中美网络安全漏洞披露与共享政策研究

曹婉莹 曹旭栋 葛平原 张玉清,

1(中国科学院大学计算机科学与技术学院 北京 100049)

2(海南大学网络空间安全学院 海口 570228)

1 网络安全漏洞

近年来,随着软件规模的不断扩大,针对各种软件的漏洞攻击也不断涌现.利用网络安全漏洞实施攻击的安全事件在全球范围内频发,给网络空间安全带来不可逆的危害[1],如攻击者可以通过恶意攻击破坏计算机的正常功能,窃取敏感信息等[2].随着网络空间战略地位不断凸显,网络空间对抗主体呈现国家化趋势.美国等发达国家积极推进网络空间军事化,组建专门的网络作战部队,发展先进的网络武器[3].因此,网络安全漏洞成为国家的一个重要网络战略资源,国家的漏洞共享以及漏洞披露的政策也成为人们重点研究的内容.

1.1 网络安全漏洞的分类

安全漏洞是指计算机系统中存在的缺陷、弱点或故障.这些缺陷、弱点或故障分布于计算机系统的各个层次.网络安全漏洞具有多方面的属性,安全漏洞产生或触发的原因也不尽相同.当下,网络安全研究人员对于软件安全漏洞的分类也有不同的方式.司群[4]根据安全漏洞的技术维度将其分为基于利用位置的漏洞、基于威胁分类的漏洞和基于技术类型的漏洞3类;徐宏昌[5]则将软件安全漏洞整体分为功能性漏洞和安全性漏洞;赵尚儒等人[6]统计了当前漏洞自动化利用研究中常见的漏洞类型,将安全漏洞大致分类为内存破坏类、Web注入类、参数篡改漏洞、安卓意图欺骗和信息泄露等漏洞类型.

此外,漏洞与时间紧密相关,通常漏洞从发现到解决过程中,存在漏洞发现、漏洞信息公布和漏洞修复3个重要的时间点.根据漏洞公布时间的不同,安全漏洞也可以分为0-day,1-day,n-day漏洞.0-day漏洞是危害最大的漏洞,也是对攻击者最有价值的漏洞,一般只被发现此安全漏洞的人掌握漏洞信息,而未被软件厂商修复;1-day漏洞是指刚公布的漏洞或公布后在短期内打补丁的漏洞;n-day漏洞是指安全漏洞已经被公布n天,其利用价值相对较低.

1.2 网络安全漏洞的评估

漏洞条目的严重性可以通过很多方式来评估,不同漏洞库存在专属的漏洞严重性评估方案.目前国际上主流的信息安全漏洞等级划分系统是通用漏洞评分系统(common vulnerability scoring system, CVSS),该系统在评估漏洞严重性时涵盖了基本评价、生命周期评价和环境评价3种类型的评价分数.每个评价类型也包含多个细分的评价指标,以便确定漏洞的紧急度和重要度,保证漏洞修复的及时性.

2 公共漏洞数据库

公共漏洞数据库的出现推进了漏洞披露和修复的研究步伐,绝大多数安全研究人员基于该类平台提交漏洞信息,其中最具影响力的是通用漏洞披露(common vulnerabilities and exposures, CVE)与美国国家漏洞数据库(national vulnerability database, NVD).

我国也有一些公共漏洞数据库,如国家信息安全漏洞共享平台、中国国家信息安全漏洞库、国家计算机网络入侵防范中心等,其秉持着降低漏洞可能带来的风险、努力使社会大众和用户获得有效的网络安全防护的目的,履行漏洞分析评估确定以及风险评估职能.

3 网络安全漏洞披露

网络安全漏洞披露是安全漏洞信息共享的重要环节,用于描述与接收漏洞报告和提供漏洞补救信息相关的活动.正确、高效的安全漏洞披露能够在一定程度上减少漏洞传播的范围,而恶意或非法的安全漏洞披露则为攻击者提供了可利用的攻击工具.网络安全漏洞披露已经成为网络安全风险控制的中心环节,对于降低风险和分化风险起着至关重要的作用.

3.1 安全漏洞披露形式

网络安全漏洞披露通常表现为以下4种形式:

1) 不披露.

不披露是指在发现安全漏洞时,既不向厂商汇报也不向相关公共漏洞数据库报告,安全漏洞在不披露时很容易发展为0-day漏洞,危害国家网络安全的发展.

2) 完全披露.

完全披露与不披露正好相反,漏洞发现者不给厂商充足的时间进行漏洞修复,而是在发现漏洞后就立即公开.

3) 负责任披露.

负责任披露是指漏洞发现者本着负责任的态度与厂商汇报安全漏洞,其兼顾了厂商和用户的利益,是一种较为中立的安全漏洞披露方式.

4) 协同披露.

协同披露鼓励漏洞发现者、厂商与相关安全机构共享漏洞信息,协同配合,积极处理网络安全漏洞,共同保障公共利益与国家的安全[7].

