至于互连网空间漏洞国家管理的观看比赛与商量


要:
网络空间漏洞管理是个国家战略问题。因为网络空间漏洞是保障信息时代社会健康发展的基础,更被一些国家视为国家安全资源,漏洞管理需要公私全面的合作,需要国家倡导并构建一种宽松的战略文化环境。国际社会在该领域已经取得了共识,正在展开全面的战略实践,有很多方面值得我们借鉴。

词:
网络空间漏洞网络安全管理作者单位:知远战略与防务研究所国防大学一、网络空间漏洞及其管理的若干基本问题网络空间漏洞管理的社会本质是动态过程,目标是提升网络空间可用性网络空间漏洞是计算机系统的硬件和软件、网络通讯协议、网络系统安全策略方面存在的缺陷,攻击者能够在未得到授权的情况下,利用这些缺陷,访问网络,窃取数据或操控数据,或是瘫痪网络的功能,甚至是对网络系统制造物理性破坏。在商业世界,漏洞主要是因为计算机系统设计和操作中出现的错误所致,这些错误存在于从协议规范到物理硬件等各个信息系统层,能够造成信息的完整性、可获得性和保密性受损。这些错误通常存在于软件中,网络漏洞还可能是恶意用户故意编写和部署的自动恶意代码。美国国防部对“漏洞”的定义是,易受攻击性或利用信息安全系统设计、程序、实施或内部控制中的弱点,不经授权就可获得信息或进入信息系统。这里的关键词是“弱点”,是“系统缺陷或者脆弱性、威胁对系统缺陷的接入能力、攻击者利用系统缺陷的能力”三要素的交集。攻击者常常利用这些弱点来实现自己的目的。漏洞是现实世界向网络空间映射过程中的扭曲化表现,是从“用网”到“被用网”从而产生网络空间安全问题的根本,是影响信息化成果社会应用的主因。漏洞管理伴随着所有网络应用与服务的全过程,直接影响到网络服务的可用性。网络空间是“系统之系统”,网络中的单个漏洞可能会严重破坏一个机构的安全态势,这就是网络安全中的“短板效应”。理论上,任何系统或网络中的弱点都是可防范的。但是,前提是系统或网络中的弱点被发现,并且提出技术上可行的解决方案,并积极实施系统升级,修复漏洞,有时甚至需要放弃原有的系统设计架构,采用新型系统架构,从而提升网络安全。信息资产已经成为公司、公共机构、防务机构的重要资产,为了确保这些重要的信息系统及驻留其上的信息的安全,这些组织和机构就不得不建立健全的网络安全风险评估和管理制度。网络空间漏洞管理就是网络安全风险评估和管理制度的重要内容之一。网络空间漏洞管理是包括挖掘、识别、分类、披露、利用、修复等六大类相关过程的周期性实践过程。这个过程是不断循环往复的、迭代的,是不断积累计算机和网络系统安全技术,发现新的漏洞并进行分类,发布威胁信息,任何对网络系统进行整体升级的过程。在美国,商业部门、公共部门、国防部和各个军种都建立了完善的首席信息官制度,网络空间漏洞管理是首席信息官领导的网络安全体制的重要组成部分。网络空间漏洞管理的首要职能是减少漏洞,压缩已知漏洞的网络存在漏洞覆盖信息系统的三个领域:技术体系、业务架构和管理过程。三大类漏洞又普遍存在于公共因特网、国家关键信息基础设施、国家关键军事信息基础设施的中。因为用户的网络安全意识认识水平不一致,网络安全能力有限,导致这些设施中很多已知漏洞长期客观存在,无法全面及时修复。根据专业统计分析,网络空间威胁的90%来自现有利用网络空间的残留漏洞。所以网络空间漏洞管理的首要职能是加强漏洞披露与修补能力,减少已知漏洞的网络空间存在。网络空间漏洞管理的基本方式是公私合作,全面调动减少漏洞的能动性因为漏洞具有广泛性、隐蔽性、长久性、必然发现性[1],漏洞的管理过程涉及信息产业相关企业、社会用户和国家管理当局等三大类行为体。而各类行为主体内部以及相互之间又是一种利益博弈的关系。网络空间漏洞管理必须抓住这种关系的本质,从利益协调角度,疏导各类行为体在漏洞管理六类职能中的行为,通过法律、政策、制度,甚至是利益驱动,借以公私合作的方式,向网络空间提供高水平的、及时迅捷的漏洞管理能力。