文 | 中國(guó)信息安全測(cè)評(píng)中心 曹明 任望
習(xí)近平總書記強(qiáng)調(diào)�����,“網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展��、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題”���。當(dāng)前,以網(wǎng)絡(luò)化���、數(shù)字化為代表的新科技革命和產(chǎn)業(yè)變革深入發(fā)展�,對(duì)國(guó)家安全治理產(chǎn)生了深遠(yuǎn)影響�。隨著網(wǎng)數(shù)智的快速發(fā)展,網(wǎng)絡(luò)安全漏洞已成為國(guó)家安全體系不可忽視的一環(huán)����。在總體國(guó)家安全觀的指導(dǎo)下��,面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)��,以漏洞治理賦能新質(zhì)生產(chǎn)力發(fā)展���,成為重要工作之一��。
一�、牢牢把握總體國(guó)家安全觀對(duì)網(wǎng)絡(luò)安全漏洞治理的指導(dǎo)和要求
2014 年 4 月 15 日,習(xí)近平總書記在中央國(guó)家安全委員會(huì)第一次會(huì)議上����,創(chuàng)造性提出總體國(guó)家安全觀。10 年來�����,以習(xí)近平同志為核心的黨中央洞察百年變局之勢(shì)�����、把握民族復(fù)興之需�、引領(lǐng)時(shí)代潮流之變,在新時(shí)代國(guó)家安全實(shí)踐中不斷深化理論創(chuàng)新��。漏洞治理是通過政府�、產(chǎn)業(yè)、組織或機(jī)構(gòu)��、社會(huì)共同協(xié)作���,構(gòu)建國(guó)家漏洞數(shù)據(jù)資源大循環(huán)體系�����,打造中國(guó)特色的漏洞治理生態(tài)����,實(shí)現(xiàn)漏洞有效的閉環(huán)管控、網(wǎng)絡(luò)安全利益全面增進(jìn)的活動(dòng)與過程���。堅(jiān)持總體國(guó)家安全觀����,對(duì)國(guó)家網(wǎng)絡(luò)安全漏洞治理具有現(xiàn)實(shí)而深遠(yuǎn)的指導(dǎo)意義��。
一是總體國(guó)家安全觀提出國(guó)家安全是全方位����、多層次、寬領(lǐng)域的安全����。這就要求漏洞治理不能僅僅局限于單一的技術(shù)層面����,應(yīng)從國(guó)家戰(zhàn)略的高度出發(fā)��,統(tǒng)籌考慮政治���、經(jīng)濟(jì)、文化�����、社會(huì)等多維度的影響�。因此,漏洞治理不僅要依靠技術(shù)手段�,還需要法律、政策���、教育等多方面的支持和配合�。
二是總體國(guó)家安全觀倡導(dǎo)主動(dòng)預(yù)防的安全策略��。這就要求漏洞治理要建立完善的預(yù)警機(jī)制�,提前發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn),采取有效措施進(jìn)行防范��。同時(shí)����,漏洞治理還要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育�����,提高全民的網(wǎng)絡(luò)安全意識(shí)和自我保護(hù)能力���,形成全社會(huì)共同參與的網(wǎng)絡(luò)安全人民防線。
三是總體國(guó)家安全觀強(qiáng)調(diào)統(tǒng)籌融合整合一體的治理理念���。這就要求漏洞治理要建立跨部門�����、跨行業(yè)的協(xié)作機(jī)制��,形成政府����、企業(yè)�����、社會(huì)組織和公民個(gè)人共同參與的治理格局���。通過融合各領(lǐng)域布局��,整合各方面資源�����,發(fā)揮各力量?jī)?yōu)勢(shì)�����,共同應(yīng)對(duì)網(wǎng)絡(luò)安全漏洞帶來的挑戰(zhàn)�����。四是總體國(guó)家安全觀推進(jìn)構(gòu)建人類命運(yùn)共同體的國(guó)際共同安全��。這就要求漏洞治理要在全球化的背景國(guó)際社會(huì)的共同努力�����,應(yīng)積極參與國(guó)際漏洞治理����,各國(guó)共同制定漏洞治理規(guī)則�����,共同應(yīng)對(duì)跨國(guó)網(wǎng)絡(luò)安全威脅。