桂暢旎，楊婧婧，李維杰

（中國(guó)信息安全測(cè)評(píng)中心 北京 100085）

0 引言

在互聯(lián)網(wǎng)時(shí)代，漏洞已成為一種國(guó)家級(jí)戰(zhàn)略資源。作為網(wǎng)絡(luò)安全的核心要素，漏洞利用對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展和隱私保護(hù)帶來(lái)挑戰(zhàn)。美國(guó)政府一直將漏洞管理作為信息安全戰(zhàn)略的關(guān)鍵要素，持續(xù)投入力量建立開(kāi)放靈活的漏洞收集、發(fā)布等機(jī)制。特朗普當(dāng)選后，美國(guó)政府更是將漏洞管控作為網(wǎng)絡(luò)安全政策的優(yōu)先項(xiàng)。11月15日，美國(guó)白宮網(wǎng)站發(fā)布報(bào)告《美國(guó)聯(lián)邦政府漏洞公平裁決政策和程序》（Vulnerabilities Equities Policy and Process for the United States Government，以下簡(jiǎn)稱(chēng)《漏洞公平裁決政策和程序》）[1]，詳細(xì)描述了特朗普政府更新漏洞公平裁決流程的原因、方法和愿景，標(biāo)志著本屆政府向“漏洞公平裁決程序”（Vulnerabilities Equities Process，VEP）機(jī)制建設(shè)邁出重要一步，將對(duì)全球網(wǎng)絡(luò)治理產(chǎn)生重要影響。

1 “漏洞公平裁決程序”由“秘密”轉(zhuǎn)為“公開(kāi)”的歷程

“漏洞公平裁決程序”實(shí)質(zhì)上是美國(guó)政府針對(duì)信息安全漏洞，由多部門(mén)協(xié)調(diào)處理的一套行政過(guò)程[2]，目標(biāo)是在決定披露或者保留漏洞時(shí)，能平衡“情報(bào)收集”、“調(diào)查事項(xiàng)”和“信息安全保障”三方面的影響，做出“對(duì)整體利益最好的決策”，主要規(guī)制對(duì)象是“新發(fā)現(xiàn)且未公開(kāi)”的漏洞[3]。

1.1 興起于小布什時(shí)代提出的聯(lián)合計(jì)劃

漏洞公平裁決流程最早可追溯至美國(guó)前總統(tǒng)小布什在2008年1月簽發(fā)第54號(hào)國(guó)家安全政策指令[4]和第23號(hào)國(guó)土安全總統(tǒng)指令[5]，提出了“綜合國(guó)家網(wǎng)絡(luò)安全倡議”（Comprehensive National Cybersecurity Initiative，CNCI），其中要求國(guó)務(wù)院、國(guó)防部、國(guó)土安全部、司法部以及國(guó)家情報(bào)總監(jiān)辦公室共同制定一項(xiàng)“協(xié)調(diào)進(jìn)攻性能力的聯(lián)合計(jì)劃”，以保護(hù)美國(guó)信息系統(tǒng)。該計(jì)劃指出，“漏洞的發(fā)現(xiàn)可能會(huì)引發(fā)相互競(jìng)爭(zhēng)的利益訴求，干擾政府協(xié)調(diào)建設(shè)網(wǎng)絡(luò)進(jìn)攻和防御能力”，要求“采取行動(dòng)妥善解決各方利益關(guān)切”[6]。該計(jì)劃提出建立“漏洞公平裁決流程”以機(jī)制化和系統(tǒng)化美國(guó)政府對(duì)零日漏洞的處理[7]。

1.2 形成于奧巴馬任職初期的工作組報(bào)告

國(guó)家情報(bào)總監(jiān)辦公室為響應(yīng)“綜合國(guó)家網(wǎng)絡(luò)安全倡議”，專(zhuān)門(mén)設(shè)立工作組，在2008年至2009年間研究探討漏洞公平裁決流程的制定。該工作組囊括了來(lái)自國(guó)家安全委員會(huì)、中央情報(bào)局、國(guó)防情報(bào)局、司法部、聯(lián)邦調(diào)查局、國(guó)防部、國(guó)務(wù)院、能源部和國(guó)土安全部的成員，并于2010年2月最終制定完成《商業(yè)和政府信息技術(shù)及工業(yè)控制產(chǎn)品或系統(tǒng)漏洞政策及規(guī)程》[8]（全稱(chēng)Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process，即舊版“漏洞公平裁決程序”章程），制定了漏洞裁決的通知、決策和上訴的程序，漏洞公平裁決程序初具雛形，成為奧巴馬政府內(nèi)部管控漏洞的重要依據(jù)。

