漏洞信息或成戰(zhàn)略資源

《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報告(2016)》顯示：截至2015年12月底，中國網(wǎng)站總量達(dá)到426.7萬余個；而由于各種各樣安全漏洞的存在，網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢。

“信息技術(shù)的迅速發(fā)展促進(jìn)了計(jì)算機(jī)規(guī)模的膨脹，增加了個人、企業(yè)乃至社會和國家對網(wǎng)絡(luò)安全的需求?！诿弊印颐弊印壤寐┒催M(jìn)行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明，網(wǎng)絡(luò)風(fēng)險的泛在性使得安全成為普遍性的問題，‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞、升級系統(tǒng)的重要途徑，在維護(hù)信息系統(tǒng)方面的作用不可替代?！秉S道麗說。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰也表示，2009年以后，多家漏洞報告平臺的陸續(xù)成立，如補(bǔ)天平臺、烏云網(wǎng)、漏洞盒子，“白帽子”發(fā)現(xiàn)并上報漏洞已經(jīng)成為整個漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

網(wǎng)絡(luò)安全漏洞關(guān)系到企業(yè)和個人的信息安全，甚至涉及國家安全。“發(fā)達(dá)國家早已把漏洞信息當(dāng)作一種戰(zhàn)略資源?！敝x永江表示。

比如2013年，世界主要工業(yè)設(shè)備和武器制造國在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定，零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險武器出口條約的規(guī)范對象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權(quán)”，相應(yīng)的用于入侵計(jì)算機(jī)系統(tǒng)的軟件、硬件設(shè)備和組件也受到同等限制。2015年5月20日，美國工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實(shí)草案，其中就規(guī)定，禁止在不同的國家之間互通漏洞信息。據(jù)此，美國企業(yè)或個人向境外廠商報告漏洞情況被視為一種出口行為，需預(yù)先申請政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應(yīng)用價值，我認(rèn)為，可以在國家層面建立漏洞信息庫，收購企業(yè)以及包括’白帽子‘在內(nèi)的個人發(fā)現(xiàn)的漏洞，在網(wǎng)絡(luò)戰(zhàn)爭日益成為現(xiàn)實(shí)的情況下，未雨綢繆，做好技術(shù)儲備工作?！敝x永江建議。

漏洞信息的挖掘與保護(hù)也得到了我國政府的關(guān)注。4月19日，國家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上強(qiáng)調(diào)，“要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險報告機(jī)制、情報共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律、動向、趨勢。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來，龍頭企業(yè)要帶頭參加這個機(jī)制?！甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢能力”的重要內(nèi)容，寫入我國《國家信息化發(fā)展戰(zhàn)略綱要》。

謝永江透露，中國網(wǎng)絡(luò)空間安全協(xié)會目前正在籌建中，將來也會成立分會，對包括“白帽子”問題、安全漏洞的法律定位等進(jìn)行專門研究。

徐小康 汪文濤