(CISA) 网络安全漏洞治理政策分析

 当今世界正处于百年未有之大变局，国际形势风云变幻，推动全球治理体系深刻变革，网络空间治理作为全球治理的全新命题和重要领域，关系着全人类的命运。网络安全漏洞（Vulnerability，以下简称“漏洞”）是网络空间系统构建的必然结果和客观存在，日益成为全球网络空间安全事件的主要诱因，上至重要系统中潜藏的“零日漏洞”，下至网络上俯拾皆是的历史漏洞，均是全球数字化发展的“阿喀琉斯之踵”，一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而对国家、社会和公众造成重大损失。随着漏洞的资源属性和战略地位不断提高，“谁能利用好漏洞，谁就能在网络空间占据先锋”成为当前“网缘政治”的新名言。美国基于漏洞治理领域先发优势，经过多年的发展，在漏洞的发现收集、验证评估、修复消控、披露和跟踪上建立了完善的漏洞治理体系，其中国土安全部（DHS）及其下属的网络安全和基础设施安全局（CISA）发挥了关键的统筹协调作用。因此，以 CISA 为例研究美国漏洞治理体系的历史沿革、主要内容、实施效果，对于强化我国漏洞治理政策具有一定的借鉴意义。

一、CISA 漏洞治理政策的历史由来

美国自 20 世纪 80 年代开始由 DHS 主导漏洞治理实践工作，通过《爱国者法案》《2002 年关键基础设施信息保护法》《瓦森纳协定》《商业与政府信息技术和工业控制产品或系统的漏洞裁决政策和程序（VEP）》等以法律手段和制度威慑对漏洞资源实施严管严控，随着《2015 网络安全信息共享法》《2017 反黑客保护能力法案》《2018 网络漏洞公开报告法案》等法案颁布，逐渐向“共享合作”方向演变发展，并在 2018 年 CISA 成立后形成了统筹协调和精细化的治理格局，逐渐发展为以 CISA 为核心的漏洞治理政策。

（一）通用漏洞披露（CVE）与美国国家漏洞库（NVD）：奠定美国漏洞治理的基础

美国漏洞治理发端于公私合作的标准项目和漏洞库建设，DHS 早期通过资助CVE 和 NVD，完成了美国漏洞治理的基础布局。

一是资助非营利组织制定通用漏洞披露（CVE）并推广为全球通用标准。通用漏洞披露（CVE）是漏洞标识标准也是漏洞字典库，负责收集漏洞并给予编号以便于公众查阅。CVE 由 DHS 资助非营利组织麦特（MITRE）公司于 1999 年推出，后由其下属的国土安全系统工程与发展研究所（HSSEDI）运营维护，并在 2002 年被美国国家标准与技术研究院（NIST）推荐到美国全联邦机构使用，在 2004 年被美国国防信息系统局（DISA）推荐到安全产品中使用。CVE 虽然是一个漏洞索引目录，但是在其建立之初就充分体现了其开放性，通过建立 CVE 编码委员会（CNA），充分吸纳美国内商业公司、学术研究机构、开源组织、漏洞奖励平台以及知名安全专家，广泛吸引来自全球各国的合作伙伴，目前已涵盖 34 个国家的 221 个合作伙伴。可以说，CVE 编号已成为漏洞沟通的“通用语言”。

二是以标准先发优势建设国家级漏洞库 NVD。随着 CVE 国际影响力不断提升，为了进一步扩大在漏洞管理领域的影响力和掌控力，DHS 委托 NIST在 CVE 基础上建立了国家级漏洞库 NVD。NVD 早期仍由麦特公司负责运营管理，2013 年起由美国计算机应急准备小组（US-CERT）正式接管。NVD 与CVE 同步更新，同时 NVD 还兼容了包含“通用漏洞评估系统”(CVSS)、“通用平台列举”（CPE）等漏洞相关标准在内的安全内容自动化协议（SCAP），能够提供更为详细和全面的漏洞分类、分级、影响产品等标准化、格式化信息，数据应用性更强，使用范围更广。截至 2022 年 5 月 17 日，NVD 公开发表的漏洞数量合计 176207 条，居世界前列，已成为各国家、各行业研究漏洞的重要来源。

