網絡安全漏洞信息披露難題及完善措施分析

蘆 健

（杭州安恒信息技術股份有限公司，浙江 杭州 310000）

1 披露網絡安全漏洞的必要性

近年來，網絡安全漏洞呈逐年上漲之勢（見圖1），從技術層面來看，盲目追求網絡絕對安全是不現實的，網絡安全問題的形成是一個漫長且復雜的過程。無論相關工作人員如何努力，網絡安全漏洞都可能會出現[1]。為應對網絡安全威脅，可通過公開披露漏洞來幫助用戶更好地了解風險，并在某種程度上減少或阻止威脅的擴大化。

圖1 2019—2022年網絡安全漏洞數據統計

1.1 與“風險預防”管理理念相符

大數據時代，漏洞引發的網絡安全問題對個人、社會造成了深遠影響。傳統的被動防御體系已無法抵御頻繁的網絡攻擊。為解決這一問題，相關工作人員積極嘗試構建主動安全防御體系。立法機構也意識到預防控制比懲罰的效果更好，并將風險預防作為關鍵立場反映在多部法律中。漏洞信息披露是風險預防體系中的關鍵一環，在協調各方利益和需求以及推動網絡治理理念轉變方面發揮著重要作用。CNCERT（中國國家計算機網絡應急技術處理協調中心）指出，發現網絡安全漏洞之后，在其并沒有導致嚴重后果的時候，應及時披露漏洞信息，通過這種方式對用戶發出預警，令用戶對于可能遭受的網絡攻擊提前做好準備，盡可能避免由于個人信息泄露而造成財產損失[2]。

1.2 與國家提出的信息安全管理要求相符

隨著互聯網技術的不斷發展，網絡攻擊手段也越來越復雜及多樣化，因此對于保證網絡安全而言，漏洞信息披露顯得尤為重要。國家也提出了一系列針對網絡信息安全管理的要求，其中包括：①加大監管力度。對此，政府應加大對互聯網行業及相關企業的監管力度，并嚴格執行法律法規以打擊互聯網環境中存在的違法違規行為[3]。②建立健全相應的標準體系。建立起完整、可靠、適用于各類企事業單位的信息化標準體系，以便更好地保障網絡安全。上述對于網絡信息安全管理要求都與漏洞信息披露密切相關。一方面，政府需要建立專門的機構負責漏洞信息披露工作，并嚴格執行法律法規以確保互聯網環境中沒有違法違規行為。在制定新技術標準、評估產品合規性等方面也需要考慮漏洞信息披露的相關要求。另一方面，漏洞信息披露需要遵循一定的規范和流程，因此在建立信息化標準體系時，需要考慮相關要求（如圖2所示）[4]。

2 網絡安全漏洞信息披露中存在的問題

網絡安全漏洞信息披露主體是指那些負責披露網絡安全漏洞的相關機構或個人，這些主體不僅可以幫助企業和組織發現它們自身存在的漏洞，同時也能夠協助政府監管部門更好地了解網絡安全風險，以便采取相應措施[5]。需要注意的是，網絡安全漏洞信息披露是一個循序漸進、逐步完善的過程。在此過程中，如果沒有這些主體及時披露潛在問題，并提供有效建議來修復漏洞，則可能會導致嚴重后果。網絡安全漏洞信息披露中主要存在以下幾方面的問題。

2.1 技術層面存在缺陷

網絡安全漏洞信息披露是促進網絡安全的重要環節，它可以幫助軟件開發人員修補安全漏洞，增強系統的安全性。然而，在技術層面上信息披露中存在一些缺陷。

首先，通常情況下，安全漏洞被修補前是不會對公眾公開的，只有修補后的信息才會被公布。但是黑客和攻擊者往往比開發人員更快地發現漏洞，因此安全漏洞可能已經被利用了一段時間。如果安全漏洞在修補前被公開，則攻擊者可以利用該漏洞攻擊系統，這使得信息披露缺乏實效性。其次，信息披露的內容很難做到完全透明。軟件開發商有時會刻意隱瞞漏洞信息，以避免自身的品牌聲譽受到影響。各種廠商之間也會存在爭端，不同廠商對漏洞的認識和分類標準存在差異，因此信息披露的過程可能會受到廠商之間的相互影響。

最后，當漏洞被公開后，攻擊者通常會利用這些信息來進行攻擊，而目標系統可能還沒有來得及修補漏洞。因此，信息披露本身也可能會成為攻擊的媒介。

當前階段各企業都面臨著網絡攻擊者對其系統進行的攻擊和利用已知或未知的軟件缺陷等多方面威脅（見表1）。

表1 2022年1—6月份新增安全漏洞信息公司排名

因此，投入大量資金和社會資源消除這些漏洞成為保障經濟穩定發展所必須做出的犧牲與付出。加強企業對網絡安全問題的認識、增強技術力量等，可以幫助各企業更好地預防和處理各種漏洞問題[6]。