网络技术因军事运用而生,但是现在,私营公司成为网络技术发展和应用的主体,私营公司也是网络技术投资的主力,尖端的网络安全技术也掌握在互联网科技公司中。它们开发的产品在各种行业和领域广泛运用,它们也提供产品维护服务,针对自己的信息产品,信息科技公司都会不断发布补丁程序。而普通民众也是网络使用的主体,百姓日常生活中已经不能离开网络运用,那么在使用过程中,养成争取的网络安全使用习惯,正确配置自己的网络系统设置,及时安装补丁程序,更新系统,就能减少网络漏洞的威胁;而国家政府应该运用法律权力和行政监管手段,履行公共职能,标准化国家漏洞管理制度,加强网络安全技术教育,培养网络安全文化。网络空间漏洞管理的重要方向是漏洞利用,为国家安全提供非对称能力网络空间的基本特征就是战略非对称性,这导致网络空间各类行为体之间的敏感性和脆弱性同时并存。网络空间漏洞利用是凭借网络空间的这种战略非对称性,平衡国家在网络空间战略安全的基本方式。网络空间漏洞管理的这种态势是一种客观存在的事实,也是导致网络空间竞争激烈、网络空间军事化的一个基本驱动。但无论是对网络强国还是弱国,漏洞利用都必须“有理、有力、有节”。无原则的、单方面的强调漏洞利用无法获得持久的网络安全。网络空间漏洞利用政策是国家软实力的重要方面。网络空间漏洞管理的核心能力是漏洞挖掘,黑客文化需要正确管理引导网络空间漏洞管理的周期性实践过程,导致网络空间战略态势出现一定的周期性:一段时间将是进攻性网络行为占主导,一段时间则是防御性网络行为占主导,社会对两者的关注点在不断交替。但漏洞又称作攻击接口,是网络空间攻防两股力量交锋之所在。不断挖掘新的漏洞,以此主导网络攻防态势的演化发展趋势,是网络空间漏洞管理的核心能力。但该能力更加强调技术实力,是网络空间技术能力的全面表现。这种更加纯粹的技术问题不是通过简单的加大投资就能解决的,需要一定文化背景的支撑。这需要我们在诸如黑客世界所倡导的精神方面做出正确的选择。二、网络空间漏洞国家管理的基本实践网络空间漏洞战略管理已经成为国家安全领域的重要议题网络空间漏洞管理成为保障国家关键信息基础设施安全的基础。就美国来看,在克林顿时代,2000年《保护美国的网络空间–信息系统保护国家计划》十大项目的第一项就是识别关键资产和相互依赖性、应对漏洞。2000年的《新世纪国家安全战略》中也是突出强调漏洞对国家安全的重要性。小布什政府时期,从国家安全战略、国防战略、国家军事战略到军队的联合作战条令,只要涉及网络空间安全的,第一个强调的问题就是国家的漏洞管理。自2009年以后世界上很多国家开始在战略上制定网络安全国家战略,网络空间漏洞的国家管理都是其首要目标。通过多渠道构建漏洞库,加强漏洞信息的国家共享与披露机制欧美等发达国家对漏洞库的研究较早,并拥有了一批在国际上颇具影响力的漏洞库,如美国国家漏洞库[2]、美国US-cert[3]、澳大利亚的Aus-CERT、丹麦的Secunia、法国的VUPEN。这些漏洞库之间执行共同标准,相互合作,强调提供基于漏洞信息的工具和修复,有效支撑力漏洞信息的国家共享与披露。以美国为例,美国政府部门、安全组织、商业公司即各司其职又深入合作,各机构保持高度的信息共享,各机构的漏洞库互为补充,才组成一个完善的体系。国土安全部的US-cert广泛协同联邦各部门、安全组织和商业公司,发布详尽而权威的漏洞信息和公告。开放安全基金筹建的“开源漏洞库”,是一个独立和开源的漏洞库。赛门铁克公司的“SecurityFocus
漏洞数据库”公布的漏洞包含很多技术细节,广受技术人员和安全爱好者的青睐,该数据库活跃着全球众多安全团队的自身专家,是国际上许多漏洞库的数据来源。VeriSign公司的iDEFENSE
