安全漏洞國際披露政策研究

時翌飛 馮景瑜 黃鶴翔 曹旭棟 王 鶴 張玉清,

1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121)2(中國科學(xué)院大學(xué)國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 北京 100049)3(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071)

(syf19961002@outlook.com)

2019年11月20日，中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》[1]，這是繼2019年6月中國工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》[2]后，再次提出規(guī)范威脅信息發(fā)布的征求意見.該征求意見標(biāo)志著我國進(jìn)一步對安全漏洞披露流程規(guī)范性的關(guān)注.

安全漏洞披露是網(wǎng)絡(luò)威脅情報(bào)共享中的重要環(huán)節(jié)，是有效緩解攻防不平衡態(tài)勢的重要手段.目前在網(wǎng)絡(luò)威脅情報(bào)共享和交換方面已有學(xué)者做了大量研究工作，其中石志鑫等人[3]就威脅情報(bào)的相關(guān)標(biāo)準(zhǔn)角度闡述了如何進(jìn)行高效的威脅情報(bào)信息共享；李留英[4]就目前美國制定的較為完善的網(wǎng)絡(luò)威脅情報(bào)共享體系進(jìn)行深入分析，并舉出了網(wǎng)絡(luò)威脅情報(bào)的實(shí)踐舉措；林玥等人[5]通過廣泛調(diào)研有關(guān)文獻(xiàn)，分析和歸納了威脅情報(bào)共享與交換的發(fā)展趨勢，并著重從共享模型、交換機(jī)制的角度進(jìn)行了深入分析；黃克振等人[6]則根據(jù)威脅情報(bào)共享面臨的隱私保護(hù)問題，提出了基于區(qū)塊鏈的威脅情報(bào)共享模型.該模型能在保護(hù)隱私性的前提下，利用區(qū)塊鏈的回溯能力構(gòu)建完整的攻擊鏈.上述作者的工作為威脅情報(bào)共享研究作出了許多貢獻(xiàn)，但目前有關(guān)安全漏洞披露方面的工作還不完善.

目前我國的網(wǎng)絡(luò)安全形勢依然嚴(yán)峻，伴隨著信息技術(shù)的發(fā)展，新的安全漏洞帶來的威脅正在進(jìn)一步加重.目前國際上已有部分國家建立了標(biāo)準(zhǔn)的安全漏洞披露流程，我國也正在逐步規(guī)范安全漏洞披露的流程，并出臺了《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)法案[7].我國多數(shù)廠商還尚未發(fā)布規(guī)范的漏洞披露政策，為安全漏洞信息共享帶來了困難.基于該問題，本文廣泛調(diào)研了當(dāng)前國際上成熟的安全漏洞披露政策，并通過對比分析得出一些有用的結(jié)論.本文的主要貢獻(xiàn)有:

1) 對比了國際上成熟的安全漏洞披露政策；

2) 介紹了目前成熟的政府安全漏洞公平裁決程序；

3) 分析了目前制定安全漏洞披露政策所面臨的問題和挑戰(zhàn)；

4) 對我國建立規(guī)范的安全漏洞披露政策提出一些建議.

1 安全漏洞披露

安全漏洞披露是一個過程，IT產(chǎn)品供應(yīng)商和安全漏洞發(fā)現(xiàn)者可以通過該過程協(xié)同工作，以尋找可降低安全漏洞相關(guān)風(fēng)險的解決方案[8].

安全漏洞披露的實(shí)踐經(jīng)常處于2個極端情況之間，即完全披露和完全不披露，具體的有以下幾種情況：

1) 完全披露.即安全漏洞信息一經(jīng)掌握就立刻完全公開，這意味著攻擊者可以在廠商修補(bǔ)前就獲得安全漏洞的全部信息，從而利用漏洞發(fā)動攻擊.

2) 完全不披露.安全漏洞發(fā)現(xiàn)者從自身利益出發(fā)對安全漏洞信息完全保密并不對外公布.

3) 負(fù)責(zé)任披露.發(fā)現(xiàn)者以一種負(fù)責(zé)任的態(tài)度披露安全漏洞，可以和供應(yīng)商協(xié)商安全漏洞披露的具體流程，但雙方并不總能達(dá)成一致.

