构建漏洞管理国际合作机制的思考和建议*

许蔓舒

（上海国际问题研究院，上海200233）

0 引 言

漏洞（vulnerability）是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问、破坏或控制目标系统。从技术层面看，漏洞本身无法根除。漏洞的开发利用频繁，相对廉价快速，而漏洞发现后消除周期较长。如果大量漏洞长期暴露得不到及时有效的处置，那么新发现的漏洞与未消除的漏洞不断累加，网络安全风险将进一步叠加。

漏洞管理（vulnerability management）通常定义为对操作系统（OS）、企业应用程序、浏览器和最终用户应用程序中的漏洞进行识别、分类、确定优先级和处理，是一个持续的过程。由于资源是有限的，漏洞管理强调用有限的投入去实现最大限度的安全效益。

漏洞本身虽然不产生危害，但一旦被利用，极有可能带来严重的威胁和损害。在网络安全领域，漏洞常被攻击方视为“杀手锏”武器，又被防守方当作“万恶之源”。针对网络安全本源性的难题，构建一个互利的、稳定运行的漏洞管理国际机制，既符合各方利益，也有利于推动全球互联网治理体系向着更加公正合理的方向迈进。

1 漏洞管理国际合作的现实需求

在全球进入万物互联的时代，各国处于加速发展数字经济、建设数字政府、数字社会的新阶段，漏洞已经成为影响一个国家经济发展和国计民生的重要网络安全风险，也是国际社会共同面临的网络空间治理难题。

1.1 漏洞管理涉及网络安全的全球生态建设

当前，全球安全漏洞数量快速增长，危险级别不断提升。与此同时，漏洞的责任难以界定、漏洞的评估缺乏人员经验支撑、漏洞的修复推动困难，这些问题都表明要想防止网络安全漏洞在全球范围内造成更为巨大的危害，漏洞管理需要多方协作。

第一，漏洞的来源具有跨国性。当今世界，几乎所有的涉及国计民生的关键基础设施都对信息通信技术（以下简称ICT）的依赖程度越来越高。ICT供应链最突出的特点是产品要通过高度分散的全球供应链实现开发、集成和交付，而产品的设计、开发、采购、生产、仓储、物流、销售、维护、召回等每个环节都有可能被篡改或控制。

第二，漏洞的官方披露滞后。大量漏洞在官方披露之前已经在社交媒体和黑市讨论。新闻站点、博客和社交媒体，以及暗网和犯罪论坛，往往比美国国家标准与技术局（NIST）统管的加强对网络安全漏洞的处置及后续的防控更快公布漏洞。威胁情报公司 Recorded Future 表示，从2015年到2017年，有四分之一的软件漏洞讨论首先出现在社交媒体网站上，然后社交媒体上讨论近90天后才能收录在美国国家数据库中[1]。非官方与官方漏洞披露的错位导致漏洞威胁信息不对称，使得未能及时掌握漏洞信息的政府机构、企业、厂商和个人面临漏洞利用带来的重大安全风险。

第三，开源软件漏洞的修复困难。随着“大智移云链”等新兴技术的广泛应用，开源软件的支撑作用越发明显。几乎所有的商业软件代码库都包含开源共享代码。由于开源软件的规模庞大、漏洞频发、引用关系复杂等特点，给应用系统的安全处置带来很大挑战。同时，漏洞修复和版本升级需要投入大量的开发和测试工作量，部分开源软件没有安全版本可用，对漏洞处置方案提出了更高的要求。

1.2 漏洞武器化成为网络空间和平的重大威胁

不同类型的漏洞获取，意味着取得不同等级的系统控制权和风险数据，并且随着网络漏洞的武器化，很多网络安全维护措施可能失去效用。因此，在军事上，漏洞是侵入他国系统最有力的武器，各国军方将漏洞视为战略资源。在民用领域，漏洞已参与到国家、企业之间的竞争。

美国利用信息技术及产品在全球的垄断地位实现了对全球漏洞的掌控，加之其积极推行“前置防御”“持续交手”网络空间战略，网络世界面临浓重的战争阴影。美国政府可通过美国国家漏洞库（NVD）面向全球收集漏洞，Microsoft、Cisco、Apple、Adobe等全球主要软硬件厂商的产品漏洞都在美国国家漏洞库的掌握之中。同时，美国通过“出口限制禁令”限制零日漏洞及其相关产品流出美国。2015年美国《瓦森纳协定》的新出口限制禁令，将未公开的软件漏洞视为潜在的武器进行限制和监管。国际社会需要建立一种国际机制，有效抵消漏洞武器化的效果，并约束国家的恶意网络行为。