1.3 公開(kāi)于“心臟出血”漏洞后的輿論壓力

漏洞公平裁決程序直到2014年因輿論壓力才部分向社會(huì)公開(kāi)。2014年4月，媒體報(bào)道美國(guó)國(guó)家安全局兩年前已知曉“心臟出血”漏洞[9]，并且定期利用該漏洞獲取重要情報(bào)，引發(fā)公眾和輿論對(duì)美國(guó)政府漏洞管理的質(zhì)疑。時(shí)任白宮網(wǎng)絡(luò)安全協(xié)調(diào)員邁克爾·丹尼爾專(zhuān)門(mén)撰文回應(yīng)指責(zé)，稱(chēng)美國(guó)政府已有一個(gè)機(jī)密的、嚴(yán)格的、高水平的漏洞披露機(jī)制，并簡(jiǎn)要介紹了漏洞披露的考量因素[10]。但該文并未平息輿論的指責(zé)，電子前沿基金會(huì)(Electronic Frontier Foundation，EFF)在2014年5月憑借《信息自由法案》成功推動(dòng)美國(guó)政府公開(kāi)“漏洞公平裁決程序”章程[11]。2014年11月，美國(guó)政府公布第一批經(jīng)過(guò)脫密處理的“漏洞公平裁決程序”章程，并在2015年、2016年再次公布相關(guān)文件。

1.4 完善于各界的爭(zhēng)論和推動(dòng)

根據(jù)邁克爾·丹尼爾的文章，漏洞公平裁決程序的工作自始至終都處于技術(shù)專(zhuān)家層面，無(wú)高級(jí)官員參與[12]。他坦言，由美國(guó)國(guó)安局繼續(xù)按內(nèi)部程序處理漏洞，難以適應(yīng)網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，美國(guó)政府需要為VEP“重新注入活力”[13]。受此影響，在“漏洞公平裁決程序”相關(guān)章程公布后，美國(guó)各界在2014年后開(kāi)始討論如何提高漏洞裁決流程的有效性。學(xué)術(shù)機(jī)構(gòu)（如哈佛大學(xué)肯尼迪學(xué)院貝爾弗中心[14]）、智庫(kù)（如新美國(guó)基金會(huì)[15]）和政府審查團(tuán)體（如總統(tǒng)情報(bào)和通信技術(shù)審查小組[16]）紛紛建言獻(xiàn)策，形成以下共識(shí)：一是推動(dòng)法律保障，提高“漏洞公平裁決程序”章程的權(quán)威性；二是公開(kāi)詳細(xì)的標(biāo)準(zhǔn)，提高“漏洞公平裁決程序”章程的可操作性；三是制定定期審查制度，確保對(duì)“漏洞公平裁決程序”章程的監(jiān)督。在此背景下，特朗普政府啟動(dòng)“漏洞公平裁決程序”章程落地實(shí)施。

2 新版《漏洞公平裁決政策和程序》的內(nèi)容與特點(diǎn)

新版《漏洞公平裁決政策和程序》主要包括目的、背景、范圍、參與主體、程序和附件六部分，區(qū)別于已公開(kāi)的漏洞公平裁決程序文件，新版文件在程序透明、考量要素、參與主體等方面均進(jìn)行了改進(jìn)，分析如下：