（二）国家网络安全和通信整合中心（NCCIC）：建成漏洞共享中心

2009 年，为加强网络态势感知，DHS 成立国家网络安全和通信整合中心（NCCIC），整合 USCERT 在内的多家网络安全机构，提供对网络数据、威胁、漏洞等分析和实时监控、信息共享、应急响应。

《2014 年联邦信息安全现代化法案》与《2015年网络安全信息共享法》明确了 NCCIC 作为美国民事联邦机构的安全运营中心，协同处理漏洞预警、共享、缓解和修复等职能。一是实施前置的漏洞告警，与来自行业、学术界和国家实验室的联系人协调开发和发布漏洞告警。二是开展实时的漏洞共享，协调与联邦政府共享有关网络威胁指标、防御措施、网络安全风险和事件的信息，利用自动指标共享项目 (AIS) 确保相关方以近实时方式预防、检测和应对当前网络漏洞威胁。三是开展及时的漏洞响应，提供有关网络威胁指标、防御措施、网络安全风险和事件的技术援助、风险管理支持和事件响应能力。四是协同相关机构，与国际合作伙伴共享合作网络威胁指标、防御措施以及与网络安全风险和事件相关的信息。

（三）网络安全和基础设施安全局（CISA）：实现对于漏洞的统筹管控

2018 年 11 月，美国总统特朗普签署《2018 年网络安全和基础设施安全局法案》，批准 DHS 下的国家保护与计划局（NPPD）重组为网络安全和基础设施安全局 CISA，以识别威胁、共享信息并协助事件响应，保护国家的网络和关键基础设施安全。

2021 年 5 月，拜登政府发布《改善国家网络安全行政令》，要求“最大限度地尽早发现网络上的漏洞和事件，加强联邦政府对漏洞的认识和检测”。基于此，CISA 将统筹漏洞治理作为重要任务，积极充实“工具箱”。一是在法律上用活强制性网络安全指令。CISA 成立以来共发布 3 项约束力操作指令（BOD）规范漏洞相关政策，分别是要求在特定时间内修复高风险漏洞的 BOD 19-02，要求制定漏洞披露政策（VDP）的 BOD 20-01，要求限期修复“已知被利用于攻击的漏洞”的 BOD 22-01。二是在资金上向漏洞管理政策上倾斜。CISA 通过《综合拨款法案》《救援法案》等资助威胁狩猎计划、网络哨兵计划、终端检测和响应（EDR）计划等漏洞发现项目，提升对联邦政府系统漏洞的监测。三是积极纳入漏洞人才。CISA 成立“点燃黑客社区小组委员会”，负责带头发展由黑客、漏洞研究人员和威胁情报专家组成的技术咨询委员会，“招安”著名黑客进入咨询团队，对国家网络安全起到直接支撑作用。

二、CISA 漏洞治理政策的主要内容

为了加强对漏洞全生命周期的管理，CISA 全面深化漏洞发现收集、验证评估、修复消控、协同披露和跟踪管理五个环节，发布重点政策，实现治理手段和治理效果的全面升级。

（一）发现收集：多措并举提高漏洞发现与归口

漏洞的发现和收集是漏洞治理的起点，实现更广范围收集、更多主体参与是有效漏洞治理政策的必然要求。CISA 主要通过三种方式发现和收集漏洞：即漏洞分析服务、漏洞监控以及多利益攸关方的报告。

在漏洞分析服务方面，CISA 作为美国联邦政府的网络运营中心，负责集成工具提供威胁狩猎（threat hunting）服务，具体包括漏洞扫描（VS）、远程渗透测试（RPT）和网页应用扫描（WAS），通过自动扫描互联网可访问系统，帮助客户了解风险敞口，依靠专门团队针对目标内部系统识别和评估漏洞，通过检查已知漏洞、错误和弱配置来评估联邦公共的运行状况。

