各國安全漏洞公平裁決程序?qū)Ρ妊芯?/h1>

2021-06-04 06:55:38時(shí)翌飛馮景瑜曹旭棟黃鶴翔

信息安全研究訂閱 2021年6期 收藏

關(guān)鍵詞：安全漏洞漏洞公平

時(shí)翌飛 馮景瑜 曹旭棟 黃鶴翔, 王 鶴

1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 2(中國科學(xué)院大學(xué)國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 北京 101408) 3(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071)

出于維護(hù)國家安全的目的，政府以執(zhí)法取證或情報(bào)收集為目的，利用設(shè)備軟件或硬件上的安全漏洞秘密訪問存儲(chǔ)在電子設(shè)備上的信息.政府同時(shí)也負(fù)有保護(hù)公民信息資產(chǎn)安全的責(zé)任，因此在獲得安全漏洞時(shí)需考慮是否立即披露漏洞信息，以降低受影響系統(tǒng)所面臨的安全風(fēng)險(xiǎn).

政府同時(shí)擁有雙重的角色，需要一種公平的裁決程序盡快就是否保留安全漏洞作出決定.這種程序被廣泛稱為安全漏洞公平裁決程序(vulnerability equities process, VEP).目前已有少數(shù)國家制定并部分公開了VEP政策，但仍有相當(dāng)一部分國家還沒有制定或未對外公布該政策，另外針對于該政策制定的指導(dǎo)性文件也較少.

本文針對這一情況做了如下工作：

1) 介紹了安全漏洞公平裁決程序的發(fā)展歷程；

2) 廣泛調(diào)研了世界范圍內(nèi)安全漏洞公平裁決程序的制定情況，并進(jìn)行對比；

3) 探討了標(biāo)準(zhǔn)化安全漏洞公平裁決程序；

4) 通過分析目前安全漏洞公平裁決程序面臨的問題，總結(jié)了其可改進(jìn)的方向.

1 背 景

安全漏洞是可被1個(gè)或多個(gè)威脅方利用的資產(chǎn)或資產(chǎn)組的弱點(diǎn)，其中資產(chǎn)是對組織有價(jià)值的任何東西、業(yè)務(wù)操作等，包括支持組織任務(wù)的信息資源[1].創(chuàng)建沒有安全漏洞的產(chǎn)品是非常困難的，實(shí)際上大部分的廠商會(huì)通過產(chǎn)品的迭代來逐步解決安全問題.廠商內(nèi)部發(fā)掘漏洞，同時(shí)也利用安全漏洞披露政策[2]接收來自于外部的安全漏洞報(bào)告.廠商對收到的安全漏洞進(jìn)行驗(yàn)證，并著手對安全漏洞進(jìn)行修復(fù)，發(fā)布補(bǔ)丁給用戶，由部署者或用戶部署安全補(bǔ)丁.

目前政府對安全漏洞的利用正在變得普遍，考慮到大部分的信息都存儲(chǔ)在電子設(shè)備上，這一情況也不足為奇.對于政府來說有能力收集設(shè)備上的信息非常重要，這些信息往往具有非常重要的情報(bào)價(jià)值，幫助政府維護(hù)國土安全.安全漏洞利用變得普遍的另一個(gè)主要證據(jù)是安全漏洞市場的繁榮.Zerodium公司是第1家公開發(fā)布零日漏洞完整價(jià)格表的公司，其每個(gè)漏洞從0.5～150萬美元不等[3].該公司從安全研究人員手中收集采購安全漏洞，并轉(zhuǎn)手賣給政府或相關(guān)機(jī)構(gòu).據(jù)報(bào)道該公司每月花費(fèi)在漏洞采購上的費(fèi)用高達(dá)40～60萬美元[4].

盡管安全漏洞交易時(shí)存在排他性的協(xié)議，但并不能確保該安全漏洞不會(huì)被第三方發(fā)掘.因此政府保留安全漏洞的行為也具有很大風(fēng)險(xiǎn).

2 安全漏洞公平裁決程序

政府的安全漏洞公平裁決程序(VEP)也被稱為政府信息披露裁決過程(government disclosure decision processes, GDDP)[5]，該政策主要涉及披露安全漏洞的問題.各國政府需要建立健全、透明和負(fù)責(zé)的安全漏洞公平裁決程序，使得受影響的企業(yè)和公眾相信政府有能力管理好安全漏洞，并在權(quán)力許可范圍內(nèi)有效利用安全漏洞來維護(hù)國家安全.