2.1 細(xì)化裁決程序，增強(qiáng)政策操作性

新版《漏洞公平裁決政策和程序》目標(biāo)是建立可重復(fù)的技術(shù)或方法，以快速權(quán)衡國(guó)家安全各要素，形成最佳實(shí)踐，并依此詳細(xì)規(guī)定了六步裁決程序：第一，提交：相關(guān)機(jī)構(gòu)確認(rèn)并提交滿(mǎn)足要求的漏洞，并給出通報(bào)或保留的建議。第二，通知：漏洞裁決程序執(zhí)行秘書(shū)處會(huì)在1個(gè)工作日內(nèi)通知所有的漏洞公平裁決程序的聯(lián)系人。第三，公平性研討：受影響的機(jī)構(gòu)必須在5個(gè)工作日內(nèi)對(duì)其是否同意公布或保留給出反饋，若在裁決上未達(dá)成共識(shí)，可在7個(gè)工作日內(nèi)進(jìn)行公平性研討。第四，裁決：在與相關(guān)機(jī)構(gòu)進(jìn)行充分咨詢(xún)之后，同時(shí)在保障美國(guó)政府對(duì)網(wǎng)絡(luò)安全、情報(bào)、反情報(bào)、執(zhí)法、軍事行動(dòng)以及關(guān)鍵基礎(chǔ)設(shè)施保護(hù)等職能需求上，作出公布或保留的裁決。第五，處置手段和后續(xù)行為：如果選擇披露漏洞，漏洞的提交機(jī)構(gòu)有責(zé)任將漏洞相關(guān)信息通報(bào)廠商，并在7個(gè)工作日內(nèi)盡可能地?cái)U(kuò)散相關(guān)信息；如果保留漏洞信息不予公布，公平裁決委員會(huì)1..詳見(jiàn)下文“建立問(wèn)責(zé)”。每年都會(huì)對(duì)提交漏洞進(jìn)行重新評(píng)估，直到漏洞可以通報(bào)或通過(guò)其他的手段被消控。第六，對(duì)初步判決進(jìn)行申辯：申請(qǐng)公平裁決的相關(guān)部門(mén)和機(jī)構(gòu)可以通過(guò)國(guó)家安全委員會(huì)（National Security Council， NSC）相關(guān)途徑上訴，申請(qǐng)重新考慮裁決。

2.2 公開(kāi)裁決考量因素，提高政策透明度

根據(jù)新版《漏洞裁決政策和程序》，漏洞裁決程序的關(guān)鍵優(yōu)先項(xiàng)就在于提高其透明性[17]，因此首次公開(kāi)了漏洞裁決的四大考慮要素，保證參與者能對(duì)利益和風(fēng)險(xiǎn)進(jìn)行客觀評(píng)估：（1）國(guó)家防御方面考量。一是威脅因素，包括漏洞產(chǎn)品使用位置、使用范圍、受影響的產(chǎn)品范圍、被潛在威脅者利用的可能性等；二是安全漏洞分析，包括威脅者利用漏洞的可能性、威脅者發(fā)現(xiàn)或獲取該漏洞的可能性等；三是影響力分析，包括用戶(hù)對(duì)產(chǎn)品安全性的依賴(lài)程度、漏洞的嚴(yán)重程度、威脅者對(duì)其加以利用可能引發(fā)的后果，用戶(hù)抵消攻擊者利用漏洞造成危害的可能性；四是緩解因素，包括通過(guò)配置消除軟件漏洞的可能性、現(xiàn)有最佳實(shí)踐或標(biāo)準(zhǔn)配置減弱漏洞影響的可能性、供應(yīng)商開(kāi)發(fā)補(bǔ)丁對(duì)降低漏洞威脅的影響。（2）情報(bào)、執(zhí)法、網(wǎng)絡(luò)行動(dòng)方面考量。一方面是價(jià)值因素，包括漏洞被利用來(lái)支持情報(bào)收集、網(wǎng)絡(luò)行動(dòng)以及執(zhí)法證據(jù)收集的可能性；另一方面是行動(dòng)影響因素，包括利用漏洞打擊網(wǎng)絡(luò)空間威脅者、應(yīng)對(duì)國(guó)家級(jí)的情報(bào)獲取或軍事打擊提供價(jià)值的可能性、披露該漏洞對(duì)暴露情報(bào)來(lái)源和方法的影響等。（3）商業(yè)方面考量，主要包括對(duì)披露漏洞給商業(yè)機(jī)構(gòu)帶來(lái)風(fēng)險(xiǎn)的評(píng)估。（4）國(guó)際關(guān)系考量，主要包括對(duì)披露漏洞給美國(guó)的國(guó)際關(guān)系帶來(lái)風(fēng)險(xiǎn)的評(píng)估。

