漏洞信息或成戰(zhàn)略資源

《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016)》顯示：截至2015年12月底，中國網(wǎng)站總量達到426.7萬余個；而由于各種各樣安全漏洞的存在，網(wǎng)站面臨著黑客以癱瘓目標業(yè)務系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴峻的安全態(tài)勢。

“信息技術的迅速發(fā)展促進了計算機規(guī)模的膨脹，增加了個人、企業(yè)乃至社會和國家對網(wǎng)絡安全的需求?！诿弊印颐弊印壤寐┒催M行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明，網(wǎng)絡風險的泛在性使得安全成為普遍性的問題，‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機構(gòu)獲取漏洞、升級系統(tǒng)的重要途徑，在維護信息系統(tǒng)方面的作用不可替代。”黃道麗說。

國家互聯(lián)網(wǎng)應急中心運行部副主任嚴寒冰也表示，2009年以后，多家漏洞報告平臺的陸續(xù)成立，如補天平臺、烏云網(wǎng)、漏洞盒子，“白帽子”發(fā)現(xiàn)并上報漏洞已經(jīng)成為整個漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

網(wǎng)絡安全漏洞關系到企業(yè)和個人的信息安全，甚至涉及國家安全。“發(fā)達國家早已把漏洞信息當作一種戰(zhàn)略資源?！敝x永江表示。

比如2013年，世界主要工業(yè)設備和武器制造國在常規(guī)武器及其民用技術協(xié)定《瓦森納協(xié)定》中規(guī)定，零日(0day)漏洞(指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)也屬于危險武器出口條約的規(guī)范對象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權”，相應的用于入侵計算機系統(tǒng)的軟件、硬件設備和組件也受到同等限制。2015年5月20日，美國工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實草案，其中就規(guī)定，禁止在不同的國家之間互通漏洞信息。據(jù)此，美國企業(yè)或個人向境外廠商報告漏洞情況被視為一種出口行為，需預先申請政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應用價值，我認為，可以在國家層面建立漏洞信息庫，收購企業(yè)以及包括’白帽子‘在內(nèi)的個人發(fā)現(xiàn)的漏洞，在網(wǎng)絡戰(zhàn)爭日益成為現(xiàn)實的情況下，未雨綢繆，做好技術儲備工作。”謝永江建議。

漏洞信息的挖掘與保護也得到了我國政府的關注。4月19日，國家主席習近平在網(wǎng)絡安全和信息化工作座談會上強調(diào)，“要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向、趨勢。要建立政府和企業(yè)網(wǎng)絡安全信息共享機制，把企業(yè)掌握的大量網(wǎng)絡安全信息用起來，龍頭企業(yè)要帶頭參加這個機制?！甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡安全態(tài)勢能力”的重要內(nèi)容，寫入我國《國家信息化發(fā)展戰(zhàn)略綱要》。

謝永江透露，中國網(wǎng)絡空間安全協(xié)會目前正在籌建中，將來也會成立分會，對包括“白帽子”問題、安全漏洞的法律定位等進行專門研究。

徐小康 汪文濤