2.1 安全漏洞公平裁決程序的發(fā)展歷程

VEP政策最早可追溯到2008年1月美國總統(tǒng)布什簽署的國家安全政策指令54(National Security Policy Directive 54, NSPD54)[6]，該指令要求在政府范圍建立國家網(wǎng)絡(luò)安全綜合計(jì)劃(Comprehensive National Cybersecurity Initiative, CNCI)，該計(jì)劃指出發(fā)現(xiàn)的安全漏洞可能會(huì)為政府進(jìn)攻和防御任務(wù)提供幫助，并建議開發(fā)相關(guān)程序，該程序被認(rèn)為是VEP的早期雛形.并于2010年2月產(chǎn)生了VEP文件，稱為《商業(yè)和政府信息技術(shù)和工業(yè)控制產(chǎn)品或系統(tǒng)的漏洞公平政策和流程》[7].

其后2014年奧巴馬政府為回應(yīng)彭博新聞的指控時(shí)首次發(fā)布了VEP的信息[8].之后白宮網(wǎng)絡(luò)安全協(xié)調(diào)員進(jìn)一步闡述了該政策，其首次提到了保留或披露安全漏洞時(shí)要考慮的因素[9]：

1) 存在該漏洞系統(tǒng)的使用程度；

2) 如果未修補(bǔ)該漏洞，是否會(huì)造成重大風(fēng)險(xiǎn)；

3) 如果了解該漏洞，可以為敵手造成多大的威脅；

4) 第三方發(fā)現(xiàn)或正在利用該漏洞的可能性；

5) 是否必須利用此漏洞來獲取情報(bào)；

6) 在披露安全漏洞之前能否在短時(shí)間內(nèi)利用該漏洞；

7) 能否修補(bǔ)或以其他方式緩解該漏洞.

這些因素更傾向于作出披露安全漏洞的決定，但并未給出裁決過程的詳細(xì)流程.

隨后電子前沿基金會(huì)(Electronic Frontier Foundation, EFF)，依據(jù)信息自由法(Freedom of Information Act)[10]提起訴訟，美國政府才進(jìn)一步地公布了VEP的相關(guān)文件，但仍有相當(dāng)多的細(xì)節(jié)未公布.

直到2017年11月特朗普政府部分公開了新的VEP政策[11]，其中概述了該流程涉及的組織結(jié)構(gòu)和相應(yīng)的決策因素，較之前公布的政策透明度有所提高.

2.2 美國的安全漏洞公平裁決程序

美國政府公布的最新版安全漏洞公平裁決程序[11]中提到:

1) 假設(shè)大部分漏洞會(huì)立即披露，且不允許政府永久地保留漏洞；

2) 權(quán)益委員會(huì)(Equities Review Board, ERB)是VEP流程的主要論壇，由多個(gè)擁有權(quán)益的政府機(jī)構(gòu)代表組成，每月召開1次會(huì)議,詳細(xì)指出了可參與ERB小組的機(jī)構(gòu)；

3) 由美國國家安全局(National Security Agency, NSA)擔(dān)任VEP流程執(zhí)行秘書處，執(zhí)行秘書處負(fù)責(zé)組織VEP論壇，維護(hù)各機(jī)構(gòu)的POC，記錄決策細(xì)節(jié)，提交年度統(tǒng)計(jì)報(bào)告等.

圖1[11]是美國安全漏洞公平裁決程序流程.

圖1 美國安全漏洞公平裁決程序

對安全漏洞公平裁決程序中的時(shí)間節(jié)點(diǎn)也作了詳細(xì)要求：

1) VEP執(zhí)行秘書處在1天內(nèi)通知相關(guān)POC；

2) 擁有權(quán)益的機(jī)構(gòu)在5天內(nèi)給予回復(fù)，如果機(jī)構(gòu)不同意披露，則在7天內(nèi)與其他機(jī)構(gòu)進(jìn)行討論；

3) 如果決定披露，則在7天內(nèi)盡快披露；

4) 如果決定保留，則ERB每年重新評(píng)估保留的安全漏洞，直到公開披露.

總體上來看美國政府擁有豐富的安全漏洞公平裁決經(jīng)驗(yàn)，實(shí)施安全漏洞公平裁決程序較早.盡管目前關(guān)于流程的更具體細(xì)節(jié)還沒有公布，并且該流程也存在一定缺陷，但相比其他政策該政策透明度相當(dāng)高，對流程中的時(shí)間節(jié)點(diǎn)定義非常詳細(xì).