漏洞顾问数据库以期“VCP[4]”能持续高效的发现漏洞,掌握着相当数量的0day漏洞,使其能够提供有关系统隐藏的、先前未知的漏电的即时独特的见解。但是,在美国加强网络安全的实践过程中,事实证明网络安全威胁信息的分析并非易事。私营部门和政府部门都不愿意积极分享威胁信息,比如,一些公司遭受网络攻击以后,害怕信誉和形象受损,往往不愿意透露网络攻击事故,这样的隐而不报,就失去了共享网络漏洞等风险信息的机会;再比如,国家安全局也不愿意分享自己的网络安全威胁信息,因为会泄露自己的资源和方法。根据爱德华·斯诺登透露的信息,美国国家安全局的网络空间刺探活动很多都要依靠这些网络空间漏洞。目前美国政府部门在网络安全方面承担了积极的责任:国土安全部已经开发了入侵探测系统和入侵防御系统保护政府的网络;而军队采取了相似的措施,保护军队网络。但是所做的还不够,私营部门没有部署这些系统,很难及时利用网络漏洞信息,及时升级系统,提高网络安全。那么,如果把这些措施放在民用网络中,就可以提高网络安全,但是这就引发了政府对民用网络的监控问题。目前,美国政府在努力推动网络安全立法方面,把保护关键基础设施以及促进政府与产业界之间的信息交换作为重点。比如,在促进政府与产业界之间的信息交换这个问题上,众议院在2012年通过了《网络情报共享和保护法案》,但是法案受到了工业界、隐私保护团体的阻碍,众议院不得不加以修订,在2013年通过了新的《网络情报共享和保护法案》。即便经过修订,白宫仍然认为不够,如果这个版本提交总统签字的话,奥巴马总统会否决这个法案。这个曲折的过程也反映出了各方利益诉求的不同和冲突,建立有效的网络风险信息共享机制并非易事。主动颁布漏洞利用的政策法律,通过约束漏洞利用行为提升国家软实力就2009~2012年的震网、DUQU和火焰三次攻击性网络作战行动来说,将漏洞利用提升到国家安全重要工具已经成为一种趋势。这三次行动通过对几些重要漏洞巧妙利用,形成了从“网络渗透、网络传播、网络侦察、网络指挥控制到网络攻击”这一整套的网络攻击作战。因为漏洞利用得好,这几个案例成为定向网络攻击的典型,彻底的改变了人们对网络武器攻击行为不可控的认知。但2010年的震网极大的打击了人们对德国西门子公司产品的信心,直接加快德国、法国等国家对网络安全力量建设的步伐。英国、澳大利亚、日本、韩国、印度与美国在网络安全领域合作的过程中更多的表现出的是一种战略姿态,实质性的网络安全合作非常有限。特别是当2012年美国政府通过媒体有关专家等多种渠道隐含的透露了这些攻击行为为其官方所为甚至是奥巴马直接下达的命令之后,沉重的打击了全世界所有国家对美国的信心,严重的损害了美国的国家软实力。网络漏洞利用的真正价值在于它是一种潜在的威慑能力。即使是强大国家也不应该将其轻易付诸行动。增强对漏洞利用的政策与法律透明度、强化监管是对漏洞国家管理的重要内容,对增进对国家网络力量运用的软实力、避免不必要的冲突具有重要意义。技术的规范化管理与新技术应用是网络空间漏洞管理的基础动力漏洞管理是需要紧跟新技术的应用而不断发展的。国家在其中的关键角色应该是制定国家层面安全的战略需求,加强对相关安全项目的投资。云计算、大数据、下一代互联网、移动互联网、物联网和量子通信等技术正在火热发展之中。随之在社会领域的广泛应用,必然直接影响网络空间漏洞国家管理模式。可能的漏洞管理新思路包括:关注新技术的发展趋势,提前明确国家网络层面的安全技术需求,以内置式的信息安全技术标准,指导信息产业对新技术的开发,谋求漏洞管理的相对优势;加大对网络安全的投入,上马大型网络安全态势感知项目,保护国家与军队的关键信息基础设施;按照网络生态的新理念,强化对网络空间行为体行为的管理,统一规范应用软件、安全软件的安装使用,净化网络环境卫生。这些新的思路与方法对于减少漏洞出现、提升漏洞存在层次、强化漏洞修复能力非常有益,是漏洞管理国家的宝贵实践。全方位、多领域、多层主体的合作是网络空间漏洞管理成为必然趋势网络空间漏洞管理的全面合作是网络空间安全管理的必然要求。