在漏洞监控方面，CISA 加大对终端检测和响应（EDR）计划的部署。《改善国家网络安全行政令》要求联邦民事行政部门部署 EDR 计划，以支持对联邦政府基础架构内网络安全事件的主动检测、主动的网络捕获、遏制和补救措施以及事件响应。特别是在“太阳风”网络攻击事件后，美国内对于由DHS 开发的、投入数十亿美元的网络入侵系统“爱因斯坦”系统感到不满。对此，CISA 大力推动在联邦政府内部署 EDR 技术，以获得对端点设备（如服务器和工作站）以及云环境和集中数据日志的感知能力，以响应 APT 攻击等高级形式的网络安全威胁。截至 2022 年 5 月，CISA 已正在 26 个民事行政机构完成部署，预计在 2022 年底，53 个机构将完成部署。

在漏洞报告方面，为帮助联邦民事行政机构建立识别、管理和修复漏洞的流程，CISA 重点推进漏洞披露政策（VDP），VDP 源于美国管理和预算办公室（OMB）2020 年 9 月发布的“提升漏洞发现、管理和修复”备忘录（M-20-32）。该备忘录明确各联邦部门需要建立 VDP，明确 CISA 负责统筹协调各部门 VDP 的落地与联动。对此，CISA 发布“制定和公开漏洞披露政策”的约束性操作指令（BOD 20-1），要求美国联邦民用建立漏洞提报及回应系统，限时提供网络安全窗口以及发布VDP 政策，涵盖漏洞披露范围、允许的测试型态、漏洞报告渠道、能否匿名举报、承诺不对举报者采取法律行动、设定回应时间等。CISA 还在2021 年 7 月建立了 VDP 平台，汇集了国土安全部、联邦通信委员会、农业部、劳工部等 11 个部门的VDP。广大安全研究人员可通过 VDP 直接向 CISA报告漏洞，这使得 CISA 对联邦民事行政机构的漏洞掌控力增强，进一步提高了联邦政府的网络安全。

（二）验证评估：建立和推广以风险管理为核心的漏洞评估体系

漏洞验证评估是确定漏洞威胁等级的重要阶段，评估结果将作为后续漏洞消控、披露和跟踪的重要依据。CISA 在漏洞验证评估阶段的治理更强调明确漏洞可能造成的安全风险，漏洞本身的技术严重性仅作为参考，因此 CISA 使用针对特定利益相关者的漏洞分类方法(Stakeholder-specific VulnerabilityCategorization，简称 SSVC)，替代了之前广泛使用的通用漏洞评分系统 CVSS。

自2005年美国国家基础设施咨询委员会（NIAC）推出 CVSS 以来，国际上广泛将其作为通用软件漏洞严重性评估标准，并根据 CVSS 评分来确定漏洞处置优先级和评估系统可能面临的安全风险。然而CVSS 仅能衡量漏洞的技术严重性，指标中时间因素和环境因素形同虚设，无法充分表达漏洞可能造成的实际威胁，因此漏洞管理中通常优先修复 CVSS评分高的漏洞，可能忽视了真正亟需修复的高风险漏洞。2019 年 12 月，美国国防部资助的美国卡内基梅隆大学软件工程研究所提出了 SSVC，作为漏洞管理的概念性工具，可针对不同漏洞管理需求提供决策树，供应商、部署者和协调者可根据自身立场开展漏洞管理决策。正如美国历来对漏洞标准的推广模式，CISA 逐步开展了 SSVC 在美国国内的应用，一方面，在面向联邦机构发布的《网络安全事件和漏洞响应手册》中要求使用 SSVC 进行“漏洞评估”，另一方面，根据国防授权法案，CISA 发现联网的关键基础设施、受保护的设备或系统等存在漏洞时，可对相关系统的所有者或运营商发送行政传票，传票的依据就是 CISA 使用 SSVC 对于漏洞风险的评估结果。基于 SSVC，CISA 实现了漏洞评估标准的“量身定制”，并逐步向世界范围推广。