2.3 英國的安全漏洞公平裁決程序

在歐洲安全漏洞公平裁決程序也被稱為政府披露決策程序，在歐洲范圍英國是率先公布該流程的國家.

2018年11月29日，英國政府通信總部(Government Communications Headquarters, GCH)和英國國家網(wǎng)絡(luò)安全中心(National Cyber Security Center, NCSC)發(fā)布了安全漏洞公平裁決程序[12-13]，其中圖2[12]是英國的安全漏洞公平裁決程序.該政策中提到由以下實(shí)體參與決策流程：

1) 權(quán)益技術(shù)小組(Equities Technical Panel, ETP )由來自英國情報(bào)界的專家組成；

2) GCHQ的股權(quán)委員會(huì)(Equity Board, EB)，該委員會(huì)主席由高級(jí)官員擔(dān)任，由NCSC抽組；

3) 由NCSC首席執(zhí)行官主持權(quán)益監(jiān)督委員會(huì)，該委員會(huì)為NCSC首席執(zhí)行官提供建議；

4) 每年進(jìn)行保留漏洞的重新評(píng)估；

5) 保密協(xié)議或合作伙伴協(xié)議限制.

圖2 英國安全漏洞公平裁決程序

該決策流程采用高級(jí)別監(jiān)督的方法，當(dāng)裁決意見不一致時(shí)就提升裁決級(jí)別，同時(shí)為確保此流程以國家網(wǎng)絡(luò)安全為核心利益，NCSC的代表將參與流程所有階段.

值得一提的是英國的安全漏洞公平裁決程序在適當(dāng)情況下利用通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system, CVSS)[14]來為決策者提供可量化的因素.但關(guān)于流程中的具體時(shí)間節(jié)點(diǎn)沒有說明，相對美國的VEP透明度不夠高.

2.4 澳大利亞的安全漏洞公平裁決程序

澳大利亞信號(hào)局(Australian Signals Directorate, ASD)致力于為政府、企業(yè)和家庭提供建議，包括情報(bào)收集和開展網(wǎng)絡(luò)攻擊以支持澳大利亞軍方[15].ASD于2019年3月15日發(fā)布網(wǎng)絡(luò)安全漏洞的負(fù)責(zé)任發(fā)布原則，該原則可理解為澳大利亞政府的安全漏洞公平裁決程序.

圖3[14]是澳大利亞安全漏洞公平裁決程序,其中澳大利亞的VEP中提到：

1) 政策出發(fā)點(diǎn)是盡量披露安全漏洞；

2) ASD的漏洞決策受到情報(bào)和安全檢查專員的獨(dú)立審查，ASD每年向檢察長提交統(tǒng)計(jì)報(bào)告,每季度重新審核未披露的漏洞.

圖3 澳大利亞安全漏洞公平裁決程序

總體來說澳大利亞的安全漏洞公平裁決政策透明度相對較低，其中很多細(xì)節(jié)沒有公布.值得一提的是其對保留漏洞的重新審核時(shí)間較短，且流程受到審查專員監(jiān)管.

2.5 加拿大的安全漏洞公平裁決程序

加拿大通信安全局(Communication Security Establishment, CSE)于2019年3月11日發(fā)布了其權(quán)益管理框架[16-17].該框架旨在幫助CES在獲得安全漏洞時(shí)使用標(biāo)準(zhǔn)化的決策程序.具體權(quán)益管理框架的流程如圖4所示, 該權(quán)益監(jiān)管框架中提到：

1) 通過CES研究或以其他方式獲得的安全漏洞受此流程約束；

2) 公開的漏洞不受此流程限制;

3) 明確表示盡管收集情報(bào)的任務(wù)非常重要，但該流程還是傾向于盡快披露漏洞;

4) 每年進(jìn)行保留漏洞的重新審核.

圖4 加拿大安全漏洞公平裁決程序

總體來說加拿大的VEP政策其公開透明度不高，甚至對VEP的處理流程都沒有描述，但提到其流程受到審查專員的監(jiān)管，并且加拿大有關(guān)部門正在就將VEP納入其法律體系進(jìn)行研討.

