(一)漏洞管理政策标准体系
1.政策法规
(1)国外文件
欧美国家不断加强漏洞管理顶层设计,通过制定相关政策法规文件,推动漏洞信息共享、漏洞披露的规范化,持续增强漏洞资源管控能力,重点体现在如下3个方面。
① 开展关键信息基础设施安全漏洞评估。国外将漏洞识别作为脆弱性和风险评估的重要内容,尤其是美国,一贯强调采用风险管理的理念和方法,要求对政府网络和关键信息基础设施中存在的脆弱性进行持续性评估和识别。例如,在政府行业,美国发布了《国土安全部漏洞法案》《国务院漏洞法案》等文件,设立漏洞奖励计划,鼓励公私合作,共同挖掘、收集和修补政府部门关键信息基础设施存在的安全漏洞;在国防工业领域,美国在年度《国防授权法案》中均明确要求对武器系统和国防工业关键信息基础设施进行安全评估,识别存在的安全漏洞,并采取措施对漏洞进行修复。此外,美国国会的《综合拨款法案》还要求为机场、港口等关键信息基础设施的安全评估工作提供资金支持,用于漏洞识别和修复工作。
② 制定严格的漏洞公开披露政策。国外对“零日”漏洞的公开披露极为重视,制定了严格的漏洞公开披露政策。2008年1月,美国首次提出建立“漏洞公平裁决程序”,以构建“零日”漏洞管控机制。2014—2016年,美国陆续发布了多个“漏洞公平裁决程序”相关文件。2017年11月,全新修订的《漏洞公平裁决政策和程序》发布,它细化了漏洞公开披露流程,公开了裁决考量因素,明确了政府的主导作用。2018年1月,美国通过《网络漏洞公开报告法案》正式明确漏洞管控的法律基础,这使漏洞管控体系得到了进一步完善。
③ 公私合作促进漏洞信息共享。以美国为代表的欧美国家出台了大量网络安全信息共享相关政策法规,建立了较为完备的网络安全信息共享机制,极大地促进了漏洞信息共享。此外,美国通过发布一系列操作指令,鼓励内部人员对联邦政府信息系统和关键信息基础设施进行漏洞挖掘和报告,引导他们及时解决漏洞问题。《网络安全信息共享法案》《2015年保护网络空间法案》《国家网络安全保护增强法案》等法案的出台,为公私合作开展漏洞收集、报送、共享、通报及修复等工作奠定了坚实的法律基础,有效地促进了漏洞信息共享,突出了漏洞的重要战略地位,提升了国家整体网络安全防范能力。《网络安全漏洞修复法案》要求美国国土安全部向产业界、学术界及其他机构、部门等传播和共享其安全漏洞识别与修复方案。
(2)国内文件
为贯彻落实《中华人民共和国网络安全法》(以下简称《网络安全法》),加强网络安全漏洞管理,规范网络安全漏洞报告和威胁信息发布等行为,有效应对网络安全威胁和风险,保障网络运行安全,我国在网络威胁管理方面出台了系列文件。这些文件是开展工业信息安全漏洞管理工作的基本遵循。
2019年11月20日,国家互联网信息办公室发布《网络安全威胁信息发布管理办法》(征求意见稿),对系统漏洞、网络风险等可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面对研究机构、网络安全厂商、个人研究者以及信息发布平台运营单位提出了具体要求。
2021年9月1日,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》(以下简称《规定》)正式实施,其中明确了联合监管职责,强调有关主管部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。《规定》细化了网络产品(含硬件、软件)提供者、网络运营者以及从事网络产品安全漏洞发现、报告、修补、发布等工作的组织或个人的责任主体义务;明确了漏洞发布时间、发布细节、安全行为、程序工具、安全措施同步、安全保障、对外提供和法律规定的其他安全漏洞发布要求以及个人及组织建立的漏洞收集平台向工业和信息化部网络安全威胁和漏洞信息共享平台报送信息的管理要求。为保障网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,《规定》要求网络产品提供者、网络运营者及第三方及时应对漏洞问题,推动了包括工业信息安全漏洞在内的网络产品安全漏洞管理工作的制度化、规范化、法治化。
2.标准规范
(1)国外标准
美国借助政府机构、社会组织等各方力量,持续完善、更新漏洞标准。基于相关政策标准的制定和美国国家计算机通用漏洞数据库(National Vulnerability Database,NVD)的建设,美国在漏洞管理方面已形成了完善的漏洞管理标准体系,并被全球多个国家和地区采用、借鉴。美国国家标准及技术协会(National Institute of Standards and Technology,NIST)、MITRE公司,以及事件响应与安全组织论坛(For Inspiration and Recognition of Science and Technology,FIRST)、国际标准化组织(International Standards Organization,ISO)、互联网安全中心(Center for Internet Security,CIS)等,相继推出了通用漏洞披露(Common Vulnerabilities and Exposures,CVE)、CVSS等12项标准,见表1-1。这12项标准涵盖了漏洞命名、评分、检测、管理等多个方面,其中多项标准已被国际电信联盟采纳。尤其是全球各主流漏洞库中所收录的安全漏洞都采用CVSS v2.1或CVSS v3的漏洞评分标准,依照通用缺陷枚举(Common Weakness Enumeration,CWE)标准进行漏洞成因分类,并在各自漏洞库特有编号的基础上标注CVE编号。
表1-1 美国漏洞相关标准
此外,美国还积极推动漏洞标准的广泛应用,如NIST推出安全内容自动化协议(Security Content Automation Protocol,SCAP)验证工具,用于自动测试验证厂商开发的产品是否符合SCAP的要求。基于SCAP,美国推出联邦桌面核心配置计划,为美国联邦政府所有运行Windows操作系统的计算机提供统一的安全配置方案,以增强联邦信息系统的安全能力,实现自动化安全管理,降低维护成本。
(2)国内标准
我国相继发布了《信息安全技术 网络安全漏洞标识与描述规范》(GB/T 28458—2020)、《信息安全技术 网络安全漏洞管理规范》(GB/T 30276—2020)、《信息安全技术 网络安全漏洞分类分级指南》(GB/T 30279—2020)等国家标准,为工业信息安全漏洞全生命周期管理、漏洞分类分级等提供了指导与依据。但目前我国在漏洞评分、漏洞报告等方面还缺少国家标准。
2022年,由国家工业信息安全发展研究中心牵头制定的《工业信息安全漏洞分类分级指南》团体标准正式发布,为工业领域的软硬件产品提供者、工业信息安全漏洞收集平台在漏洞管理、技术研究等活动中的漏洞分类和分级评估提供了参考。国家或企业级工业信息安全漏洞收集平台、工业信息安全软硬件产品和工业领域软硬件产品提供者均可参考该标准进行日常漏洞管理。