（三）修复消控：规范联邦漏洞响应流程

漏洞修复消控是防范漏洞威胁的重要环节。CISA 在该环节中强调对整个联邦民事行政机构漏洞修复消控行为的规范，以保障联邦系统或架构具备“网络弹性”，更好地应对漏洞威胁。

在美国联邦系统发生一系列安全事件之后，拜登总统发布《改善国家网络安全行政令》要求确保各联邦机构对网络事件和漏洞有共同的理解，实现应对漏洞和事件的标准化处置流程。为落实该条规定， 2021 年 11 月，CISA 紧随“联合网络防御协作”（JCDC）计划之后发布《网络安全事件和漏洞响应手册》，基于以往事件中汲取的经验教训并结合行业最佳实践，为联邦民事行政机构和代表联邦机构的承包商或其他组织应对紧急和高风险漏洞提供标准流程。流程包含四个阶段：一是识别阶段，通过监控威胁源和信息源，主动识别正在被积极利用的漏洞，捕获漏洞相关的基本信息，包括漏洞的严重性、易受攻击的软件版本等。二是分析阶段，首先确定环境中是否存在漏洞，以及底层软件或硬件的重要性；如果环境中存在漏洞，则修复漏洞并确定是否已被利用；如果该漏洞被利用，即立即开始事件响应活动。三是修复阶段，即修复存在于环境中或环境中的所有被积极利用的漏洞。四是报告阶段，分享攻击者如何利用漏洞的信息，深化政府防御者漏洞响应的意识。该手册几乎包含了除机密数据或国家安全系统之外的所有漏洞响应活动， CISA 鼓励私营部门、关键基础设施实体以及州、地方、部落和地区政府对该套程序进行审查和实践，以评估其响应程序并加强共享协作，将联邦政府和私营机构进一步“绑定”。

（四）协同披露：建立全球协同披露共识

漏洞披露是漏洞治理的核心环节，有效的漏洞披露实践能最大程度上降低零日漏洞风险，由于其涉及漏洞发现者和提交者、产品供应商和部署者、漏洞协调方等多方利益，在漏洞治理中一直是最具争议的重点和难点所在。CISA 漏洞披露的核心思想是“协同披露”，该思想源于 2017 年卡内基梅隆大学软件工程研究所 CERT 部门发布的《CERT 漏洞协同披露指南（CVD）》。CISA 在 M-20-32 备忘录的要求下落实了美国国家级的 CVD 政策，即以最小化风险和争议为原则协调漏洞涉及的多个利益相关者共同分析和解决漏洞，确保安全研究人员主动报送漏洞、产品供应商和部署方及时修复漏洞，并在缓解或修复漏洞后统一将漏洞信息向公众发布，CISA 作为协调方能够在最大程度上降低关键基础设施面临的安全风险，并在这个过程中保障相关方的合法利益，以对漏洞发现和报告及漏洞修复和披露产生正向激励作用。

CVD 作为对竞争利益关系的最佳平衡，能够建立定期漏洞修复通道，一方面漏洞发现者能够将漏洞信息反馈到供应商的软件开发阶段，有助于减少新漏洞的产生、提高软件发布阶段的安全性。另一方面漏洞发现和修复管理前移至软件开发生命周期中，可能在一定程度上减少软件补丁部署机制的阻塞问题。CVD 构建的良性漏洞反馈循环能够在最大程度上实现系统安全性保障，并且获得利益相关方的支持，因此 CVD 得到了产业界、学术界以及民间的广泛认可，美国政府顺势将其推广成为国际通用披露政策，随着欧洲网络及信息安全局发布了欧盟CVD 政策，目前已有比利时、荷兰、法国等近 20个国家逐步构建国家层面的 CVD 政策。