2.6 我國的安全漏洞公平裁決程序

目前我國還沒有公布相關(guān)程序，此前由工業(yè)和信息化部發(fā)布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》[18]，其中提到工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室實(shí)現(xiàn)安全漏洞信息的實(shí)時(shí)共享，加強(qiáng)監(jiān)管.另外由國家互聯(lián)網(wǎng)信息辦公室新發(fā)布的《網(wǎng)絡(luò)安全審查辦法》[19]指出：為維護(hù)國家安全對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)安全審查， 盡早地規(guī)避安全風(fēng)險(xiǎn).我國正在逐步建設(shè)安全漏洞規(guī)范治理體系，其中安全漏洞的權(quán)益評(píng)估是該體系中的重要環(huán)節(jié).

2.7 各國的安全漏洞公平裁決程序?qū)Ρ?/h3>

在政策流程中美國使用決策小組的反復(fù)投票來應(yīng)對特殊情況，而英國、澳大利亞和加拿大采用裁決升級(jí)的方式來應(yīng)對特殊情況.

在對保留漏洞的重新審核上，美國、英國和加拿大遵循1年的重新審核期限，澳大利亞遵循每季度的審核.

從政策公開程度上來看，美國的相關(guān)政策公開最早，且較為詳細(xì).表1是各國的安全漏洞公平裁決程序的對比：

表1 各國安全漏洞公平裁決程序?qū)Ρ?/p>

3 面臨的風(fēng)險(xiǎn)與挑戰(zhàn)

本節(jié)綜合目前發(fā)布的安全漏洞公平裁決程序，分析當(dāng)前安全漏洞公平裁決程序所面臨的主要問題.

1) 保密協(xié)議問題

就目前公布的安全漏洞公平裁決程序來看，其面臨的共同挑戰(zhàn)之一是VEP政策受到保密協(xié)議(non-disclosure agreement, NDA)或合作伙伴計(jì)劃中條款的限制.利用NDA就可以有效阻止安全漏洞進(jìn)入VEP流程.為使得供應(yīng)商放棄保密協(xié)議，可讓同樣面對該問題的國家共同拒絕保密協(xié)議.

2) 漏洞風(fēng)險(xiǎn)等級(jí)問題

通常組織機(jī)構(gòu)在接收到安全漏洞時(shí)會(huì)率先對安全漏洞可能造成的風(fēng)險(xiǎn)進(jìn)行評(píng)估，以更有針對性地協(xié)調(diào)響應(yīng)團(tuán)隊(duì)對可能受到的安全風(fēng)險(xiǎn)進(jìn)行響應(yīng).但是根據(jù)美國和澳大利亞發(fā)布的VEP政策來看，其并沒有提到關(guān)于漏洞風(fēng)險(xiǎn)分級(jí)的問題.

相對于其他指標(biāo)來說，漏洞風(fēng)險(xiǎn)分級(jí)以更量化的方式幫助決策者進(jìn)行決策.目前英國政府在其公布的VEP政策中提到使用CVSS[14]方法對安全漏洞的進(jìn)行風(fēng)險(xiǎn)評(píng)估，該方法對收集到的安全漏洞的主要特征進(jìn)行捕獲，得出反映其嚴(yán)重性的數(shù)字化的評(píng)分結(jié)果.

3) VEP執(zhí)行秘書處設(shè)置

執(zhí)行秘書處負(fù)責(zé)支持VEP流程正常運(yùn)轉(zhuǎn)，協(xié)調(diào)各權(quán)益機(jī)構(gòu)，記錄討論流程并制作年度統(tǒng)計(jì)報(bào)告.在美國的VEP政策中提到，由美國國家安全局(NSA)負(fù)責(zé)擔(dān)任VEP秘書處.作為負(fù)責(zé)網(wǎng)絡(luò)軍事行動(dòng)的情報(bào)機(jī)構(gòu)，美國國家安全局顯然并不適合這一角色[20].由于其職責(zé)所在，在其參與的VEP流程中可能會(huì)傾向于保留安全漏洞，這有悖于盡可能披露安全漏洞的宗旨.

因此可通過將VEP執(zhí)行秘書處設(shè)立于政府高層職位的附近，諸如美國的白宮網(wǎng)絡(luò)安全聯(lián)絡(luò)官或德國聯(lián)邦政府的總理府負(fù)責(zé)人，以促進(jìn)裁決流程的公平性.

4) 過多選擇的問題

美國的VEP政策[11]中明確指出，美國政府對安全漏洞的決定不是簡單二元性的.可采取諸如不披露特定漏洞的情況分發(fā)緩解信息、以某種方式限制美國政府對于安全漏洞的使用、用間接手段來通知廠商該漏洞等.這表明擁有權(quán)益的裁決機(jī)構(gòu)可以有相當(dāng)多的選擇來規(guī)避向公眾披露安全漏洞，其回旋余地極大.這種狀況有悖于美國政府對外聲稱的盡可能披露安全漏洞的承諾.