4) 協(xié)同披露(coordination vulnerability disclosure, CVD).這是目前更為成熟的方法，該方法引入一個公平的第三方，由第三方來幫助雙方就安全漏洞披露事宜達(dá)成一致，該方法目前被廣泛使用.

圖1[8]是CVD過程中所涉及到的各角色之間的關(guān)系示意圖.

圖1 CVD中各角色之間關(guān)系

CVD過程主要涉及到5個角色，他們是：

1) 發(fā)現(xiàn)者(finder)是識別安全漏洞的組織和個人；

2) 報(bào)告者(reporter)是通知安全漏洞供應(yīng)商的組織或個人；

3) 供應(yīng)商(vender)是創(chuàng)建或維護(hù)具有安全漏洞產(chǎn)品的組織或個人；

4) 協(xié)調(diào)者(coordinator)是幫助協(xié)調(diào)披露流程的組織或個人；

5) 部署者(deployer)是對安全漏洞采取補(bǔ)救措施的組織和個人.

CVD過程包括發(fā)現(xiàn)、報(bào)告、驗(yàn)證并分類、補(bǔ)救、發(fā)布和部署階段，圖2描述了CVD中涉及角色在不同階段的行為指南.

圖2 CVD中涉及角色在不同階段的行為指南

2 各國的安全漏洞披露政策

本節(jié)主要對各國的安全漏洞披露政策進(jìn)行分析研究，并總結(jié)了各國目前的安全漏洞披露的狀態(tài)及特點(diǎn).

2.1 我國的安全漏洞披露政策

我國的安全漏洞披露政策建設(shè)尚處于起步階段，2015年6月19日由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會起草，由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(National Internet Emergency Center, CNCERT)、漏洞平臺、供應(yīng)商等32家單位簽署的《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》[9]是目前安全漏洞披露政策較有價值的參考.公約中的規(guī)定包括：

1) 各方的角色和職責(zé)；

2) 各方需要遵守“客觀、適時、適度”的原則；

3) 在完成安全漏洞修復(fù)前禁止各方進(jìn)行披露，發(fā)布前需要征得供應(yīng)商同意.

《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》[1]和《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》[2]中對威脅信息的發(fā)布提出了詳細(xì)的要求：

1) 發(fā)布時禁止帶有“預(yù)警”字樣；

2) 區(qū)域性、行業(yè)性、全國性發(fā)布需要先向有關(guān)部門報(bào)備；

3) 第三方組織可以發(fā)布安全漏洞信息，但應(yīng)建立內(nèi)部審核機(jī)制，避免內(nèi)部泄露安全漏洞信息.

另外，國家信息安全漏洞共享平臺(China national vulnerability database, CNVD)的《原創(chuàng)漏洞審核和處理流程》[10]提出應(yīng)遵循處置后發(fā)布的原則，默認(rèn)在45天后公開披露.

總體來看我國的安全漏洞披露政策還處于起步階段，各方達(dá)成共識和廣泛實(shí)施安全漏洞披露政策尚需時日.

2.2 其他國家的安全漏洞披露發(fā)展?fàn)顩r

2.2.1 美國

美國是目前世界范圍安全漏洞披露實(shí)施最為廣泛、規(guī)范最為健全的國家，其網(wǎng)絡(luò)安全法規(guī)制定相對完善，也發(fā)布了豐富的指導(dǎo)文獻(xiàn)來幫助各組織建立安全漏洞披露政策.

卡內(nèi)基梅隆大學(xué)軟件工程研究所的計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心(Computer Emergency Response Team/Coordination Center, CERT/CC)于2000年就發(fā)布了安全漏洞披露政策，目前仍在更新維護(hù).CERT/CC還發(fā)布了《CERT協(xié)調(diào)漏洞披露指南》[8]，該指南被公認(rèn)為CVD政策的權(quán)威參考.CERT/CC的披露政策提到[11]：

1) 初次接到報(bào)告的45天后將公開披露安全漏洞，此時無論是否有緩解措施；

2) 允許CERT/CC自行決定拒絕協(xié)調(diào)或發(fā)布安全漏洞信息；

3) 針對于美國政府的安全漏洞將會轉(zhuǎn)發(fā)給美國計(jì)算機(jī)緊急事件響應(yīng)小組(US Computer Emergency Response Team, US-CERT).