在经济全球化、社会信息化的大时代,在封闭网络空间独善其身的想法早已过时。就全球整个网络空间来说,共享、交流、互动、合作不仅成为网络空间的核心价值观,也是网络空间的世界观、方法论。全世界的所有国家都已经意识到网络空间漏洞管理合作的重要意义。都在努力创建良好漏洞管理的国际政策与法律环境,积极参与网络空间安全发展筹划。同时,鼓励本国企业、有关政府机构、相关安全专家参与到这一全球性的安全进程之中。三、思考与建议我国在网络空间面临的战略环境有很多特殊性:一是知识产权保护力度跟不上,导致信息产业处于低水平徘徊阶段,漏洞管理实力有限。二是软硬件产业基本处于整个产业链的下游,漏洞管理的主导权不在我方。三是网络空间漏洞发展非常快,漏洞挖掘能力非常有限。这些问题导致我们的漏洞国家管理面临许多特殊的问题。深化网络空间漏洞管理的国家认知、创建网络空间漏洞管理战略文化我们必须深刻的认识到:网络空间漏洞是网络空间漏洞利用成为网络空间网络攻防的焦点、网络空间国家安全的焦点,是网络空间安全的战略资源;加大知识产权保护既是信息产业发展的自身需求,也能够为漏洞管理理顺责权关系;正视网络空间漏洞长远存在的事实,在责权明晰的基础上,区分对待漏洞发现与漏洞利用,修改现行计算机犯罪相关法律,打击网络空间漏洞的黑市交易,同时放宽对“网络扫描等网络行为”的政策限制,尊重黑客文化与黑客精神,构建“鼓励开发漏洞、打击漏洞利用”的文化环境;加大网络空间立法,尽早加入《网络犯罪布达佩斯条约》,并推动该条约的国际化发展,为网络空间漏洞战略管理交流共享营造外部环境。迫切需要形成体系化的、综合全面的网络空间漏洞管理的国家机制进一步完善网络空间漏洞国家管理平台[5]的职能,形成挖掘、识别、分类、披露、利用、修复、减少漏洞的闭环管理业务:特别是漏洞的强制修复职能,保证即时修复已有漏洞,减少网络空间漏洞风险;强化网络空间漏洞管理对国家关键基础设施、公开互联网各类涉及国家安全的信息网络的服务能力;建立网络空间漏洞披露审查、评估机制,保证网络空间漏洞的快速修复;规范特殊漏洞的披露程序,形成国家安全需要的漏洞管理机制。适时出台法律法规,调动公私部门的自身潜力,促使其提升企业高品质信息服务能力,形成良性、健康的公私合作漏洞管理机制。打破企业自身产品中存在的漏洞会影响产品市场的禁忌,让信息产业相关企业充分意识到加强网络空间漏洞管理是提升用户对其产品与服务信心的重要环节,是产品与服务的关键价值所在。核心关键软硬件的自主可控应更加强调可控,更少强调自主“核高基”项目的发展是我国网络安全领域的重大项目工程,但应该调整发展模式,更加强调可控,更少的强调自主。核心软硬件的自主可控必须把握几个关键问题与原则:一是产业牵引的原则,国家必须大力培育基于自主软硬件的网络应用模式,形成新型信息服务产业。在应用过程中减少漏洞、完善自身发展。二是开放的原则,相关软硬件必须能够支撑为全球范围提供服务的原则。必须接受更大范围的用户检验。应用越广泛、自主可控能力的影响力越大。三是创新的原则,软硬件发展当前出现很多方向性的创新领域,我们必须把握信息产业这种客观发展趋势,通过创新来推动自主可控。不能再走过去软件产业的发展思路。以军队为主体整合国家网络空间安全力量,形成战略非对称能力网络空间是与核、航天领域并列的战略空间。网络空间作战已经取代陆战场时代的坦克、海战场的航空母舰、空战场的战斗机,成为贯穿未来战场的主要作战行为。以军队为主体构建国家网络空间安全力量是国际上的通用做法,有助于网络空间态势感知能力、网络空间防御能力、网络空间反应能力、网络空间调查取证能力、网络空间进攻能力在国家范围内的有效集成。对于我军来说,通信、保密、情报[6]、指挥自动化、电子战甚至是航天,都在网络空间具有相当的部队和能力。我军缺少的是一种网络空间的战略布局,这需要我军在消除军兵种利益、制定统一的发展规划、构建统一的组织机制、形成统一的指挥控制上做出重大的战略决策。