3.2 中国安全漏洞披露

高效的网络安全漏洞共享离不开网络安全漏洞的正确披露,我国有特定的安全漏洞披露流程.工业和信息化部、国家互联网信息办公室和公安部联合发布的《网络产品安全漏洞管理》[8]的安全漏洞披露流程如下:

1) 从事网络产品安全漏洞发现、收集、发布等活动的组织或个人在发现漏洞后需向对应的境内网络产品提供者汇报;

2) 境内网络产品提供者在获知或自身发现所提供产品存在安全漏洞后,进行以下操作:

① 验证安全漏洞,评估安全漏洞的危害程度及影响范围;

② 立即通知存在安全漏洞的相关上游产品或组件的提供者;

③ 2日内向工业和信息化部网络安全威胁和漏洞信息共享平台[9]报送存在网络产品安全漏洞的产品名称、型号和版本等漏洞信息;

④ 及时修补存在网络安全漏洞的产品,对于需要产品使用者采取软件、固件升级等措施时,将网络产品安全漏洞风险及修补方式告知可能受影响的用户并提供必要的技术支持;

3) 最终,工业和信息化部网络安全威胁和漏洞信息共享平台会同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息,本文认为其属于协同披露.

3.3 美国安全漏洞披露

为了有效应对日益加剧的安全漏洞威胁,美国国土安全部网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)在发布的cybersecurity incident &vulnerability response playbooks中规范了网络安全漏洞和事件响应程序的网络安全漏洞事件披露与响应阶段过程和完成情况,包括准备、检测、分析、遏制、消除、恢复等[10].这些事件可以由以下几种类型的事件发起,包括但不限于:

1) 自动检测系统或传感器安全警报;

2) 机构用户报告;

3) 承包商或第三方信息与通信技术服务提供商报告;

4) 内部或外部组织组件的事件披露或态势感知更新;

5) 已知受损基础设施的网络活动、恶意代码检测等的第三方报告;

6) 识别潜在恶意或其他未经授权活动的分析团队.

若在5)中检测到安全事件则向网络安全和基础设施安全局声明报告,并提醒相关机构进行调查和响应,在此过程中声明报告是指与CISA和代理网络维护者沟通,而不是根据适用法律和政策的规定正式声明重大漏洞事件.

3.4 中美2国安全漏洞披露比较

针对加强国家网络安全的要求,中美2个国家都对网络安全漏洞的披露做了指南和规范.但是中美2国的披露重点存在差异,中国侧重于明确网络安全相关从业者及厂商在发现漏洞后的具体操作方法;美国侧重于规范政府机构应对紧急和高优先级漏洞时应遵循的流程.美国制定了一套标准程序,在重大事件发生之前作好充足的准备和记录,在处理漏洞披露的各个阶段需要做的工作清晰明确.虽然我国在此安全漏洞披露流程中没有对后期漏洞响应作详尽的规定,但是我国的相关规定给出了漏洞上报的具体时限以及漏洞披露的相关信息,如产品名称、型号和版本等,并要求网络产品提供者及时进行补丁修复.

4 安全漏洞共享

安全漏洞共享是指网络安全厂商、网络安全机构、网络安全研究人员、国家等主体之间的漏洞安全信息共享,本节主要分析了中国和美国的安全漏洞共享规定.

4.1 中国安全漏洞共享规定

我国对于漏洞共享也作了强制规定,网络产品安全漏洞管理规定[8]中第9条指出:

1) 网络产品安全漏洞发现、收集的组织或者个人不得在境内网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息.

2) 如有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布.

3) 同时,明确规定对于漏洞发现、收集的组织或个人,不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况,也不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具.除此以外,在国家举办重大活动期间,在未经公安部同意的情况下不得擅自发布网络产品安全漏洞信息.

4) 对于境内网络产品提供者,在发现或者获知所提供网络产品存在安全漏洞后,必须在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等.

5) 如果满足发布条件,在发布网络产品安全漏洞时,应当同步发布修补或者防范措施.

6) 此外,网络产品安全漏洞发现、收集的组织或者个人不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供.

4.2 美国安全漏洞共享规定

2021年,美国商务部工业与安全局(The Bureau of Industry and Security, BIS)基于2017年《瓦森纳协定》中关于网络安全条目出口管制项的修正结论发布Information Security Controls: Cybersecurity Items规定. 规定出于国家安全和反恐的原因,对授权网络安全出口许可例外(authorize cybersecurity exits, ACE)以及出口管理条例(Export Administration Regulations, EAR) 进行更改.

该规定将全球国家分为A,B,D,E这4类,网络安全相关限制措施和严格程度逐步递增,我国被分为D类[11],即最受关注、限制国家和地区.如图1所示,规定对部分密码分析项目、网络渗透工具、自动化网络漏洞分析和响应工具制定新的控制措施,以及定义新的授权网络安全出口许可例外, 未明确地声明禁止向我国进行安全漏洞分享.

图1 BIS对部分网络安全项目的出口限制

美国商务部工业和安全局发布的Information Security Controls: Cybersecurity Items规定[12]指出,美国在与D类国家和地区的政府最终用户进行合作时,必须要提前申请,获得许可后才能共享网络安全项目信息,如图2所示.