美國計(jì)算機(jī)緊急事件響應(yīng)小組(US-CERT)是隸屬于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cyber Security and Infrastructure Security Agency, CISA)的官方組織，負(fù)責(zé)接收關(guān)于政府機(jī)構(gòu)的安全漏洞信息，其CVD政策[12]提到：

1) 初次接到報(bào)告的45天后將公開披露安全漏洞，此時無論是否有緩解措施；

2) 當(dāng)CISA參與跨部門的安全漏洞權(quán)益裁決(vulnerabilities equities policy, VEP)時，該政策收集的安全漏洞不參與此裁決，VEP政策將會在后文提到.

在披露政策指導(dǎo)方面，2016年12月美國國家電信和信息管理局(National Telecommunications and Information Administration, NTIA)發(fā)布的CVD模板[13]是較早的政策模板.2017年7月美國司法部(Department of Justice, DOJ)發(fā)布了安全漏洞披露程序在線框架[14]，該框架旨在幫助各方構(gòu)建完善的披露程序，避免不當(dāng)行為導(dǎo)致的法律追責(zé).2020年1月，CISA發(fā)布披露政策約束性操作指令(Binding Operational Directive, BOD)[15]，該指令要求每個聯(lián)邦政府機(jī)構(gòu)在指令發(fā)布180天內(nèi)制定自己的披露政策，同時CISA也發(fā)布了安全漏洞披露模板[16]供各機(jī)構(gòu)參考.2020年NTIA和事件響應(yīng)和安全團(tuán)隊(duì)論壇(Forum of Incident Response and Security Teams, FIRST)發(fā)布了多方安全漏洞披露準(zhǔn)則[17]，解決了當(dāng)前多數(shù)政策僅僅關(guān)注兩方協(xié)調(diào)的問題.

總體來看美國在安全漏洞披露政策制定、實(shí)施和改進(jìn)等方面都具有豐富經(jīng)驗(yàn)，在國際上處于領(lǐng)先地位.

2.2.2 日本

日本在軟件或Web應(yīng)用程序的安全漏洞披露遵循《信息安全預(yù)警合作指南—2019》[18]，該指南提到：

1) 信息促進(jìn)機(jī)構(gòu)(Information-Technology Promotion Agency, IPA)充當(dāng)聯(lián)絡(luò)機(jī)構(gòu)，負(fù)責(zé)接收并審查安全漏洞；

2) 日本計(jì)算機(jī)緊急事件響應(yīng)團(tuán)隊(duì)協(xié)調(diào)中心(JPCERT/CC)充當(dāng)協(xié)調(diào)機(jī)構(gòu)；

3) 針對軟件安全漏洞，由IPA提交給JPCERT/CC，然后JPCERT/CC再與開發(fā)者聯(lián)系.而Web應(yīng)用程序安全漏洞則由IPA直接聯(lián)系運(yùn)營者；

4) 初次接到報(bào)告的45天后將公開披露；

5) 在首次報(bào)告起滿1年后，發(fā)現(xiàn)者可以向IPA發(fā)出退出請求，并自由公開披露；

6) 要求所有發(fā)現(xiàn)者應(yīng)先向IPA報(bào)告他們的發(fā)現(xiàn)，除非供應(yīng)商同意直接接收安全漏洞.

總體上看日本的安全漏洞披露政策相對健全，但缺乏對于研究人員的激勵，并且要求發(fā)現(xiàn)者先向IPA提交他們的發(fā)現(xiàn)，這一要求有悖于使相關(guān)方迅速獲得威脅信息的初衷.

2.2.3 歐洲

歐盟網(wǎng)絡(luò)與信息安全局(European Union Agency for Network and Information Security, ENISA)是歐盟的網(wǎng)絡(luò)安全機(jī)構(gòu)，致力于就信息安全的良好實(shí)踐為盟國提供建議.ENISA于2015年11月發(fā)布《從挑戰(zhàn)到建議的漏洞披露良好做法指南》[19]是較早發(fā)布的披露指南，其中提到：

1) 谷歌零項(xiàng)目[20]提供的披露時間90天是比較好的參考；

2) 披露政策的制定可在現(xiàn)有的參考文檔上進(jìn)行，避免重復(fù)工作.