五是總體國(guó)家安全觀堅(jiān)持以人民為宗旨的發(fā)展思想��。這就要求漏洞治理要始終把人民的利益放在首位�����,保障人民的信息安全和隱私權(quán)益��,依靠人民提高網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)應(yīng)對(duì)能力�����,切實(shí)維護(hù)人民群眾的切身利益���?��?傮w國(guó)家安全觀為網(wǎng)絡(luò)安全漏洞治理提供了根本遵循和行動(dòng)指南,對(duì)于構(gòu)建和諧穩(wěn)定的網(wǎng)絡(luò)環(huán)境����、維護(hù)國(guó)家安全具有重要指導(dǎo)意義。
二��、深刻認(rèn)識(shí)新質(zhì)生產(chǎn)力發(fā)展帶來漏洞治理的新挑戰(zhàn)
習(xí)近平總書記強(qiáng)調(diào),“新質(zhì)生產(chǎn)力是創(chuàng)新起主導(dǎo)作用���,擺脫傳統(tǒng)經(jīng)濟(jì)增長(zhǎng)方式、生產(chǎn)力發(fā)展路徑�����,具有高科技�、高效能、高質(zhì)量特征��,符合新發(fā)展理念的先進(jìn)生產(chǎn)力質(zhì)態(tài)�。”數(shù)字化時(shí)代,新質(zhì)生產(chǎn)力的快速發(fā)展���,特別是以科技創(chuàng)新為核心的生產(chǎn)力發(fā)展����,以網(wǎng)絡(luò)化�、數(shù)字化、智能化為標(biāo)志��,正在重塑全球經(jīng)濟(jì)和社會(huì)結(jié)構(gòu)����。這一變革為漏洞治理提出的新課題���,漏洞風(fēng)險(xiǎn)不斷增加,關(guān)鍵技術(shù)創(chuàng)新和自主可控能力亟需加強(qiáng)���;伴隨新質(zhì)生產(chǎn)力發(fā)展對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施依賴增加����,全面防范網(wǎng)絡(luò)攻擊能力亟待提升����,這些給漏洞治理帶來重重挑戰(zhàn)。
一是網(wǎng)數(shù)智技術(shù)迭代迅速?gòu)?fù)雜��,漏洞消控任務(wù)艱巨����。從內(nèi)在條件看,我國(guó)數(shù)字領(lǐng)域關(guān)鍵核心技術(shù)受制于人的局面尚未根本改變���,尤其在高端芯片�、基礎(chǔ)協(xié)議�、高級(jí)人工智能��、通信服務(wù)設(shè)備等方面��,實(shí)現(xiàn)數(shù)字產(chǎn)業(yè)鏈自主可控目標(biāo)還將經(jīng)過一個(gè)長(zhǎng)期努力的過程�����,漏洞風(fēng)險(xiǎn)問題更加突出。從數(shù)字技術(shù)發(fā)展看�����,新技術(shù)��、新應(yīng)用層出不窮��,更新迭代迅速����,系統(tǒng)架構(gòu)更加復(fù)雜,組件接口繁多���,大大增加漏洞發(fā)現(xiàn)的難度���。
二是漏洞攻擊戰(zhàn)術(shù)戰(zhàn)法隱蔽高級(jí),監(jiān)測(cè)預(yù)警應(yīng)對(duì)乏力。攻擊者利用零日漏洞發(fā)動(dòng)攻擊�����,往往在被發(fā)現(xiàn)之前就已經(jīng)造成損害���。并開發(fā)利用這些漏洞的攻擊手段�,這些漏洞可能在被發(fā)現(xiàn)和修復(fù)之前就已經(jīng)被利用��。高級(jí)持續(xù)性威脅攻擊者使用高級(jí)技術(shù)來隱藏其攻擊活動(dòng)�����,使得攻擊行為難以被檢測(cè)和追蹤�����。攻擊供應(yīng)鏈中的薄弱環(huán)節(jié)�,間接影響目標(biāo)組織。人工智能來自動(dòng)化攻擊流程��,提高攻擊效率和隱蔽性���?�?缍鄠€(gè)平臺(tái)(如移動(dòng)設(shè)備����、桌面、服務(wù)器等)進(jìn)行攻擊�����。某些攻擊背后可能有國(guó)家支持�����,這些攻擊往往具有高度的組織性和隱蔽性�。