（五）漏洞跟踪：加强对已知漏洞的修复

在漏洞披露到漏洞消失的过程中可能存在大量被利用的情况，数据表明，一般在漏洞披露后，攻击者会在极短的时间内进行对其中约 4% 的漏洞进行恶意利用，其中 42% 的漏洞在披露当天被利用，50% 在披露 2 天内被利用，75% 在披露 28 天内被利用，因此漏洞跟踪是消控关键基础设施威胁的必要环节。CISA 在健全漏洞全生命周期治理的过程中，将已知漏洞的威胁消控作为重中之重。

根据 2017 年特朗普政府发布的第 13800 号行政令，CISA 于 2020 年颁布了 BOD 19-02，作为对BOD15-01 的替代和完善，要求美国联邦民事行政机构须在发现“严重”风险漏洞的 15 天内修补该漏洞，而“高危”等级漏洞的修补期限则是 30 天。2021 年，CISA 颁布 BOD 22-01，公布已知利用漏洞 KEV 目录，强制性要求联邦机构在限期内修复这些可能对联邦系统造成重大风险的漏洞，截至 5 月12 日，CISA 发布的 KEV 包含了 660 个漏洞，涉及Microsoft、Cisco、Apple、Google 等 130 个厂商，涉及 Windows、Flash Player、Chrome 等 323 款产品，最早的漏洞可追溯到 2002 年。2022 年 4 月，CISA与美国国家安全局（NSA）、联邦调查局（FBI）、澳大利亚网络安全中心（ACSC）、加拿大网络安全中心（CCCS）、新西兰国家网络安全中心（NZNCSC）和英国国家网络安全中心（NCSC-UK）等联合发布了“2021 年最常被利用的漏洞”，KEV 国际影响力进一步增强，越来越多的机构采用其作为漏洞管理的重要指南。

三、CISA 漏洞治理政策特点与优势分析

纵观 CISA 漏洞治理政策，可见美国漏洞治理战略的内核就是“共享”与“协调”，以“多利益攸关方原则”为基础，CISA 在政府内部、政府与社会、美国与国际等关系中建立了广泛的合作共享关系，并依据其职能赋予的行政权力，借助漏洞管理先发优势，将美国网络空间安全保障与网络空间参与者绑定，带领合作伙伴共同制定国际网络空间漏洞治理秩序。

一是 CISA 通过提升漏洞共享能力，切实提升了美国漏洞治理效能。2017 年美国社会曾广泛诟病作为国家级漏洞管理机构的 NVD 漏洞处置效率低、收录数量少、披露时间慢等问题，并且随着“心脏出血”“永恒之蓝”等重大漏洞事件对美国关键基础设施造成恶劣影响，社会各界对美国漏洞管理政策的争议声越来越大。2018 年起 CISA 从政府层面对漏洞管理机构、漏洞处置运行机制等方面进行了改进，通过 CVD、VDP 等措施加强了政府之间、以及政府与企业、高校和民间的合作和协调，修复了美国漏洞治理实践中出现的“漏洞”，完成了全生命周期漏洞治理体系的完善和升级，带动美国国家级漏洞管理机构高效运转，并以此为核心与社会力量广泛合作共赢实现了对关键基础设施漏洞威胁的及时发现和消控。数据显示，相关政策推动联邦机构的漏洞提交增长了十倍，尤其是在金融服务行业，高风险漏洞的数量激增了 185%，而这些漏洞均在漏洞公开前被及时修补。

二是 CISA 通过集成漏洞信息与服务形成“公共产品”，节约政府成本提高治理效力。CISA 提供大量的网络安全专业服务与技术支撑，在漏洞治理方面，《网络安全事件和漏洞响应手册》、“已知利用漏洞”目录、VDP 均是 CISA 在漏洞方面提供的“公共产品”，此外，CISA 在 2022 年 2 月发布一份清单，涵盖了近百项免费安全工具和服务产品，其中涉及数十项漏洞检测工具。这种集成的服务供不仅使得各联邦机构不再需要开发自己的独立系统来实现对已识别漏洞的报告和分类，在整个政府范围内节省大量成本。CISA 估计，通过利用集成的共享服务方法，政府范围内节省的成本将超过 1000 万美元。同时一致的漏洞政策为报告漏洞者提供明确的遵循，使安全研究人员更容易知道如何报告漏洞，哪些系统被授权开展哪些类型的测试，在很大程度上将促进联邦机构与公众在漏洞管控上的合作。