歐盟成員國中，荷蘭在CVD政策的努力值得關(guān)注.荷蘭國家網(wǎng)絡(luò)安全中心(National Center for Cyber Security, NCSC)和其他部門合作，早在2013年就發(fā)布了政策指導(dǎo)方針[21]，其中提到：

1) 軟件安全漏洞的合理響應(yīng)時間是60日，硬件安全漏洞的響應(yīng)時間是6個月；

2) 特定情況下雙方可以同意不披露安全漏洞；

3) 如果披露方按照披露政策行事，組織將表明其拒絕采取法律行動的立場.

西班牙(INCIBE-CERT)也發(fā)布了CVD政策[22]；英國政府一直在進(jìn)行漏洞披露政策的試點(diǎn)工作，英國政府機(jī)構(gòu)通過與Hackone[23](一個漏洞協(xié)調(diào)和漏洞賞金平臺)合作進(jìn)行安全漏洞披露[24]，另外英國也已發(fā)布了其VEP政策[25]；法國的CVD政策已經(jīng)建立，并將其納入《數(shù)字共和國法案》[26]；德國的CVD政策仍在制定當(dāng)中[27].

從政策制定的角度看，目前歐洲僅少數(shù)國家擁有較成熟的安全漏洞披露政策，其他國家正在制定或還沒有行動，整體處于發(fā)展階段.

我們對擁有安全漏洞披露政策國家進(jìn)行了對比和總結(jié)，如表1所示：

表1 安全漏洞披露政策對比

3 美國政府的安全漏洞公平裁決程序及涉及的組織機(jī)構(gòu)

政府可以通過多渠道獲取安全漏洞信息，盡管不披露安全漏洞會造成安全風(fēng)險，但安全漏洞可被政府用于執(zhí)法調(diào)查、情報(bào)收集或攻擊利用等.政府各個部門擁有公平的裁決權(quán)力，各部門代表參與決策環(huán)節(jié)來確定是否立即披露安全漏洞，該過程稱為安全漏洞公平裁決程序.一些國家政府已建立了自己的政府披露決策程序，但目前多數(shù)國家還沒有相關(guān)程序.

由于美國是最早公開該政策的國家，本節(jié)的研究將以分析美國政府安全漏洞公平裁決程序?yàn)橹?

3.1 美國的漏洞公平裁決程序

美國已于2017年11月部分公開安全漏洞公平裁決程序[30](vulnerabilities equities policy, VEP).圖3為美國安全漏洞公平裁決程序流程，其中關(guān)鍵點(diǎn)為：

圖3 安全漏洞公平裁決程序流程

1) 政策適用于美國政府的所有部門和人員(包括供應(yīng)商)；

2) 權(quán)益審查委員會(Equities Review Board, ERB)是審議的主要論壇，由美國多個政府機(jī)構(gòu)的代表組成，每月進(jìn)行1次，如緊急情況也可提前召開.

美國是最早開始實(shí)施安全漏洞公平裁決程序的國家，英國和澳大利亞也有某種形式的公平裁決程序，其他國家尚未對外公布該政策或缺乏實(shí)踐經(jīng)驗(yàn).另外2018年跨大西洋網(wǎng)絡(luò)論壇的提案《政府漏洞評估和管理》[31]被認(rèn)為是目前安全漏洞公平裁決程序很有價值的參考.目前一些專家提出并推行國際安全漏洞公平裁決程序(International Vulnerability Equities Process, IVEP)[32]，旨在幫助更多國家快速建立標(biāo)準(zhǔn)的安全漏洞公平裁決程序.

3.2 組織機(jī)構(gòu)設(shè)置

安全漏洞披露的流程通常涉及多個機(jī)構(gòu)，了解機(jī)構(gòu)間的協(xié)作關(guān)系有助于建立更快捷的處理流程.由于美國披露流程較為成熟，因此以美國為例進(jìn)行分析.

US-CERT是美國政府的權(quán)威安全漏洞發(fā)布機(jī)構(gòu)隸屬于CISA，國土安全部(Department of Homeland Security, DHS)是CISA的直接上級.CERT/CC為US-CERT提供技術(shù)支撐，由CISA贊助，并為私營機(jī)構(gòu)提供安全漏洞協(xié)調(diào).兩者均以US-CERT的名義發(fā)布安全漏洞信息.公共漏洞披露(Common Vulnerabilities and Exposures, CVE)為安全漏洞提供統(tǒng)一的標(biāo)識.國家安全漏洞數(shù)據(jù)庫(National Vulnerability Database, NVD)利用CVE命名標(biāo)準(zhǔn)，提供快捷和詳細(xì)的漏洞索引服務(wù).國家標(biāo)準(zhǔn)和技術(shù)研究所(National Institute of Standards and Technology, NIST)是NVD的創(chuàng)建者.圖4所示為安全漏洞披露過程中可能涉及的組織機(jī)構(gòu)間關(guān)系.