三是漏洞黑色產(chǎn)業(yè)興風(fēng)作浪����,治理問題依然棘手。漏洞黑色產(chǎn)業(yè)早已形成發(fā)現(xiàn)�����、交易����、利用等各環(huán)節(jié)完整的產(chǎn)業(yè)鏈�����?���!?/span>2023 年互聯(lián)網(wǎng)黑灰產(chǎn)研究年度報(bào)告》數(shù)據(jù)顯示���,國(guó)內(nèi)黑灰產(chǎn)從業(yè)人員數(shù)量超過 580 萬����,涉及的攻擊資源量級(jí)大幅提升�����。零日攻擊態(tài)勢(shì)持續(xù)居高���,2023 年新增零日漏洞中有 92%是在野利用�,受害目標(biāo)多樣化�����,覆蓋各類企業(yè)以及個(gè)人用戶����,實(shí)施數(shù)據(jù)竊取�����、勒索攻擊���。跨地區(qū)國(guó)際化特點(diǎn)突出�����,給法律監(jiān)管帶來了巨大挑戰(zhàn)��,需要國(guó)際合作和更先進(jìn)的技術(shù)手段來應(yīng)對(duì)�����。
四是漏洞風(fēng)險(xiǎn)整體認(rèn)知能力不足���,管理問題紛雜不清。一些組織或個(gè)人未能充分認(rèn)識(shí)到網(wǎng)絡(luò)安全漏洞的嚴(yán)重性和漏洞管理的重要性����,無法及時(shí)有效地識(shí)別���、評(píng)估、修復(fù)和管理漏洞��,從而增加遭受攻擊的風(fēng)險(xiǎn)��。漏洞生命周期管理流程不明確或執(zhí)行力度不夠���,缺乏開發(fā)�����、運(yùn)維和安全團(tuán)隊(duì)跨部門協(xié)作�,導(dǎo)致漏洞管理效率低下��、識(shí)別漏洞后行動(dòng)不及時(shí)����。面對(duì)大量漏洞,組織無法正確判斷哪些漏洞需要優(yōu)先修復(fù)�,導(dǎo)致重要漏洞被遺漏。合規(guī)僅僅是基線�,資產(chǎn)分類分級(jí)管理不到位,無法準(zhǔn)確評(píng)估哪些資產(chǎn)風(fēng)險(xiǎn)更高��,漏洞風(fēng)險(xiǎn)整體形勢(shì)不容樂觀。
五是具有綜合能力的漏洞人才缺口較大�,培養(yǎng)激勵(lì)機(jī)制亟待完善。在網(wǎng)絡(luò)安全領(lǐng)域�����,專業(yè)人才的短缺是一個(gè)不容忽視的問題�����。當(dāng)前�,高校教育和職業(yè)培訓(xùn)所能提供的人才數(shù)量遠(yuǎn)遠(yuǎn)無法滿足市場(chǎng)上日益增長(zhǎng)的缺口。盡管我國(guó)擁有一定數(shù)量的漏洞發(fā)現(xiàn)專家和漏洞研究人員���,但是這個(gè)數(shù)量仍然不能滿足漏洞相關(guān)工作的總需求��。因此�,如何設(shè)置合適的崗位以及確立正確的價(jià)值導(dǎo)向���,成為漏洞研究領(lǐng)域的核心議題之一。同時(shí)��,如何鼓勵(lì)并引導(dǎo)優(yōu)秀的青年漏洞研究人才投身國(guó)家安全事業(yè)����,也是值得深入探討的重要問題���。
三、加快推進(jìn)漏洞治理賦能新質(zhì)生產(chǎn)力發(fā)展的工作著力點(diǎn)
堅(jiān)持實(shí)戰(zhàn)導(dǎo)向���、目標(biāo)導(dǎo)向和問題導(dǎo)向��,以總體國(guó)家安全觀為指導(dǎo)����,以新發(fā)展理念為引領(lǐng)�,以高質(zhì)量漏洞治理能力護(hù)航新質(zhì)生產(chǎn)力為目標(biāo),切實(shí)履行漏洞分析和風(fēng)險(xiǎn)評(píng)估職責(zé)����。推進(jìn)漏洞治理有助于提高政府和社會(huì)對(duì)新技術(shù)風(fēng)險(xiǎn)的認(rèn)識(shí)和管理能力,促進(jìn)國(guó)家安全治理體系和能力現(xiàn)代化�,有助于識(shí)別和解決新質(zhì)生產(chǎn)力發(fā)展中的潛在風(fēng)險(xiǎn),確保技術(shù)進(jìn)步與安全發(fā)展相協(xié)調(diào)�,有助于增強(qiáng)產(chǎn)業(yè)的可靠性和競(jìng)爭(zhēng)力,推動(dòng)產(chǎn)業(yè)實(shí)現(xiàn)新質(zhì)生產(chǎn)力的高質(zhì)量發(fā)展��。