2.3 擴(kuò)大“多利益攸關(guān)方”參與，落實(shí)政策問(wèn)責(zé)制

新版《漏洞公平裁決政策和程序》要求設(shè)立“公平裁決委員會(huì)”（Equities Review Board，ERB），負(fù)責(zé)機(jī)構(gòu)間的審議與裁決，并舉行每月例會(huì)。公平裁決委員會(huì)由10個(gè)聯(lián)邦政府實(shí)體構(gòu)成，分別是國(guó)土安全部（責(zé)任單位是國(guó)家網(wǎng)絡(luò)安全與通信集成中心、美國(guó)特情局，下同）、白宮行政管理和預(yù)算辦公室、國(guó)家情報(bào)總監(jiān)辦公室（情報(bào)聯(lián)盟安全協(xié)調(diào)中心）、財(cái)政部、國(guó)務(wù)院、司法部（聯(lián)邦調(diào)查局國(guó)家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)）、能源部、國(guó)防部（國(guó)家安全局、網(wǎng)絡(luò)司令部、網(wǎng)絡(luò)犯罪中心）、商務(wù)部、中央情報(bào)局；每個(gè)機(jī)構(gòu)設(shè)立聯(lián)系員，并任命1至2名領(lǐng)域?qū)＜?。文件還規(guī)定漏洞裁決程序的負(fù)責(zé)人將由總統(tǒng)的網(wǎng)絡(luò)安全助理?yè)?dān)任，同時(shí)將漏洞公平裁決程序的執(zhí)行秘書(shū)處設(shè)在美國(guó)國(guó)家安全局，主要負(fù)責(zé)確保信息共享、組織討論、記錄流程等。對(duì)于未披露漏洞的信息，公平裁決委員會(huì)每年還要進(jìn)行重新評(píng)估并提交年度報(bào)告，同時(shí)負(fù)責(zé)向供應(yīng)商提供消控措施。

2.4 保留更多例外情形，確保政策實(shí)施靈活性

新版《漏洞公平裁決政策和程序》在原有的開(kāi)源渠道獲得的漏洞以及公開(kāi)研究的漏洞基礎(chǔ)上，再次擴(kuò)大了例外情況，規(guī)定美國(guó)政府公布或限制漏洞信息的決定會(huì)受到“合作協(xié)定”和“敏感行動(dòng)”的制約，此部分漏洞由最初發(fā)現(xiàn)的機(jī)構(gòu)通過(guò)內(nèi)部渠道直接報(bào)告裁決委員會(huì)主席，但具體涉及到哪些漏洞屬于涉密信息，美國(guó)政府此次并未公開(kāi)。此外，安全研究人員自行確認(rèn)的漏洞以及在安全事件響應(yīng)中計(jì)劃公布的漏洞信息也不受漏洞裁決程序限定。

3 新版《漏洞公平裁決政策和程序》的前景與影響

新版《漏洞公平裁決政策和程序》的出臺(tái)，既有回應(yīng)當(dāng)前美國(guó)漏洞操控輿論壓力的現(xiàn)實(shí)之需，也體現(xiàn)出完善美國(guó)漏洞管控體系的使命傳承，更是為今后謀求漏洞獲取合法化，便于執(zhí)法與情報(bào)行動(dòng)奠定基礎(chǔ)。

3.1 回應(yīng)漏洞操控指責(zé)，營(yíng)造有利的輿論環(huán)境

目前，美國(guó)在漏洞領(lǐng)域的領(lǐng)先地位受到嚴(yán)重挑戰(zhàn)。2013年斯諾登事件揭示了美國(guó)政府利用本質(zhì)上是漏洞的“后門(mén)”在全球網(wǎng)絡(luò)空間從事情報(bào)搜集和秘密竊取的做法；2014年的“心臟滴血”漏洞將美國(guó)“知情不報(bào)”的行為推上輿論的漩渦；2017年勒索病毒“WannaCry”席卷全球則讓美國(guó)利用漏洞囤積網(wǎng)絡(luò)武器的行為備受質(zhì)疑[18]。美國(guó)共和黨參議員羅恩·約翰遜(Ron Johnson) 和民主黨參議員布萊恩·夏茲(Brian Schatz) 甚至于2017年5 月提出議案“保護(hù)我們的反黑客能力”（Protecting our Ability To Counter Hacking，PATCH Act of 2017），要求美國(guó)國(guó)土安全部主持對(duì)NSA 未披露的零日漏洞儲(chǔ)存庫(kù)的審查。對(duì)此，特朗普政府加快完善《漏洞公平裁決政策和程序》，并在文件中直接表明美國(guó)政府在漏洞裁決中傾向于“公開(kāi)披露”，以滿(mǎn)足“絕大多數(shù)人”的利益，實(shí)為扭轉(zhuǎn)輿論被動(dòng)局面之策。