圖4 安全漏洞公平裁決程序涉及組織機(jī)構(gòu)關(guān)系

對于供應(yīng)商來說，根據(jù)FIRST的產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)(Product Security Incident Response Team, PSIRT)服務(wù)框架[33]和計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)(Computer Security incident Response Team, CSIRT)服務(wù)框架[34]的要求，相關(guān)機(jī)構(gòu)應(yīng)盡快建立PSIRT和CSIRT，前者專注于產(chǎn)品的安全性，而后者專注于組織的整體安全性.2個團(tuán)隊(duì)就安全性問題與外部對接，并維護(hù)漏洞披露政策.

4 面臨的問題與挑戰(zhàn)

本節(jié)主要對目前安全漏洞披露制定面臨的問題與挑戰(zhàn)進(jìn)行分析，并期望得到一些有啟發(fā)的結(jié)論.

4.1 意識問題

根據(jù)物聯(lián)網(wǎng)安全基金會(IOT Security Foundation, IOSFT)于2020的調(diào)查顯示[35]，盡管該機(jī)構(gòu)已于2017年發(fā)布了安全漏洞披露最佳實(shí)踐[36]，但在對330家公司的調(diào)查中，僅44家公司擁有某種形式的安全漏洞披露政策，結(jié)果顯示大量的供應(yīng)商還沒有意識到安全漏洞披露程序在其網(wǎng)絡(luò)安全體系中的重要地位.同時供應(yīng)商被認(rèn)為并不像安全研究人員一樣關(guān)注安全問題，且不能完全理解安全研究的真實(shí)意圖.供應(yīng)商應(yīng)盡快認(rèn)識到安全的重要性并充分信任研究人員，從而提升產(chǎn)品的安全性.

4.2 溝通勝過獨(dú)奏

根據(jù)NTIA 的安全漏洞披露狀態(tài)和行動調(diào)查[37]顯示，盡管發(fā)現(xiàn)者最初計(jì)劃以負(fù)責(zé)任的方式公開安全漏洞，但由于令人失望的溝通，50%的人最終會選擇公開披露，95%的發(fā)現(xiàn)者期望能在問題解決之后得到供應(yīng)商的恢復(fù)，但僅少數(shù)人能夠得到這樣的回復(fù).

從實(shí)踐的角度看，如果雙方的溝通中斷，安全漏洞披露的進(jìn)程將受到阻礙，有效的溝通可以幫助供應(yīng)商更好地處理安全風(fēng)險.

4.3 獎勵很重要

同樣根據(jù)NTIA安全漏洞披露態(tài)度和行動調(diào)查[37]，53%的發(fā)現(xiàn)者表示希望供應(yīng)商至少認(rèn)可他們的貢獻(xiàn)，僅極少數(shù)的15%的發(fā)現(xiàn)者期望獲得賞金或經(jīng)濟(jì)獎勵.賞金可以是紀(jì)念品或重大貢獻(xiàn)表彰的形式體現(xiàn)，甚至是航空公司的飛行里程數(shù)，并非需要經(jīng)濟(jì)上的獎勵.賞金并非是必要的，但卻是激勵組織外部安全研究的重要手段.

4.4 法律的豁免

協(xié)調(diào)披露政策面臨的最大挑戰(zhàn)之一仍然是不確定的法律環(huán)境.以美國為例，美國反黑客法令《計(jì)算機(jī)欺詐與濫用法案》(Computer fraud and Abuse Act, CFAA 1986)[38]，早期的司法定義非常寬泛，沒有對善意的安全研究加以定義.供應(yīng)商利用《數(shù)字千年版權(quán)法案》(The Digital Millennium Copyright Act, DMCA 1998)[39]阻礙安全研究，該法案將繞過受保護(hù)產(chǎn)品的訪問控制行為定義為犯罪行為.