一是把漏洞治理提升到國(guó)家安全層面,建立健全漏洞治理體制機(jī)制建立健全����。漏洞治理是解決非傳統(tǒng)安全風(fēng)險(xiǎn)向傳統(tǒng)安全風(fēng)險(xiǎn)傳導(dǎo)問題的關(guān)鍵環(huán)節(jié),是提升國(guó)家安全治理能力的基礎(chǔ)��,更是維護(hù)國(guó)家安全的重要戰(zhàn)略任務(wù)���,狠抓漏洞治理就是筑牢網(wǎng)絡(luò)安全根基���。網(wǎng)絡(luò)互聯(lián)互通,數(shù)據(jù)無處不在�,看似不起眼的漏洞可以毀掉宏大的數(shù)字工程。漏洞治理的關(guān)鍵和根本��,是要依賴國(guó)家安全層面統(tǒng)一部署的工作機(jī)制���,明確漏洞治理職能����,構(gòu)建基礎(chǔ)研究�����、發(fā)現(xiàn)檢測(cè)�����、風(fēng)險(xiǎn)評(píng)估及人才管理等治理能力�,統(tǒng)籌推進(jìn)漏洞風(fēng)險(xiǎn)治理體系建設(shè),實(shí)現(xiàn)漏洞風(fēng)險(xiǎn)有效管控�。
二是貫穿漏洞生命周期環(huán)節(jié)管控,強(qiáng)化落實(shí)供應(yīng)鏈相關(guān)責(zé)任�。采取有效的管理手段可以減少漏洞數(shù)量、降低漏洞風(fēng)險(xiǎn)��,改善數(shù)字產(chǎn)品安全�����。建立數(shù)字產(chǎn)品漏洞風(fēng)險(xiǎn)評(píng)估機(jī)制����,規(guī)范漏洞風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn),組織可靠力量分級(jí)分批深挖細(xì)排�����。明確數(shù)字產(chǎn)品提供者使用者等相關(guān)方漏洞排查和修復(fù)的責(zé)任和要求����,專業(yè)機(jī)構(gòu)協(xié)同檢測(cè)評(píng)估處置�����,實(shí)現(xiàn)漏洞全生命周期覆蓋管控�����。
三是倡導(dǎo)全球數(shù)字產(chǎn)業(yè)高質(zhì)量發(fā)展���,促進(jìn)國(guó)際合作共同構(gòu)建漏洞治理體系。數(shù)字化轉(zhuǎn)型是全球經(jīng)濟(jì)發(fā)展趨勢(shì)��,全球數(shù)字供應(yīng)鏈相互交織�����,提供高質(zhì)量數(shù)字技術(shù)����、以負(fù)責(zé)任的態(tài)度持續(xù)保障產(chǎn)品安全性能才是拓展國(guó)際市場(chǎng)的長(zhǎng)遠(yuǎn)之計(jì)。特別要與核心基礎(chǔ)數(shù)字產(chǎn)品供應(yīng)方建立漏洞信息及時(shí)共享的保障機(jī)制�,共同創(chuàng)建國(guó)際通用的漏洞規(guī)范標(biāo)準(zhǔn),引領(lǐng)國(guó)際漏洞治理體系新規(guī)則�,實(shí)現(xiàn)安全權(quán)益最大化�����。
四是營(yíng)造良好的漏洞產(chǎn)業(yè)發(fā)展環(huán)境,推動(dòng)漏洞技術(shù)攻關(guān)和應(yīng)用創(chuàng)新�。漏洞產(chǎn)業(yè)是漏洞風(fēng)險(xiǎn)治理的重要支柱力量,在嚴(yán)厲打擊黑產(chǎn)鏈條基礎(chǔ)上�����,合理引導(dǎo)上游產(chǎn)出�����,加大中游參與主體準(zhǔn)入和監(jiān)督力度���,運(yùn)用政策支持鼓勵(lì)下游企業(yè)積極應(yīng)用創(chuàng)新���,規(guī)劃布局產(chǎn)業(yè)整體發(fā)展方向,有力提升產(chǎn)業(yè)效能���,充分發(fā)揮漏洞產(chǎn)業(yè)的重要作用��。
五是加快建設(shè)漏洞人才隊(duì)伍�����,突出人才價(jià)值體現(xiàn)���,發(fā)揮人才隊(duì)伍主觀能動(dòng)性���。網(wǎng)絡(luò)空間安全博弈中的攻防較量,主要體現(xiàn)在人與人的對(duì)抗�����,漏洞人才是維護(hù)國(guó)家安全和提升技術(shù)優(yōu)勢(shì)地位的戰(zhàn)略資產(chǎn)����。我國(guó)漏洞人才面臨嚴(yán)重不足和合理利用雙重挑戰(zhàn),建設(shè)漏洞學(xué)科體系�,培養(yǎng)致力于投身國(guó)家安全的高素質(zhì)人才,正向引導(dǎo)社會(huì)人才隊(duì)伍積極技術(shù)攻關(guān)�,統(tǒng)籌漏洞人才職業(yè)教育,激勵(lì)人才學(xué)以致用��,吸引更多有識(shí)之士投入到漏洞治理行動(dòng)中來���。
(本文刊登于《中國(guó)信息安全》雜志2024年第5期)
等保測(cè)評(píng)咨詢
