性是指漏洞在网络空间无处不在;隐蔽性是指漏洞很难被发现;长久性是指即使被发现也有个披露、修复的过程,产生的威胁并不是立刻消失;必然发现性是指客观上发现的漏洞才是漏洞。[2] 由NIST创建。[3] 由卡内基·梅隆大学建立,国防部资助。[4] 市场收购漏洞计划。2009年11月由国家互联网应急中心等单位组织的国家信息安全漏洞共享平台宣告成立,同时,由国家专项资金支持的中国“国家漏洞库”也正式投入运行,国家互联网应急中心负责人表示,国家信息安全漏洞共享平台将建立不同的漏洞信息发布途径,并按照不同用户的安全需求发布不同类型的漏洞信息,从而使得信息系统用户能够第一时间获知其所使用信息系统的安全隐患情况,从而加强对安全威胁的及时防范能力。现在的问题是如何更好的发挥这两个平台的现实能力和作用。[6] 包括情侦和技侦。

The disclosure of cybersecurity vulnerabilities has become the central part of cybersecurity risk control.Non-standard or illegal disclosure endangers the overall security of cyberspace,highlighting the gray area of the law.There are four types of cybersecurity vulnerabilities disclosure in practice,including:non-disclosure,full disclosure,responsible disclosure and coordinated disclosure.America constructs its cybersecurity vulnerabilities rules from legal and policy aspects,and constantly adjusts them with the development of new situations.The design of rules presents a changing trend from responsible disclosure to coordinated disclosure,and the unified rules of coordination and decision-making of cybersecurity vulnerabilities disclosure are further improved on the national level.In China,current legislation puts forward the basic requirements of the legitimate disclosure of cybersecurity vulnerabilities from three aspects:the provider of product and service,the third parties and the government.Referring to the experience of other countries,we can design the system of cybersecurity vulnerabilities disclosure based on coordinated disclosure,focusing on the subjects,objects,measure and liability exemptions of disclosure so that clear guidance for cybersecurity vulnerabilities disclosure can be provided.

作者 中国电子科技网络信息安全有限公司卿昱

[责任编辑:诺方知远]

关 键 词:

随着网络安全和信息技术的快速发展,以及万物互联时代的到来,关系着国家安全、社会稳定和经济发展的关键信息基础设施已经成为网络空间安全的“必争之地”。习近平总书记在“4.19”网络安全和信息化工作座谈会上提出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”能源、通信、交通、金融等关键领域的关键信息基础设施在世界范围内正面临越来越多安全威胁,一个又一个触目惊心的案例告诉我们每位网络空间参与者,关键基础设施的安全一旦遭受攻击,不仅将造成其自身瘫痪,还将扰乱国家秩序,影响国家经济社会发展。

欢迎订阅知远防务快讯 我们在第一时间报导全球最新防务动态,关注世界热点事件,追踪防务发展方向。

网络安全漏洞/披露/类型/规则/协同/cybersecurity vulnerabilities/disclosure/types/rules/coordination

世界并不太平 威胁日益严峻

标题注释:

如果说入侵到我们个人计算机中的病毒是一场普通感冒,那么关键信息基础设施一旦感染那就是一场需要住院的重流感。近年来,针对关键信息基础设施的攻击和破坏活动不断发生。从2015年乌克兰电网瘫痪到2016年全美互联网瘫痪、巴西银行被入侵以及2017年“WannaCry”勒索病毒全球爆发,针对关键信息基础设施的攻击强度和范围不断扩大。黑客组织通过钓鱼攻击、DDoS攻击、利用操作系统漏洞布置攻击程序、安插恶意软件等方式非法控制重要行业信息系统被病毒感染,重要数据遭到泄露和破坏,手段层出不穷,威胁花样百出。如何有效应对日益复杂的网络安全环境,有效保护国家关键信息基础设施安全,已经实实在在地成为包括我国在内的世界各国共同面临的安全课题。

国家社会科学基金重大项目“网络社会治理创新研究”,上海市科技创新行动计划“数据安全评估规范方案”(117DZ1101004),公安理论及软科学研究计划“我国关键信息基础设施保护的法律对策研究”(2016LLYJGASS020),公安部第三研究所所选项目“2017年度网络安全政策法律问题”。

网络空间也是疆域,世界各国纷纷重装上阵。美国、英国、德国、俄罗斯等世界主要大国纷纷将关键信息基础设施保护作为国家网络安全的重要工作,出台政策法规是当今各国主要的做法。其中,美国作为最早开展关键信息基础设施保护的国家,除了发布《提升美国关键基础设施网络安全的框架规范》、《增强联邦政府网络与关键性基础设施网络安全》行政令等系列政策法规外,在20多年的探索中形成了较为完整的管理系统和能力体系。组织机构方面,美国构建起以国土安全部为国家领导机构,相关部门和监管机构在各自职责范围内保护国家关键信息基础设施安全的组织架构。运行机制方面,美国对政府掌握的关键基础设施,通过执行联邦信息安全管理法案、实施爱因斯坦等项目部署入侵检测防御系统等措施应对威胁;对私营企业掌握的超过国家80%的关键基础设施,通过公-私协作机制及各类协调委员会机制,处理政府与私营企业之间以及跨部门、跨地区的协作事项。能力体系构建方面,通过与迈克菲、赛门铁克、IBM等知名公司的项目合作,构建起针对关键信息基础设施中威胁的定位和特征描述技术、基于云的网络分析态势感知技术、自动告警预测网络攻击技术等能力体系。