3.2 完善漏洞管控體系，固化領(lǐng)先優(yōu)勢(shì)

長(zhǎng)期以來(lái)，美國(guó)在漏洞領(lǐng)域一直處于全球領(lǐng)先地位，但斯諾登事件加速了網(wǎng)絡(luò)空間政治化和軍事化進(jìn)程，導(dǎo)致全球漏洞研究、分析和應(yīng)用進(jìn)入新階段：大多數(shù)國(guó)家實(shí)體將信息安全和網(wǎng)絡(luò)安全作為國(guó)家戰(zhàn)略關(guān)注重要內(nèi)容，重視漏洞的搜集、研究和防御；以互聯(lián)網(wǎng)公司為代表的信息產(chǎn)業(yè)企業(yè)高度重視信息安全和產(chǎn)品漏洞，重視漏洞的搜集和防御；私營(yíng)企業(yè)主導(dǎo)的漏洞庫(kù)快速發(fā)展，重視漏洞信息共享和風(fēng)險(xiǎn)防御等。美國(guó)政府主導(dǎo)的漏洞管控體系面臨越來(lái)越大的挑戰(zhàn)，在漏洞分析領(lǐng)域一家獨(dú)大的局面發(fā)生改變。近期，美國(guó)“記錄未來(lái)”等公司大肆炒作中國(guó)在漏洞領(lǐng)域超越美國(guó)[19]，即反應(yīng)了美國(guó)對(duì)漏洞領(lǐng)域發(fā)展的擔(dān)憂(yōu)。白宮此次發(fā)布新的《漏洞公平裁決政策和程序》，實(shí)質(zhì)是特朗普政府延續(xù)過(guò)往實(shí)踐，謀求通過(guò)技術(shù)手段規(guī)范漏洞管控，保障美國(guó)在網(wǎng)絡(luò)空間領(lǐng)先優(yōu)勢(shì)。

3.3 謀求漏洞獲取合法化，便利執(zhí)法與情報(bào)活動(dòng)

隨著蘋(píng)果和谷歌等相繼宣布將進(jìn)一步加密智能手機(jī)的操作系統(tǒng)，如何處理依托于獲取用戶(hù)數(shù)據(jù)的執(zhí)法取證問(wèn)題越來(lái)越成為執(zhí)法部門(mén)的挑戰(zhàn)。2015年2月，美國(guó)國(guó)家安全局局長(zhǎng)邁克爾·羅杰斯曾指出，應(yīng)該有“一種合法框架”迫使蘋(píng)果和谷歌等公司在他們的信息產(chǎn)品中留下“前門(mén)”，以方便政府調(diào)查犯罪或威脅國(guó)家安全的問(wèn)題[20]。羅杰斯口中的“前門(mén)”與“后門(mén)”本質(zhì)上都是一種人為漏洞，即預(yù)先在信息產(chǎn)品中設(shè)置可繞過(guò)安全控制而獲得對(duì)程序或者系統(tǒng)訪問(wèn)權(quán)的接口，目的是讓美國(guó)政府或者情報(bào)界能夠方便獲取信息產(chǎn)品中的用戶(hù)信息，而兩者的區(qū)別僅在于是否有法律支持與強(qiáng)制性。2015年底的蘋(píng)果與美國(guó)聯(lián)邦調(diào)查局關(guān)于解密加密手機(jī)爭(zhēng)端，加劇了執(zhí)法機(jī)構(gòu)是否可利用加密數(shù)字產(chǎn)品“后門(mén)”的討論白熱化。對(duì)此，西方國(guó)家情報(bào)與執(zhí)法機(jī)構(gòu)普遍開(kāi)始尋求在法律上取得突破，利用漏洞執(zhí)法合法化上的趨勢(shì)越來(lái)越明顯[21]。《漏洞裁決政策和程序》正是美國(guó)政府謀求情報(bào)與執(zhí)法機(jī)構(gòu)利用漏洞合法化的產(chǎn)物，為后續(xù)發(fā)展更加完備的漏洞管控體系做準(zhǔn)備。