三是 CISA 通过提升漏洞感知能力，切实提高了美国网络空间安全保障能力和威胁防御水平。在CISA 成立之前，美国便已借由其世界级别的漏洞库，与各国科技巨头、学术机构、民间组织等建立了长期的合作关系，并通过《瓦森纳协定》《漏洞公平裁决程序》等法律法规和配套机制严密管控漏洞资源。CISA 成立之后，整合了情报、国防、军事等政府力量，加强了与联邦民事行政机构、商业公司、学术机构、民间组织、知名安全研究人员等的漏洞共享，与英国、加拿大、澳大利亚等国网络安全主管单位建立多边合作，不断完善漏洞全流程治理框架，作为一个高效运转的“发动机”，进一步提升了美国对于网络空间资产信息和漏洞信息的感知获取、分析评估和预警决策。CISA 对网络空间态势感知的增强，意味着美国对网络空间漏洞资源的掌控力也逐步加强。随着美网络空间军事力量及其情治机构不断谋求利用漏洞的流程化、规范化、合法化，美国在网络空间争夺过程中将获得更多的主动权。

CISA 在漏洞治理上开展的系列举措使得美国漏洞治理体系焕发了勃勃生机，在降低网络空间脆弱性的同时，进一步加强了对漏洞资源的管控，扩大了美国利用漏洞武器化和装备化优势，成为美国加速网络空间情报化、军事化的重要驱动。

四、对我国的启示

2022 年 “网络战”硝烟四起，漏洞已成威胁国家关键信息基础设施的新型关键武器，亦是各国争相管控和利用的“现代军火”。5 月 26 日，美国商务部工业与安全局（BIS）通过修订《出口管制条例（EAR）》发布了酝酿 7 年的“网络安全物项”出口限制策略，以“国家安全”和“反恐”为出发点，加强了对漏洞披露的出口限制。美国通过 CISA 主导国际网络空间漏洞治理规则，协同国家安全部、国防部、商务部等多方合作，将漏洞治理工作上升至《国家安全战略》高度，并在国际上通过强调共同利益来保护美国国土安全，通过多边合作来减少漏洞资源向美及盟国以外的区域流动，进一步扩大了网络空间主动权，拓展了网络空间霸权。

因此，我国亟需加快网络安全漏洞治理体系建设，将漏洞治理作为贯彻落实总体国家安全观的重要组成部分，强化国家级漏洞管理机构赋能，加强漏洞资源管控，提升我国关键基础设施漏洞威胁防御水平。一是强化漏洞政策引导，规范和鼓励漏洞发现行为；二是改进漏洞威胁评估方法，建立健全漏洞风险管理流程；三是推广漏洞消控长效机制，改进关键基础设施漏洞消控工作效率；四是推动漏洞资源共享合作，提升漏洞披露协同性；五是完善对已知漏洞威胁的消控管理，充分发挥漏洞预警在网络空间安全管理中的重要作用；六是统筹兼顾漏洞的危害性和资源性，在加强威胁防范与对抗的同时，及时发现针对漏洞资源控制的霸权膨胀，提升我国网络空间漏洞治理能力。习近平总书记提出 “网络空间命运共同体”理念，旨在推动网络空间构建互联互通、共享共治的国际秩序。我国漏洞管理生命周期涉及的各个成员应该加强沟通、扩大共识、深化合作，共同提高我国整体网络安全保障水平。

（本文刊登于《中国信息安全》杂志2022年第6期）