近年来,利用网络安全漏洞实施攻击的安全事件在全球范围内频发,给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节,对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。①

筑牢保护之盾 护航国家安全

国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。2016年我国某“白帽子”②披露世纪佳缘网站漏洞引发刑事立案,2017年相继发生的WannaCry勒索病毒全球攻击事件引发微软等厂商对美国政府机构未披露漏洞行为的严厉批评③、网易向未经授权擅自公开披露漏洞细节的某“白帽子”发公开声明④、国家信息安全漏洞共享平台CNVD公告称因漏洞的不当披露引发党政机关和重要行业网站受到大规模攻击威胁等事件⑤则进一步彰显了网络安全漏洞不规范或非法披露的现实冲击,安全漏洞合法披露主体、合法披露程序、不当披露法律后果等问题成为法律和行业界共同关注的焦点。

从国家战略到具体实施举措,我国始终高度重视关键信息基础设施领域的信息安全保护工作。国家网络空间安全战略明确指出,要采取一切必要措施保护能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域关键信息基础设施及其重要数据不受攻击破坏,提高网络安全防护能力,维护国家主权、安全、发展利益。习近平总书记郑重提出,要努力把我国建设成为网络强国,加快构建关键信息基础设施安全保障体系。这为我国开展关键信息基础设施安全保护指明了方向。

向不特定的社会公众披露网络安全漏洞可以提升网络安全防护的实时性和有效性,但恶意或非法的网络安全漏洞披露同样为攻击者提供了可利用的攻击武器。漏洞发现之后应该由谁披露,怎样披露,何时披露等问题变得日益复杂且重要,漏洞披露制度不同,不仅对用户、提供商、协调者等利益相关方造成的影响有很大差异,更会对国家安全、企业利益及个人隐私产生深远影响。出于国家安全和公共利益的现实考虑,网络安全漏洞披露应当遵循特定规则,至少在“由谁披露”和“如何披露”这两个核心问题上满足国家立法的强制性规定。我国《网络安全法》第二十二条⑥、二十六条⑦、五十一条⑧和国家互联网信息办公室2017年7月10日发布的《关键信息基础设施安全保护条例》第三十五条⑨已提出网络安全漏洞合法披露的规则框架和基本要求,但仍然缺乏对于规则实现的具体设计,无法为安全漏洞披露行为提供明确指引。

预警不断袭来,威胁可防可控。我国不断加快关键信息基础设施安全保护的立法进程和组织运行体系构建。先后发布《国家安全法》、《网络安全法》,并就《关键信息基础设施安全保护条例》公开征求意见,初步构建起关键信息基础设施的法律制度框架。同时,在中央网络安全和信息化领导小组领导下,初步形成以中央网信办为国家关键信息基础设施安全顶层协调和领导机构,横向以工信部、公安部、国家安全部、国家保密局等相关部委为主体,纵向以省、市、区、县的地方网信办为主体的网络化组织管理和运行架构,并于2016年开始启动全国关键信息基础设施网络安全检查工作。

一、网络安全漏洞披露的概念与类型

我国关键基础设施保护工作正朝着规范化、体系化方向迈进。在后续工作中,有必要加强以下几方面工作:一是出台配套细则,明确行业主体责任。明确各行业的具体主体责任和牵头单位、具体负责部门,真正落实并发挥各行业的保护和监管作用。二是建立跨政府层级、跨企业、跨行业的联动协作机制。建立政府与行业、政府与企业、行业与企业以及各级政府之间、各级行业之间、各大企业之间的联动协作和共商协调机制,共享数据和信息资源。三是提升关键信息基础设施安全可控能力。大力推进自主可控技术研究力度,加大关键信息基础设施安全风险排查力度,杜绝关键基础设施和重要领域信息系统的操作系统、服务器、数据库“后门”、“漏洞”隐患和威胁。四是加快构建关键信息基础设施安全保障体系。针对关键信息基础设施所在的企业生产网、办公网、互联网,构建涵盖“发现-防御-响应-处置”于一体的安全保障体系,打造高水准的安全服务保障平台,提升关键信息基础设施整体安全防护能力。