3.4 固化漏洞管理中政府的主導(dǎo)作用，推動(dòng)VEP成為國(guó)際規(guī)則

雖然目前各界觀察者對(duì)于新版《漏洞公平裁決政策和程序》中有關(guān)規(guī)制漏洞的定義、例外情形的擴(kuò)大以及參考要素的考量等仍存質(zhì)疑，但是普遍認(rèn)為新版《漏洞公平裁決政策和程序》的發(fā)展方向總體向好，特別是對(duì)美國(guó)政府在管理漏洞中的主導(dǎo)作用表示認(rèn)可[22]，有利于規(guī)范零日漏洞市場(chǎng)亂象。值得注意的是，美國(guó)政府將新版《漏洞公平裁決政策和程序》看作是建立面向全球的漏洞管理規(guī)程的重要一步，并呼吁英國(guó)、荷蘭、瑞典、法國(guó)、德國(guó)、澳大利亞、加拿大等合作伙伴像美國(guó)一樣建設(shè)自己的VEP機(jī)制[23]，以此作為建設(shè)成為負(fù)責(zé)任網(wǎng)絡(luò)空間行為體的必要條件，美國(guó)推動(dòng)VEP程序成為國(guó)際網(wǎng)絡(luò)規(guī)則的意愿進(jìn)一步凸顯。

4 啟示與建議

從上世紀(jì)七十年代在美國(guó)南加州大學(xué)最早開(kāi)展漏洞挖掘和分析研究[24]，到21世紀(jì)初發(fā)布《漏洞分析框架》并成立全球最大的國(guó)家漏洞庫(kù)[25]，再到2015年修改《瓦森納協(xié)定》對(duì)零日漏洞進(jìn)行出口管控，美國(guó)不斷完善漏洞管控的政策體系，此次發(fā)布《漏洞公平裁決政策和程序》將進(jìn)一步完善漏洞處理生態(tài)系統(tǒng)[26]，對(duì)美國(guó)乃至全球網(wǎng)絡(luò)治理都將產(chǎn)生重要影響。與此同時(shí)，我國(guó)漏洞分析工作經(jīng)過(guò)幾年的探索和嘗試，在基礎(chǔ)理論、技術(shù)工具、挖掘評(píng)估以及標(biāo)準(zhǔn)規(guī)范等方面均積累了一定的經(jīng)驗(yàn)和方法，特別是2009年我國(guó)的國(guó)家信息安全漏洞庫(kù)（CNNVD）正式運(yùn)營(yíng)上線，在信息安全漏洞收集、重大漏洞信息通報(bào)、高危漏洞安全消控、信息安全標(biāo)準(zhǔn)化建設(shè)等方面發(fā)揮了重要作用。但是較之于急速發(fā)展的網(wǎng)絡(luò)化時(shí)代和日趨嚴(yán)峻的信息安全形勢(shì)，我國(guó)漏洞分析工作還有待突破和創(chuàng)新：一是法規(guī)缺失。目前我國(guó)漏洞管理相關(guān)條文僅在《網(wǎng)絡(luò)安全法》、《國(guó)家安全法》等有所體現(xiàn)，漏洞管理專(zhuān)門(mén)配套法規(guī)還未成型，這與漏洞的戰(zhàn)略地位嚴(yán)重不匹配；二是標(biāo)準(zhǔn)滯后?！缎畔踩夹g(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》、《信息安全技術(shù)信息安全漏洞管理規(guī)范》、《信息安全技術(shù)安全漏洞等級(jí)劃分指南》、《信息安全技術(shù)安全漏洞分類(lèi)規(guī)范》等漏洞相關(guān)標(biāo)準(zhǔn)制定已有時(shí)日，未涉及漏洞挖掘、零日漏洞管理等新問(wèn)題，難以適應(yīng)當(dāng)前信息安全形勢(shì)；三是管理不足。目前國(guó)內(nèi)相關(guān)企業(yè)紛紛建立漏洞平臺(tái)，積極開(kāi)展與漏洞處置相關(guān)的工作，但是受互聯(lián)網(wǎng)自由思想的影響，存在個(gè)別黑客或安全公司濫用漏洞、隨意發(fā)布漏洞以及地下網(wǎng)絡(luò)黑色產(chǎn)業(yè)膨脹等諸多亂象。因此，亟需從國(guó)家層面統(tǒng)一管控好漏洞這一極其敏感又關(guān)鍵的安全資源。

4.1 加強(qiáng)漏洞管理機(jī)制建設(shè)