目前這一環(huán)境正在逐漸改善，2016年10月針對《數(shù)字千年版權(quán)法案》的豁免發(fā)布[40]，豁免的研究環(huán)境要求：

1) 誠信且善意的安全研究；

2) 研究需要在可控范圍；

3) 僅合法購買的適用于個人消費(fèi)者的設(shè)備.

目前已經(jīng)有供應(yīng)商在其安全漏洞披露政策中承諾保護(hù)研究人員，以Dropbox的安全漏洞披露政策[41]為例，其政策中規(guī)定：

1) 明確聲明歡迎進(jìn)行外部的安全研究；

2) 承諾不對遵從該政策的安全研究采取法律行動；

3) 不會以脅迫研究人員的姿態(tài)談判賞金問題.

4.5 標(biāo)準(zhǔn)化的政策制定

NTIA安全漏洞披露態(tài)度和行動調(diào)查[37]通過3個指標(biāo)規(guī)定了政策制定的規(guī)范性：內(nèi)部審核、同行審核和ISO安全漏洞披露標(biāo)準(zhǔn)審核.結(jié)果顯示76%的公司會進(jìn)行內(nèi)部審核，一半以上的公司選擇同行審核，而僅20%的公司選擇ISO標(biāo)準(zhǔn)審核.盡管內(nèi)部審核已經(jīng)比不審核好很多，但是選擇ISO標(biāo)準(zhǔn)流程的審核會使政策有更低的錯誤率.

除了2個ISO安全漏洞披露標(biāo)準(zhǔn)[42-43]，HackOne還發(fā)布了成熟度在線生成模型[44]，該模型通過回答幾個問題來幫助組織快速生成標(biāo)準(zhǔn)化的安全漏洞披露政策.可以看出，未來安全漏洞披露政策標(biāo)準(zhǔn)化的趨勢會越來越明顯.

5 對我國制定漏洞披露政策的啟發(fā)與建議

通過對比我國和其他國家成熟的安全漏洞披露政策，并從目前政策制定所面臨的挑戰(zhàn)來看，可以得到如下結(jié)論：

1) 發(fā)布安全漏洞披露政策應(yīng)該明確表示歡迎安全漏洞研究,而不應(yīng)該視外部安全研究為威脅，并應(yīng)給予安全研究人員一定的保護(hù)；

2) 發(fā)布的披露政策應(yīng)該是容易訪問且無門檻的，對比最近開始流行的security.txt[45]，該方案需要報(bào)告者具備一定的技術(shù)門檻；

3) 發(fā)布的披露政策應(yīng)對法律界限有明確的定義，應(yīng)明確表示遵守此政策的前提下，不追究漏洞披露和研究人員的法律責(zé)任；

4) 披露政策應(yīng)對披露細(xì)節(jié)有明確定義且應(yīng)標(biāo)準(zhǔn)化，避免產(chǎn)生歧義；

5) 建議我國政府機(jī)構(gòu)可以先行建立安全漏洞披露政策；

6) 各類組織應(yīng)加大對發(fā)現(xiàn)者的激勵，以促進(jìn)安全研究；

同時在政策制定時也應(yīng)對一些不利于安全漏洞披露的負(fù)面行為加以限制：

7) 發(fā)現(xiàn)者應(yīng)確保其報(bào)送的安全漏洞是新發(fā)現(xiàn)的，而不是為了騙取賞金而重復(fù)報(bào)送的；

8) CVD流程中禁止使用不安全的通信渠道，以防止造成安全漏洞信息的泄露；

9) 當(dāng)涉及多方的安全漏洞披露時，禁止一方在協(xié)商一致前就披露安全漏洞；

10) 另外在披露安全漏洞時禁止夸大其造成的安全威脅.

6 總 結(jié)

安全漏洞披露政策的健全與否對組織、用戶乃至國家的網(wǎng)絡(luò)安全具有重要的意義.標(biāo)準(zhǔn)、完善、低門檻的安全漏洞披露政策，有助于幫助漏洞發(fā)現(xiàn)者及時準(zhǔn)確地報(bào)告安全漏洞信息，并幫助組織在威脅發(fā)生前或發(fā)生時及時修補(bǔ)和緩解威脅.本文通過對當(dāng)前國際安全漏洞披露政策進(jìn)行分析對比研究，總結(jié)和歸納了各國政策的特點(diǎn)，并在此基礎(chǔ)上得出一些啟發(fā)與建議，以期對我國安全漏洞披露起到拋磚引玉的作用.