内容提要:

威胁就在路上 目标也许正是这块网络空间安全的“必争之地”


网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求,可借鉴域外经验,以协同披露为导向,围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系,为安全漏洞披露行为提供明确指引。

——加强关键信息基础设施安全保护 维护国家网络空间安全利益

[1][1]广泛性是指漏洞在网络空间无处不在;隐蔽性是指漏洞很难被发现;长久性是指即使被发现也有个披露、修复的过程,产生的威胁并不是立刻消失;必然发现性是指客观上发现的漏洞才是漏洞。[2]
由NIST创建。[3] 由卡内基·梅隆大学建立,国防部资助。[4]
市场收购漏洞计划。2009年11月由国家互联网应急中心等单位组织的国家信息安全漏洞共享平台宣告成立,同时,由国家专项资金支持的中国“国家漏洞库”也正式投入运行,国家互联网应急中心负责人表示,国家信息安全漏洞共享平台将建立不同的漏洞信息发布途径,并按照不同用户的安全需求发布不同类型的漏洞信息,从而使得信息系统用户能够第一时间获知其所使用信息系统的安全隐患情况,从而加强对安全威胁的及时防范能力。现在的问题是如何更好的发挥这两个平台的现实能力和作用。[6]
包括情侦和技侦。

The disclosure of cybersecurity vulnerabilities has become the central
part of cybersecurity risk control.Non-standard or illegal disclosure
endangers the overall security of cyberspace,highlighting the gray area
of the law.There are four types of cybersecurity vulnerabilities
disclosure in practice,including:non-disclosure,full
disclosure,responsible disclosure and coordinated disclosure.America
constructs its cybersecurity vulnerabilities rules from legal and policy
aspects,and constantly adjusts them with the development of new
situations.The design of rules presents a changing trend from
responsible disclosure to coordinated disclosure,and the unified rules
of coordination and decision-making of cybersecurity vulnerabilities
disclosure are further improved on the national level.In China,current
legislation puts forward the basic requirements of the legitimate
disclosure of cybersecurity vulnerabilities from three aspects:the
provider of product and service,the third parties and the
government.Referring to the experience of other countries,we can design
the system of cybersecurity vulnerabilities disclosure based on
coordinated disclosure,focusing on the subjects,objects,measure and
liability exemptions of disclosure so that clear guidance for
cybersecurity vulnerabilities disclosure can be provided.