目前，我國(guó)漏洞管理工作已有相關(guān)的制度安排與基礎(chǔ)投入，《網(wǎng)絡(luò)安全法》也對(duì)漏洞工作作出相關(guān)規(guī)定，因此當(dāng)務(wù)之急是要進(jìn)一步發(fā)揮職能部門(mén)的作用，充分發(fā)揮已建成的國(guó)家級(jí)漏洞庫(kù)作用，整合各方漏洞信息，進(jìn)行直接管理、統(tǒng)一管控，提升國(guó)家整體的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力。

4.2 加快漏洞研究能力建設(shè)

我國(guó)目前的漏洞研究和搜集體系已初具規(guī)模，但在高危漏洞挖掘與收集、漏洞利用與開(kāi)發(fā)等方面與發(fā)達(dá)國(guó)家存在差距，需繼續(xù)加強(qiáng)漏洞研究能力的建設(shè)工作，包括：漏洞挖掘與分析能力建設(shè)、漏洞修補(bǔ)與風(fēng)險(xiǎn)評(píng)估能力建設(shè)、漏洞利用與開(kāi)發(fā)能力建設(shè)等。

4.3 提高漏洞規(guī)制國(guó)際話語(yǔ)權(quán)

在漏洞威脅全球網(wǎng)絡(luò)安全、漏洞管理亂象突出的背景下，漏洞已引發(fā)越來(lái)越多國(guó)家的重視，并將其作為網(wǎng)絡(luò)安全中的重點(diǎn)規(guī)制對(duì)象。作為網(wǎng)絡(luò)大國(guó)，我國(guó)在漏洞管理上已積累豐富的經(jīng)驗(yàn)和教訓(xùn)，對(duì)此我國(guó)應(yīng)發(fā)揮優(yōu)勢(shì)強(qiáng)化漏洞工作體系，積極作為擴(kuò)大國(guó)際話語(yǔ)權(quán)，在國(guó)際規(guī)制中提出中國(guó)方案，促成漏洞管理的共建共治共享。在此過(guò)程中，要充分借鑒美國(guó)在漏洞管理中的先進(jìn)經(jīng)驗(yàn)，加強(qiáng)與美國(guó)在漏洞管理上的合作，努力將其打造為中美網(wǎng)絡(luò)安全合作的著力點(diǎn)與突破點(diǎn)。

[1]White House.Vulnerabilities Equities Policy and Process for the United States Government[EB/OL].(2017-11-15) .https∶//www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20 FINAL.PDF.

[2]Chris Jaikaran,Vulnerabilities Equities Process,Congressional Research Service[EB/OL].(2017-02-17). https∶//lieu.house.gov/sites/lieu.house.gov/files/CRS%20Memo%20-%20 Vulnerabilities%20Equities%20Process.pdf.

[3]White House.Vulnerabilities Equities Policy and Process for the United States Government[EB/OL].( 2017-11-15).https∶//www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20 FINAL.PDF.

[4]George W. Bush Administration, "Cybersecurity Policy"[EB/OL].(2003-04-03).https∶//georgewbush-whitehouse.archives.gov/infocus/bushrecord/documents/Policies_of_the_Bush_Administration.pdf.

[5]FANDOM.Homeland Security Presidential Directive 23[EB/OL].(2017-12-03).http∶//itlaw.wikia.com/wiki/Homeland_Security_Presidential_Directive_23.

[6]White House.The Comprehensive National Cybersecurity Initiative[EB/OL]. (2010-09-01).https∶//nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-034.pdf. September 1，2010.

[7]Electronic Frontier Foundation ,Exhibit C∶ Classified Declaration of James B.Richberg, Office of the Director of National Intelligence[EB/OL]. (2016-01-18).https∶//www.eff.org/files/2016/01/18/37-4_richberg_declaration_ocr.pdf.

[8]Electronic Frontier Foundation ,Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process[EB/OL]. (2015-09-04).https∶//www.eff.org/files/2015/09/04/document_71_-_vep_ocr.pdf.

[9]Michael Riley.NSA Said to Exploit Heartbleed Bug for Intelligence for Years. Bloomberg L.P. [EB/OL].(2014-04-12).http∶//www.thanhniennews.com/education-youth/nsa-said-to-exploitheartbleed-bug-for-intelligence-foryears-25258.html.