网络安全漏洞及其披露的相关概念

网络空间并不太平,安全威胁就在路上!这块网络空间安全的“必争之地”,必须要成为我们网络空间疆域中的固城金汤,在这一场争分夺秒建设中,我们一直在路上。

漏洞(Vulnerability),又称脆弱性,这一概念的出现已有30多年历史,技术、学术和产业界从不同角度给出了不同的定义。目前普遍接受的定义是:漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统或其环境的设计及实施中的缺陷、弱点或特性。⑩这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的网络安全风险,各界基本将漏洞和网络安全漏洞的概念混用不加区分,漏洞称之为内在的脆弱性,与之相对的是外部安全威胁,内部脆弱性和外部安全威胁结合起来共同构成安全风险。

针对网络安全漏洞本身,尽管国内外立法缺少明确的概念界定,但均延续了传统信息安全的内外两分法,将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。在安全风险层面,《网络安全法》第二十五条规定将系统漏洞和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险,强调了网络运营者的风险控制和应急处置责任。美国《网络安全信息共享法》强调网络安全的目的是“保护信息系统或者使在信息系统存储、处理、传输的信息免于网络安全威胁或网络安全漏洞的侵害”,也将网络安全威胁和网络安全漏洞并列,作为安全风险予以共同防范和控制。其中,更是指明了安全漏洞包括显示存在安全漏洞的异常活动。相比之下,《关键信息基础设施安全保护条例》第三十五条规定将漏洞纳入“安全威胁信息”范畴,则存在定义使用上缩小化的误区。在网络安全信息层面,《网络安全法》第二十六条通过列举方式界定了网络安全信息的一般范围,包括系统漏洞、计算机病毒、网络攻击、网络侵入等,将漏洞作为第一位的网络安全信息,也体现了网络安全信息承载网络安全风险的基本功能。

一般来说,漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第二十六条规定:“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”

网络安全漏洞披露的类型

国内外网络安全漏洞披露实践已开展多年,网络安全漏洞的披露类型一直是安全漏洞披露政策争议的焦点。在学者研究及行业发展中,网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客,也能够轻松地开发和编写漏洞。负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。国际上比较有代表性的国家级协调者包括美国应急响应小组、日本国家计算机应急响应协调中心(JPCERT/CC)、韩国国家网络安全中心等,我国中国国家信息安全漏洞库、国家信息安全漏洞共享平台、国家计算机网络入侵防范中心漏洞库等。

近年来,随着信息共享理念应对风险的有效性逐渐显现,网络安全漏洞披露的方式以更易于降低威胁的方式演化,网络安全漏洞发现与修复之间所需的时间差和平衡各方需求成为网络安全漏洞披露的基本考量,厂商、政府、安全研究人员等主体之间的漏洞安全信息共享成为漏洞披露的重要内容。业界普遍开始用“协同披露”代替“负责任披露”的说法。协同披露强调漏洞发现者、厂商、协调者和政府机构等利益相关方应共享安全漏洞信息、协同工作,积极协作处置风险,共同保障用户安全、社会公共利益和国家安全。2015年《中国互联网协会漏洞信息披露和处置自律公约》也体现了协同披露这一理念,其第七条规定:“漏洞平台、相关厂商、信息系统管理方和国家应急处置协调机构应协同一致做好漏洞信息的接收、处置和发布等环节工作,做好漏洞信息披露和处置风险管理,避免因漏洞信息披露不当和处置不及时而危害到国家安全、社会安全、企业安全和用户安全。”

安全漏洞协同披露强调用户安全至上,要求面临同一风险的利益相关方分享安全信息、协同共治,实现降低整个群体所面临的网络安全风险。在高危安全漏洞日益增多,补丁修复耗费时间更长的后信息化时代,以信息共享和维护用户利益为导向的协同披露成为一些大型跨国厂商推行的解决方案,例如微软安全研究中心高级研究总监克里斯—贝斯就极力号召协同披露,类似观点也在2017年5月WannaCry勒索病毒攻击事件爆发后多次重提。在微软等跨国厂商的推动下,ISO等国际组织发展了ISO/IEC 29147:Vulnerability disclosure、ISO/IEC 30111:Vulnerability handling processes等若干标准体系,以“最佳实践”的形式指导厂商构建并实施安全漏洞披露制度。

可以看出,从不披露、完全披露、负责任披露到协同披露,安全漏洞披露类型涉及的利益相关方侧重点各有不同,显示了漏洞披露过程的复杂性,也表明调动各利益相关方共同治理安全漏洞观念的逐渐成熟和体系化。总体来说,以上披露类型在国内外目前的披露实践中均有出现,且往往交织在一起。近年来,虽然在一定程度上更多的协同披露动向正在显现,但漏洞披露环境在很多方面仍然是割裂的,相关问题依然有待解决。鉴于利益相关方的侧重点有所差异,漏洞披露目前仍然没有统一的标准,但都应以最大限度减少损害的方式进行。

版权声明:本文由澳门太阳娱乐集团官网发布于战术战略,转载请注明出处:威胁就在路上,关于网络空间漏洞国家管理的观