漏洞信息或成戰(zhàn)略資源

《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016)》顯示：截至2015年12月底,，中國(guó)網(wǎng)站總量達(dá)到426.7萬(wàn)余個(gè),；而由于各種各樣安全漏洞的存在,，網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng),、竊取用戶有價(jià)值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢(shì),。

“信息技術(shù)的迅速發(fā)展促進(jìn)了計(jì)算機(jī)規(guī)模的膨脹,，增加了個(gè)人、企業(yè)乃至社會(huì)和國(guó)家對(duì)網(wǎng)絡(luò)安全的需求,?！诿弊印颐弊印壤寐┒催M(jìn)行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明,，網(wǎng)絡(luò)風(fēng)險(xiǎn)的泛在性使得安全成為普遍性的問(wèn)題,，‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞、升級(jí)系統(tǒng)的重要途徑,，在維護(hù)信息系統(tǒng)方面的作用不可替代,。”黃道麗說(shuō),。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰也表示,，2009年以后，多家漏洞報(bào)告平臺(tái)的陸續(xù)成立,，如補(bǔ)天平臺(tái),、烏云網(wǎng)、漏洞盒子,，“白帽子”發(fā)現(xiàn)并上報(bào)漏洞已經(jīng)成為整個(gè)漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié),。

網(wǎng)絡(luò)安全漏洞關(guān)系到企業(yè)和個(gè)人的信息安全，甚至涉及國(guó)家安全,?！鞍l(fā)達(dá)國(guó)家早已把漏洞信息當(dāng)作一種戰(zhàn)略資源?！敝x永江表示,。

比如2013年，世界主要工業(yè)設(shè)備和武器制造國(guó)在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定,，零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險(xiǎn)武器出口條約的規(guī)范對(duì)象,。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權(quán)”，相應(yīng)的用于入侵計(jì)算機(jī)系統(tǒng)的軟件,、硬件設(shè)備和組件也受到同等限制,。2015年5月20日,，美國(guó)工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實(shí)草案，其中就規(guī)定,，禁止在不同的國(guó)家之間互通漏洞信息,。據(jù)此，美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況被視為一種出口行為,，需預(yù)先申請(qǐng)政府許可,，否則將被視為非法。

“漏洞信息本身具有一定的應(yīng)用價(jià)值,，我認(rèn)為,，可以在國(guó)家層面建立漏洞信息庫(kù)，收購(gòu)企業(yè)以及包括’白帽子‘在內(nèi)的個(gè)人發(fā)現(xiàn)的漏洞,，在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)日益成為現(xiàn)實(shí)的情況下,，未雨綢繆，做好技術(shù)儲(chǔ)備工作,?！敝x永江建議。

漏洞信息的挖掘與保護(hù)也得到了我國(guó)政府的關(guān)注,。4月19日,，國(guó)家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，“要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制,、情報(bào)共享機(jī)制,、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律,、動(dòng)向,、趨勢(shì)。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,，把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來(lái),，龍頭企業(yè)要帶頭參加這個(gè)機(jī)制?！甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)能力”的重要內(nèi)容,，寫入我國(guó)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》。

謝永江透露,，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)目前正在籌建中,，將來(lái)也會(huì)成立分會(huì)，對(duì)包括“白帽子”問(wèn)題,、安全漏洞的法律定位等進(jìn)行專門研究,。

徐小康 汪文濤