政府的安全漏洞公平裁決程序應(yīng)更明確其對安全漏洞的處置方法，并對該流程進(jìn)行立法監(jiān)督，具體可要求VEP秘書處每年向立法機(jī)構(gòu)提交安全漏洞統(tǒng)計(jì)報(bào)告，以實(shí)現(xiàn)更大的透明度.

4 對我國政策制定的啟發(fā)與建議

通過對比發(fā)達(dá)國家的安全漏洞公平裁決程序，以及目前制定政策面臨挑戰(zhàn)來看，可得到如下的結(jié)論：

1) 政策制定時(shí)需要確保各利益相關(guān)方的權(quán)益相對公平，應(yīng)保持和實(shí)際政治體系中的組織結(jié)構(gòu)保持一致；

2) 政策應(yīng)以最終披露安全漏洞為目標(biāo)；

3) 政策的制定應(yīng)盡可能公開透明，并由執(zhí)行秘書處向有關(guān)機(jī)構(gòu)定期述職；

4) 政策中應(yīng)定期對保留的安全漏洞進(jìn)行審核；

5) 應(yīng)禁止政府與供應(yīng)商的安全漏洞保密協(xié)議，該協(xié)議會(huì)限制公平裁決程序；

6) 政府對安全漏洞的利用也應(yīng)在許可范圍內(nèi).

5 總 結(jié)

目前公布的安全漏洞公平裁決程序均體現(xiàn)出透明程度不高、規(guī)范性差、不受監(jiān)管的特點(diǎn).

安全漏洞公平裁決程序目前還需要解決保密協(xié)議的限制、組織機(jī)構(gòu)設(shè)置的困難、評(píng)估因素缺乏量化和后續(xù)操作不規(guī)范的問題.

標(biāo)準(zhǔn)化的安全漏洞公平裁決程序應(yīng)具備受監(jiān)管、流程透明公開、組織機(jī)構(gòu)設(shè)置合理、量化影響因素和優(yōu)先披露的原則.應(yīng)要求周期性重新審查保留漏洞并提交年度安全漏洞統(tǒng)計(jì)報(bào)告.我國也應(yīng)依據(jù)自身特點(diǎn)盡快建立相關(guān)程序以規(guī)范裁決流程，保護(hù)國家網(wǎng)絡(luò)空間安全.

猜你喜歡

安全漏洞漏洞公平

不公平

少年博覽·小學(xué)低年級(jí)(2023年2期)2023-05-30 10:48:04

公平對抗

鳳凰動(dòng)漫(軍事大王)(2022年9期)2022-11-05 03:14:42

漏洞

今日農(nóng)業(yè)(2022年13期)2022-09-15 01:21:08

怎樣才公平

數(shù)學(xué)小靈通(1-2年級(jí))(2022年3期)2022-03-17 06:18:30

安全漏洞太大亞馬遜、沃爾瑪和Target緊急下架這種玩具

玩具世界(2018年6期)2018-08-31 02:36:26

公平比較

數(shù)學(xué)小靈通(1-2年級(jí))(2017年4期)2017-05-04 04:08:08

基于安全漏洞掃描的校園網(wǎng)告警系統(tǒng)的開發(fā)與設(shè)計(jì)

電子設(shè)計(jì)工程(2017年20期)2017-02-10 03:39:57

三明：“兩票制”堵住加價(jià)漏洞

中國衛(wèi)生(2016年5期)2016-11-12 13:25:28

漏洞在哪兒

兒童時(shí)代(2016年6期)2016-09-14 04:54:43

高鐵急救應(yīng)補(bǔ)齊三漏洞

中國衛(wèi)生(2015年12期)2015-11-10 05:13:38

信息安全研究2021年6期

信息安全研究的其它文章

基于獲獎(jiǎng)數(shù)據(jù)的全國大學(xué)生信息安全作品賽分析

一種基于流量指紋的物聯(lián)網(wǎng)設(shè)備實(shí)時(shí)自動(dòng)檢測及識(shí)別

網(wǎng)絡(luò)威脅情報(bào)標(biāo)準(zhǔn)化建設(shè)分析

開源軟件漏洞庫綜述

智能網(wǎng)聯(lián)汽車安全綜述

基于區(qū)塊鏈交易驗(yàn)證的設(shè)備認(rèn)證方法