1.3 限制和消除漏洞已经成为国际共识

无论是出于对关键基础设施保护的需要，还是国家安全的考虑，限制和消除漏洞已经成为大多数国家参与网络空间国际治理的重要动力。

2015年联合国信息安全政府专家组报告达成了11项自愿的非约束性负责任国家行为规范[2]。其中，第10项指出，“各国应鼓励负责任的报道信通技术的脆弱性，分享有关这种脆弱性的现有补救办法的相关资料，以限制并可能消除信通技术和依赖信通技术的基础设施所面临的潜在威胁”。在本届联合国信息安全开放式工作组（OEWG）中，关于负责任行为规范议题，有多国提议“进一步确保信通技术供应链的完整性，对在信通技术产品中创造有害的隐藏功能表示关切，并有责任在发现重大漏洞时通知用户”。关于能力建设，也有建议提出“建立有相关利益攸关方参与的国家协调机构，以评估方案的有效性，可有助于国家处理信通技术安全问题”[3]。

2 漏洞管理的国际组织和平台

随着信息技术的快速迭代发展，漏洞的发展变化给一国的漏洞管理带来了新的挑战。世界各主要国家纷纷制定漏洞管理政策，建立国家级漏洞平台和处理机制，在漏洞管理的实践中，积累了很多经验[4]。从全球视角看，以下国际组织和平台体现了国际社会加强合作，共同应对网络安全挑战的努力。

2.1 国际标准化组织

国 际 标 准 化 组 织（International Standards Organization，ISO）两项标准，ISO 29147和ISO 30111，规定了响应安全漏洞的组织结构和处理流程。

ISO/IEC 29147：漏洞披露流程。该标准为供应商提供了从外部获取其产品或在线服务的漏洞信息的五个步骤，包括接受漏洞报告、漏洞验证、解决方案开发、发布和发布后事项。

ISO/IEC 30111：漏洞处理流程。该标准规定机构应该有的漏洞处理的内部流程，帮助机构在外部报告到达后进行漏洞调查和补救。

2.2 通用漏洞披露平台

通用漏洞披露平台（Common Vulnerabilities& Exposures，CVE），为已披露的漏洞给出唯一的公共命名。CVE就好像是一个字典表，通过公共命名使得CVE成为了安全信息共享的“关键字”，帮助用户在各自独立的漏洞数据库和漏洞评估工具中共享数据。虽然这些工具很难整合在一起，但是如果在漏洞报告中的一个漏洞有CVE名称，就可以快速地在任何其他CVE兼容的数据库中找到相应修补的信息。

2.3 漏洞提交平台

ExploitDB 是一个面向全世界黑客的漏洞提交平台，该平台会公布最新漏洞的相关情况，由此帮助企业改善安全状况，同时也帮助安全研究者更好地进行安全测试工作。ExploitDB提供一整套庞大的归档体系，其中涵盖了各类公开的攻击事件、漏洞报告、安全文章以及技术教程等资源。

2.4 互联网工程指导小组

2019年12月，互联网工程指导小组 （Internet Engineering Steering Group，IESG）发布了网络漏洞披露标准 Security.txt 的最终征求意见稿，该标准“Web安全策略方法”旨在改善独立安全研究人员用来披露Web服务漏洞的通信渠道，尽可能简化研究人员的漏洞披露过程。在获得美国网络安全与基础设施安全局 （CISA）发布的联邦政府漏洞披露策略草案背书后，IESG的全球性网络漏洞披露标准 Security.txt草案也进入了最后一轮意见征询阶段。

2.5 事件响应和安全团队论坛

事件响应和安全团队论坛（Forum of Incident Response and Security Teams，FIRST）是一个多利益攸关方参与的组织，汇集了来自政府、商业和教育组织的各种计算机安全事件响应团队，也是事件响应方面公认的全球领导者。FIRST旨在促进事件预防方面的合作与协调，激发对事件的快速反应，并促进成员与整个社群之间的信息共享。FIRST实行会员制。目前FIRST拥有500多个会员，遍布非洲、美洲、亚洲、欧洲和大洋洲。其成员基本上分成三类，一是各个国家本土的CERT，二是设备制造商，三是运营商，还包括一些来自学术机构的其他成员。在漏洞管理方面，FIRST有四项工作是非常有价值的。