图2 BIS与其他国家政府最终用户合作的前提

这里的“政府最终用户”是指提供任何政府职能或服务的国家、地区或地方部门、机构或实体,包括代表此类实体行事的实体或个人,其包括但不限于国际政府组织和政府经营的研究机构,但不包括表1的人员.

表1 优待网络安全最终用户

如图3所示,对于政府最终用户,授权网络安全许可例外仅授权部分场景的出口和再出口、或转让,主要包含表1用户、国家的警察或者司法机构、国家计算机安全事件应急响应小组以及用于刑事或民事调查或起诉的网络安全事件.

图3 D类国家和地区的授权网络安全出口许可例外

对于D:1组或D:5组[11]国家的“非政府最终用户”允许出口,但是不包括针对表1用户进行部分规定中定义的网络安全条目、漏洞披露或网络事件响应的出口.简单来说,中国政府最终用户将无法直接获得美国软件供应商提供的涉及“入侵软件”的“网络安全条目”或“数字组件”的漏洞信息以及网络事件响应相关的信息[13].

4.3 中美2国漏洞共享比较

对于漏洞共享,美国重点关注政府最终用户的有关入侵软件的漏洞共享,而我国则强调在提供网络产品安全漏洞修补措施之前尽可能不共享漏洞信息.如有特殊情况,则需向工业和信息化部、公安部报告,其规定了漏洞共享的具体对象,且在大多数情况下,漏洞本身的信息与修补措施是一起共享,在一定程度上防止恶意攻击者利用漏洞.美国出于国家安全和反恐考虑,对于部分网络漏洞分析和响应工具作了限制,在一定程度有利于维护国家安全,但从长远来看,美国将无法从实力强劲的其他国家政府最终用户获取相关信息.

5 安全漏洞共享案例

工业和信息化部与工信部网络安全威胁信息共享平台、网络安全厂商协同工作进行漏洞披露,以寻找能够降低安全漏洞安全风险的解决方案[14].然而,作为工业和信息化部的合作单位之一,阿里云计算有限公司(以下简称“阿里云”)在2021年底却因未有效支撑有关部门进行漏洞管理而受到处罚.

2021年12月,据工信部网络安全管理局通报,阿里云在发现Apache Log4j2组件的严重安全漏洞隐患后,遂以邮件方式向总部位于美国的软件开发方Apache的开源社区报告了这一问题以请求帮助,但未及时向国内电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理.经研究,工信部网络安全管理局最终决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月[15].

在Apache安全团队发布的用户指南中,Apache安全团队对于漏洞披露过程有详细的披露流程,其过程可以概述为:

1) 报告人向Apache安全团队报告发现的漏洞;

2) 相应项目的安全团队与报告者合作解决漏洞;

3) 对受漏洞影响的软件包进行修复并发布新版本;

4) 公开宣布发现的漏洞并描述如何应用修复程序.

根据Apache安全团队在其官网发布的用户指南[16],阿里云第一时间通过邮件的形式向Apache提交了漏洞报告,这一行为是被Apache所提倡的.阿里云表示因其在早期并未意识到该漏洞的严重性,未及时和国内相关单位共享漏洞信息,之后将强化漏洞报告管理,提升合规意识,积极协同各方做好网络安全风险防范工作.

6 总 结

尽管近年来我国在网络安全漏洞立法方面取得了积极进展,但相较一些发达国家仍存在一些差距,美国等国家相关政策经验以及一些国内的安全漏洞披露与共享案例可以提供有价值的参考和启发.

综合来看,目前我国安全漏洞管理规定中,对责任、时间要素等规定不明确.如没有考虑国内厂商收到白帽子上报漏洞后,并不愿意事后披露或者尽可能推延的情况.针对此问题,可以参考国际通用的漏洞披露规定,如在上报45天后,漏洞发现者可以自行公布漏洞等等.此外,对于我国漏洞披露规定中提到的及时修补存在网络安全漏洞的产品,应作更详尽的规定和要求,如可以规定具体的时间限制.

对于我国漏洞共享的相关规定,可以在4.1节4)的基础上进一步明确主体角色的定义,并考虑漏洞从提交到修复的详细要求等.如针对《网络产品安全漏洞管理规定》,可以更加清晰地明确“网络产品提供者”这一角色的定义,其不仅应表示在一个安全漏洞的生命周期中“存在漏洞或被攻击”的厂商主体,还应表示任何该漏洞知情方中同样对于国内用户扮演厂商角色的境内外组织或企业.

另外,我国应在此基础上提高面临形势复杂多样网络安全漏洞的能力,增强安全意识的紧迫感;在宣传上,持续办好网络安全宣传周,增加网络攻防演习比赛的规模和次数;培养更多的专业型人才;对于漏洞库,也应该更加专业地对其进行分类、分级评估.

7 结 语

随着软件规模的不断扩大,漏洞安全研究面临着较大挑战,安全漏洞披露与共享政策也在一定程度上减少了漏洞传播的范围.本文简单地对中国与美国的国家安全漏洞披露与共享政策进行了总结,以便于安全从业者了解相关规定,遵循正确的流程进行安全漏洞披露与共享以及进行漏洞的高效修复,构造安全、清朗的网络环境.