漏洞信息或成戰(zhàn)略資源

《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016)》顯示：截至2015年12月底，中國(guó)網(wǎng)站總量達(dá)到426.7萬(wàn)余個(gè)；而由于各種各樣安全漏洞的存在，網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng)、竊取用戶有價(jià)值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢(shì)。

“信息技術(shù)的迅速發(fā)展促進(jìn)了計(jì)算機(jī)規(guī)模的膨脹，增加了個(gè)人、企業(yè)乃至社會(huì)和國(guó)家對(duì)網(wǎng)絡(luò)安全的需求?！诿弊印颐弊印壤寐┒催M(jìn)行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明，網(wǎng)絡(luò)風(fēng)險(xiǎn)的泛在性使得安全成為普遍性的問(wèn)題，‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞、升級(jí)系統(tǒng)的重要途徑，在維護(hù)信息系統(tǒng)方面的作用不可替代。”黃道麗說(shuō)。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰也表示，2009年以后，多家漏洞報(bào)告平臺(tái)的陸續(xù)成立，如補(bǔ)天平臺(tái)、烏云網(wǎng)、漏洞盒子，“白帽子”發(fā)現(xiàn)并上報(bào)漏洞已經(jīng)成為整個(gè)漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

網(wǎng)絡(luò)安全漏洞關(guān)系到企業(yè)和個(gè)人的信息安全，甚至涉及國(guó)家安全?！鞍l(fā)達(dá)國(guó)家早已把漏洞信息當(dāng)作一種戰(zhàn)略資源。”謝永江表示。

比如2013年，世界主要工業(yè)設(shè)備和武器制造國(guó)在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定，零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險(xiǎn)武器出口條約的規(guī)范對(duì)象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權(quán)”，相應(yīng)的用于入侵計(jì)算機(jī)系統(tǒng)的軟件、硬件設(shè)備和組件也受到同等限制。2015年5月20日，美國(guó)工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實(shí)草案，其中就規(guī)定，禁止在不同的國(guó)家之間互通漏洞信息。據(jù)此，美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況被視為一種出口行為，需預(yù)先申請(qǐng)政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應(yīng)用價(jià)值，我認(rèn)為，可以在國(guó)家層面建立漏洞信息庫(kù)，收購(gòu)企業(yè)以及包括’白帽子‘在內(nèi)的個(gè)人發(fā)現(xiàn)的漏洞，在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)日益成為現(xiàn)實(shí)的情況下，未雨綢繆，做好技術(shù)儲(chǔ)備工作?！敝x永江建議。

漏洞信息的挖掘與保護(hù)也得到了我國(guó)政府的關(guān)注。4月19日，國(guó)家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，“要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來(lái)，龍頭企業(yè)要帶頭參加這個(gè)機(jī)制?！甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)能力”的重要內(nèi)容，寫(xiě)入我國(guó)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》。

謝永江透露，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)目前正在籌建中，將來(lái)也會(huì)成立分會(huì)，對(duì)包括“白帽子”問(wèn)題、安全漏洞的法律定位等進(jìn)行專門(mén)研究。

徐小康 汪文濤