第一，成立了由银行、金融、技术和学术界等众多行业代表组成的特别小组（SIG），对通用漏洞评分系统CVSS进行改进。

第二，着手开发漏洞利用预测评分系统（Exploit Prediction Scoring System，EPSS）， 对公开披露的漏洞进行近实时的评估，预测软件漏洞的利用，帮助网络防御者更好地确定漏洞修复工作的优先级。

第三，发布了“多方漏洞协调和披露指南和实践”。该文件是美国国家电信和信息管理局（NTIA）与FIRST共同的研究成果，旨在帮助改善不同利益相关者之间的多方漏洞协调。

第四，成立了漏洞报告和数据交换特别小组，研究和推荐在不同的漏洞数据库之间识别和交换漏洞信息的方法。在第一阶段（2013年至2015年），FIRST开发漏洞数据库目录。在第二阶段（从2015年开始），FIRST将开发漏洞ID交叉引用系统和漏洞披露策略目录，制定并发布漏洞披露以及处理策略的目录。

3 漏洞管理国际合作的重点

众所周知，从国家安全的角度，国家军事部门和情报部门对漏洞非常重视，是漏洞利用的需求方、开发方和使用方。从这一点讲，漏洞管理的国际合作非常敏感，也是漏洞管理国际合作需要平衡和兼顾之处。为了让合作具有可操作性和可持续性，漏洞管理国际合作需要尊重各方国家安全上的关切和顾虑，在各方已经公开的漏洞资源基础上，以公开、透明的方式加强漏洞资源的共享和协调。

3.1 聚焦公开漏洞的信息分享

目前，世界上有大量的国家级漏洞平台。包括中国国家信息安全漏洞库（CNNVD）、中国国家信息安全漏洞共享平台（CNVD）、美国国家漏洞数据库（NVD）、日本漏洞库（JVN）、欧盟的“安全漏洞库服务”（Security Vulnerability Repository Service，SVRS） 等。 漏洞管理的国际合作可在各国已经公开披露的漏洞信息的基础上加强漏洞信息分享和交流。

3.2 聚焦软件供应链安全

相对硬件供应链，软件供应链的漏洞发现和修复相对比较容易。近期“太阳风”供应链攻击事件表明，软件漏洞利用具有涉及维度广、攻击成本低、回报高、检测困难等特性。加之开源代码的使用，软件漏洞的防控处理越发具有挑战。同时，随着物联网的迅速发展，在物联网相关的场景下，智慧城市、智慧家庭、智慧医疗、智慧交通和智慧工业等新应用的安全问题将逐渐暴露出来。因此，物联网软件漏洞的管理将是有更多国际合作需求的领域。

3.3 聚焦漏洞修复

在实践中，漏洞修复的问题比漏洞本身还大。一个漏洞可能涉及多个行业，也就意味着漏洞的修复涉及多家企业、多个厂商、多个用户。但是，供应商发布了补丁未必意味着脆弱设备就已被修复。很多情况下，有时候是因为物理上无法修复这些设备；有时候是因供应商不具备漏洞修复能力，或者漏洞修复后系统不稳定等原因使得有一部分漏洞难以修复。

理论上，产品之间有交叉处的企业或厂商，在漏洞修复上自然会有技术上合作的需求。但是，让跨国企业一起去修复漏洞并不太容易，这就需要国家力量的协调，找出企业的困难点在哪里，短板在哪里，去平衡企业的动力不足。因此，漏洞修复可以是政府间合作最能发挥作用的地方。

4 漏洞管理国际合作的路径

网络安全是一个系统性问题，任何一个环节出现错误都会导致整个系统出现问题，因而漏洞管理要从系统整个生命周期的多个阶段去考虑。本着避免重复建设，充分利用现有资源的原则，针对已经公开披露的漏洞，漏洞管理的国际合作可以围绕漏洞的报告、优先化、响应的三大环节建立漏洞信息交流、评估、修复的国际合作运行机制。

4.1 漏洞信息交流机制

漏洞披露是修复漏洞的基础环节，也是展开漏洞管理国际合作的重要前提。在很多国家内部，漏洞披露已经形成一条较为完整的产业链，按漏洞的生命周期可分为：发现漏洞、安全信息提供、漏洞信息资源提供[5]。从各国的实践看，漏洞披露政策有相似之处，都涉及漏洞信息通过什么方式提交，漏洞信息在专业机构、研究人员和厂商间如何共享，何时或者通过什么方式向公众披露。而且，考虑到既要符合漏洞管理和利用的要求，也要符合社会公共安全利益，各国的漏洞披露策略都非常谨慎。在各方漏洞披露的基础上加强漏洞信息交流共享，及时更新漏洞警报和补丁信息，既有必要也非常有用。

