健全我国网络安全漏洞管控机制

2017年11月，白宫发布了《漏洞平衡策略》，规范了美国政府的零日漏洞发布流程。2018年5月，美众议院外交事务委员会提出“Hack Your State Department”法案，建议国务院建立漏洞赏金计划，引导联邦机构接受已在私营部门普遍实行的漏洞赏金活动。美国政府的漏洞挖掘、披露等行为日益规范化、常态化。与之相对，我国网络安全漏洞管控机制尚不健全，战略性零日漏洞外流现象较为严重。应借鉴美国经验，研究建立符合我国实际的网络安全漏洞管控机制。

加强漏洞挖掘领域的法律规范建设

完善相关法规制度，为“白帽子”的漏洞挖掘行为设置相应的免责条款，保护经当事人授权或在国家机关指导下的漏洞挖掘行为。推动建立“白帽子”主体身份备案制度，加强对“白帽子”身份的匿名化保护和行为的安全监管。尽快研究制定网络安全漏洞挖掘规范等国家标准，指导规范“ 白帽子” 黑客的漏洞挖掘行为。

打造漏洞挖掘的创新平台

一方面，推动政府机构采用众测众包方式发现和收集漏洞。加强政府与网络安全企业合作，充分利用网络安全企业的漏洞挖掘能力和情报优势，帮助政府及早发现和修复漏洞。在安全可控前提下，制定实施漏洞赏金计划，充分发动社会各界的网络安全力量发现和收集漏洞，提高网络安全整体防护能力。另一方面，重点打造“强网杯”全国网络安全挑战赛、WCTF世界黑客大师赛等网络安全竞赛，积极举办GeekPwn等大型国际黑客竞赛，加大竞赛的资金奖励和宣传报道，吸引国内外顶级黑客协助发现我信息技术产品的安全漏洞。

建立网络空间漏洞披露审查机制

出台漏洞管理的专门政策文件，对漏洞披露范围、流程等进行规范。建立零日漏洞安全评估和披露审批机制，充分考虑网络安全漏洞的特殊性，以零日漏洞影响产品的波及面、导致的破坏程度、漏洞利用难度、漏洞修复难度等为评估重点，对漏洞进行评级。视漏洞级别，决定是否披露漏洞、如何披露漏洞。严禁IT企业未经授权和安全评估，以竞赛、通报等形式私自披露漏洞。