2.2 行業規范不健全

近年來，“互聯網+”模式在各行各業中得到了廣泛應用，網絡技術與社會發展也在不斷實現深度融合，然而，“互聯網+”也使得互聯網的脆弱性、危險性等弊端逐漸顯現。隨著各種新型威脅不斷涌現，企業在保持創新的同時維護網絡安全變得愈加困難。這些威脅包括軟件勒索、惡意軟件攻擊、黑客攻擊、數據泄露等，其中最常見的是網絡攻擊者利用漏洞進行攻擊或入侵系統[7]。針對這些問題，互聯網行業各大公司牽頭，整合互聯網產業各類資源，制定出了一系列針對漏洞信息披露的行業規則（見表2）。

表2 網絡安全漏洞信息披露行業規范（節選）

分析表2可以發現，在互聯網企業制定的行業公約中，對于互聯網安全漏洞信息披露相關問題并沒有給予應有的重視，其中，《中國互聯網協會漏洞信息披露自律公約》僅從宏觀層面對漏洞信息披露問題提出了框架性指導，未進行深層次管理。加之互聯網行業發展速度快，新的安全漏洞層出不窮，導致互聯網行業規范在具體執行過程中得不到有效的執行。

3 加強網絡安全漏洞信息披露工作的具體措施

3.1 建立健全漏洞信息收集機制

建立健全漏洞信息收集機制是網絡安全保障的重要環節。在具體實踐中，相關工作人員可以從以下幾個方面入手，對漏洞信息收集制度進行完善[8]。①建立專業的漏洞信息采集工作小組。組建一支由技術人員、安全工程師和分析師等多個領域專業人士組成的團隊，負責通過定期掃描、監測和分析系統日志、數據包等方式獲取相關信息。②選擇合適的漏洞掃描工具。企業根據實際情況選用相應的漏洞掃描工具，如Nessus、OpenVAS等常見開源軟件或商業軟件。通過自動化掃描來獲得更加準確和及時的檢測結果。③建立統一標準與分類規范。針對不同類型或級別的漏洞制定詳細操作手冊和管理流程，并按照危害性質劃分優先級。同時建立統一標準與分類規范，以便于后續處理過程中進行快速識別并制定相應措施。

3.2 加強技術支持

提高網絡安全漏洞披露水平，離不開技術層面的支持。相關企業以及工作人員可從以下幾個方面入手，對現有的網絡安全漏洞檢測及披露技術進行優化。①搭建完善的服務平臺。為廣大用戶提供必要的技術支持和指導服務，并在企業官網上搭建在線論壇或社區等交流平臺，增加互動性和透明度。同時制定詳細操作手冊或FAQ文檔，以便用戶能快速解決相關問題。②加強培訓與教育。對不同類型或級別的漏洞及其修復方案進行分類歸納，并通過內部培訓、外部研討會等形式將這些知識傳授給相關人員[9]。此外，在日常工作中也可以結合實際情況開展模擬演練、攻防對抗等活動來提升整體應急響應能力。③優化客戶體驗。對于每一個用戶提交的漏洞問題，應當及時回復并提供相應解決方案。同時加強與用戶之間的溝通和反饋機制，收集客戶的意見和建議，并不斷優化完善自身工作流程。

3.3 加入第三方評估機構

在加強網絡安全漏洞披露工作中引入第三方評估機構，能夠提高整個安全體系的可靠性和透明度。在具體實踐中，相關工作人員可以從以下四個方面入手，讓第三方評估機構能夠真正參與到網絡安全漏洞披露工作當中。①確定合作方式與范圍。在確定合作之前需要明確雙方責任范圍以及具體工作流程，并簽訂保密協議以確保信息不被泄露。同時還需對服務周期、費用結算等問題進行充分溝通和確認[10]。②提供必要支持和配合。為第三方評估機構提供必要的技術支持和配合，如開放接口、提供測試環境等，以便其能夠更好地完成檢測任務。③定期跟蹤網絡安全漏洞披露進展情況并反饋意見。在檢測過程中需要對結果進行監督與管理，并及時向相關部門匯報發現的問題及解決進展情況。同時也應當積極參與到漏洞修復階段中去，并就后續運營中可能涉及的問題提出自己的意見和建議。④建立長期合作關系。在與第三方評估機構合作過程中，可以建立起長期穩定的合作關系，以便于更好地共同應對各類安全挑戰。同時還需加強經驗總結和知識沉淀，為后續工作提供寶貴參考。

4 結束語

網絡安全漏洞信息披露是保障網絡安全的重要環節，其中存在著一些難題，如技術層面存在缺陷、行業規范不健全等。針對這些問題，相關工作人員可通過建立健全漏洞信息收集機制、加強技術支持能力、并引入第三方評估機構等方式，提高整個安全體系的可靠性和透明度。在此基礎上，不斷創新并優化自身工作流程，以更好地應對各類網絡安全威脅。■