目前，由非盈利组织MITRE管理的通用漏洞 披 露（Common Vulnerabilities & Exposures，CVE）平台已成为国际公认的公开漏洞分享平台。CVE是一个漏洞索引数据库，主要功能是对漏洞标识信息提供一个跨平台标准。但是，CVE有两个局限。一是CVE没有一个已存在的所有漏洞的完整列表。二是CVE的更新不及时，一些漏洞几年的时间仍保持着“候选”状态。因此，国际合作可以通用漏洞披露平台为基础，联合各方的国家级漏洞库，在国家已公开披露的漏洞基础上，建立漏洞更新的通报机制，具体内容可以包括：

第一，丰富CVE的漏洞列表，加快CVE的漏洞审查速度。

第二，以自愿共享为原则，各方将其收集并已发布的漏洞信息上传至国际漏洞信息共享平台。

第三，检测新漏洞动向，披露关于新漏洞的警告。利用广泛的在线资源，主动收集漏洞信息，及时披露新发现漏洞，抢在黑客知悉漏洞细节并加以利用之前，向各方的IT部门、政府机构和用户发出警告。

4.2 漏洞评估机制

漏洞评估是目前漏洞管理的痛点所在。漏洞所造成的实际危害千差万别，如果针对漏洞对应的资产、环境等因素进行危害评估的体系缺位，将直接导致漏洞处置工作缺乏抓手。目前，网络安全漏洞危害评级主要采用定性定量评估方式，全球主要参考指南为美国国家基础设施顾问委员会（NIAC）开发的《通用漏洞评分系统指南》（CVSS）。建议在CVSS的基础上完善漏洞评估机制，进一步完善漏洞评估内容。

其一，设置统一的“漏洞评估分类标准”，对已上传至漏洞信息共享平台的漏洞进行二次评级。可重点参照事件响应和安全小组论坛（FIRST）的指标集和国际标准组织ISO的漏洞披露标准文件，探索将漏洞危害与应用环境相结合的评估方法。

其二，对ICT产品的漏洞修复能力进行评估。包括督促性分析，如未修复漏洞的超时时间和排名；最近一个月新增漏洞的修复排名，高危漏洞平均修复时间排名等，目的是以一种公开、透明的方式督促ICT供应商加强漏洞修复。

4.3 漏洞处置协调机制

加强漏洞修复和后续防控，可以减少可能引发的网络安全损害。有些漏洞在特定的环境中无法完全消除，强行消除漏洞可能引入更大的安全风险，导致系统停摆、数据泄露等更严重的事故。而终端用户往往缺乏有效的判断依据，往往不懂漏洞处置，不敢处置。

目前，事件响应和安全小组论坛（FIRST）已经建立了重大网络安全事件响应的国际机制。但是由于FIRST实行会员制，且入会门槛比较高，准入机制复杂，审核时间较长，通常采取论坛、会议、培训的方式开展国际学术活动，其在漏洞应急修复方面的全球协调能力有明显不足。建议在FIRST 的基础上，完善漏洞处置协调机制，主要内容可以包括：

其一，建立漏洞补丁库。使CVE的漏洞索引编号与漏洞补丁库的索引编号相联系，通过统一标识，加强漏洞识别和相对应的补救措施之间的协调。

其二，设立全球网络漏洞管理的国际专家库。由全球网络信息漏洞专家对披露的高危漏洞信息进行评估，制定漏洞修复策略。针对暗网和社交媒体等非官方渠道的漏洞披露信息，依托技术实力较强的企业和技术社群，进行漏洞危险性评估和预警。

5 结 语

2020年9月，中国提出《全球数据安全倡议》。2021年3月，中国外交部同阿拉伯国家共同发表《中阿数据安全合作倡议》，体现了发展中国家在数字治理领域的高度共识。网络安全漏洞管理的合作可以作为一个构成网络空间信任的基点，通过网络空间基底层的具体合作行动去凝聚国际共识，寻求符合各国利益的网络空间治理的最大公约数。对于网络安全漏洞管理，我国积累了丰富的经验和实践，有能力以漏洞管理国际合作为突破口，在控制我国网络空间风险的同时，推动网络安全漏洞管理的最佳实践，让具备专业能力的政府机构作为牵头单位，以技术社群作支撑，逐步推进漏洞管理的国际合作。