作者 中国电子科技网络信息安全有限公司卿昱

[责任编辑:诺方知远]

关 键 词:

随着网络安全和信息技术的快速发展,以及万物互联时代的到来,关系着国家安全、社会稳定和经济发展的关键信息基础设施已经成为网络空间安全的“必争之地”。习近平总书记在“4.19”网络安全和信息化工作座谈会上提出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”能源、通信、交通、金融等关键领域的关键信息基础设施在世界范围内正面临越来越多安全威胁,一个又一个触目惊心的案例告诉我们每位网络空间参与者,关键基础设施的安全一旦遭受攻击,不仅将造成其自身瘫痪,还将扰乱国家秩序,影响国家经济社会发展。

欢迎订阅知远防务快讯
我们在第一时间报导全球最新防务动态,关注世界热点事件,追踪防务发展方向。

网络安全漏洞/披露/类型/规则/协同/cybersecurity
vulnerabilities/disclosure/types/rules/coordination

世界并不太平 威胁日益严峻

标题注释:

如果说入侵到我们个人计算机中的病毒是一场普通感冒,那么关键信息基础设施一旦感染那就是一场需要住院的重流感。近年来,针对关键信息基础设施的攻击和破坏活动不断发生。从2015年乌克兰电网瘫痪到2016年全美互联网瘫痪、巴西银行被入侵以及2017年“WannaCry”勒索病毒全球爆发,针对关键信息基础设施的攻击强度和范围不断扩大。黑客组织通过钓鱼攻击、DDoS攻击、利用操作系统漏洞布置攻击程序、安插恶意软件等方式非法控制重要行业信息系统被病毒感染,重要数据遭到泄露和破坏,手段层出不穷,威胁花样百出。如何有效应对日益复杂的网络安全环境,有效保护国家关键信息基础设施安全,已经实实在在地成为包括我国在内的世界各国共同面临的安全课题。

国家社会科学基金重大项目“网络社会治理创新研究”,上海市科技创新行动计划“数据安全评估规范方案”(117DZ1101004),公安理论及软科学研究计划“我国关键信息基础设施保护的法律对策研究”(2016LLYJGASS020),公安部第三研究所所选项目“2017年度网络安全政策法律问题”。

网络空间也是疆域,世界各国纷纷重装上阵。美国、英国、德国、俄罗斯等世界主要大国纷纷将关键信息基础设施保护作为国家网络安全的重要工作,出台政策法规是当今各国主要的做法。其中,美国作为最早开展关键信息基础设施保护的国家,除了发布《提升美国关键基础设施网络安全的框架规范》、《增强联邦政府网络与关键性基础设施网络安全》行政令等系列政策法规外,在20多年的探索中形成了较为完整的管理系统和能力体系。组织机构方面,美国构建起以国土安全部为国家领导机构,相关部门和监管机构在各自职责范围内保护国家关键信息基础设施安全的组织架构。运行机制方面,美国对政府掌握的关键基础设施,通过执行联邦信息安全管理法案、实施爱因斯坦等项目部署入侵检测防御系统等措施应对威胁;对私营企业掌握的超过国家80%的关键基础设施,通过公-私协作机制及各类协调委员会机制,处理政府与私营企业之间以及跨部门、跨地区的协作事项。能力体系构建方面,通过与迈克菲、赛门铁克、IBM等知名公司的项目合作,构建起针对关键信息基础设施中威胁的定位和特征描述技术、基于云的网络分析态势感知技术、自动告警预测网络攻击技术等能力体系。

相关文章