[10]Michael Daniel.Heartbleed∶ Understanding When We Disclose Cyber Vulnerabilities[EB/OL].(2014-04-28).https∶//obamawhitehouse.archives.gov/blog/2014/04/28/heartbleedunderstanding-when-we-disclose-cybervulnerabilities.

[11]EFF v. NSA, ODNI - Vulnerabilities FOIA[EB/OL].(2017-12-03).https∶//www.eff.org/cases/eff-v-nsa-odni-vulnerabilities-foia.

[12]Michael Daniel.Heartbleed∶ Understanding When We Disclose Cyber Vulnerabilities[EB/OL].(2014-04-28).https∶//obamawhitehouse.archives.gov/blog/2014/04/28/heartbleedunderstanding-when-we-disclose-cybervulnerabilities.

[13]Kim Zetter.US Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies,Wired[EB/OL].(2014-11-17).https∶//www.wired.com/2014/11/michael-daniel-no-zero-daystockpile/.

[14]Ari Schwartz and Rob Knake.Government’s Role in Vulnerability Disclosure[EB/OL]. (2016-06-30).http∶//www.belfercenter.org/sites/default/files/legacy/files/vulnerability-disclosure-webfinal3.pdf.

[15]Andi Wilson, Ross Schulman, Kevin Bankston and Trey Herr.Bugs in the System[EB/OL].(2016-07-28).https∶//www.newamerica.org/oti/policy-papers/bugs-system/.

[16]The President’s Review Group on Intelligence and Communications Technologies, Liberty and Security in a Changing World[EB/OL].(2013-12-12). https∶//obamawhitehouse.archives.gov/sites/default/files/docs/2013-1212_rg_final_report.pdf.

[17]Rob Joyce.Improving and Making the Vulnerability Equities Process Transparent is the Right Thing to Do，White House[EB/OL].(2017-11-15). https∶//www.whitehouse.gov/articles/improving-making-vulnerabilityequities-process-transparent-right-thing/.

[18]中國(guó)新聞網(wǎng).勒索病毒橫行引發(fā)互聯(lián)網(wǎng)危機(jī)如何防范‘想哭’？ [EB/OL].(2017-12-03).http∶//news.xinhuanet.com/world/2017-05/17/c_129606008.htm.

[19]鄭國(guó)儀.中國(guó)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞速度有多快？美媒：領(lǐng)先美國(guó)20天[EB/OL].(2017-12-03).http∶//news.xinhuanet.com/world/2017-10/24/c_129725629_2.htm.

[20]林小春.美國(guó)安局長(zhǎng)：加密數(shù)字產(chǎn)品應(yīng)給政府留‘前門(mén)’[EB/OL].(2017-12-04).http∶//tech.sina.com.cn/i/2015-02-24/docicczmvun6257180.shtml.

[21]Robert Hannigan, How Britain’s GCHQ Decides Which Secrets to Share with You[EB/OL].(2017-11-19). https∶//www.thecipherbrief.com/column_article/britains-gchq-decides-secrets-share.Shaun Waterman, Responsible vulnerability disclosure is becoming an international norm,September19,2017.https∶//www.cyberscoop.com/vep-international-responsible-disclosurecanada-uk-netherlands/.

[22]Jennifer Stisa Granick.Trump’s New Cybersecurity Rules Are Better Than Obama’s[EB/OL].(2017-11-27).ACLU.https∶//www.aclu.org/blog/privacy-technology/internetprivacy/trumps-new-cybersecurity-rules-arebetter-obamas.

[23]Jason Healey.The US Government and Zero-Day Vulnerabilities∶from pre-heartbleed to shadow brokers,Journal of International Affairs[EB/OL].(2016-11-30).https∶//jia.sipa.columbia.edu/online-articles/healey_vulnerability_equities_process.

[24]劉劍,蘇璞睿,楊珉,等.軟件與網(wǎng)絡(luò)安全研究綜述[J].軟件學(xué)報(bào),2017(07)∶1-25.

[25]楊詩(shī)雨,郝永樂(lè).強(qiáng)化漏洞管控機(jī)制,加快國(guó)家漏洞庫(kù)建設(shè)[J].中國(guó)信息安全,2016(07)∶63-67.

[26]Andi Wilson, Ross Schulman, Kevin Bankston and Trey Herr.Bugs in the System[EB/OL].(2016-07-28).https∶//www.newamerica.org/oti/policy-papers/bugs-system/.