踐行總體國家安全觀，推動網絡安全漏洞治理體系建設

自誕生以來，漏洞就是黑客攻擊的主要武器來源、網絡安全的防護焦點、攻守對抗的核心所在。漏洞對于網絡空間的安全舉足輕重。對漏洞的管理，我國一直堅持“統籌發展與安全”的理念。2021 年印發的《網絡產品安全漏洞管理規定》，不僅規范了漏洞發現、報告、修補和發布等行為，同時也鼓勵各類主體發揮各自技術和機制優勢開展漏洞發現、收集、發布等相關工作，以達到維護國家網絡安全的最終目的。

漏洞作為網絡空間安全的重要資源，涉及到全球信息技術產業，建立一個互利的漏洞管理國際合作機制，對漏洞資源進行共享和管控是國際通行慣例。但也有國家以本國安全優先為由，對此層層設限。5 月 26 日，美國商務部產業和安全局（BIS）發布了針對網絡安全領域新的出口管制規定《信息安全控制：網絡安全物項》。該規定以所謂國家安全和反恐為由，要求美國實體（如互聯網企業）與中國政府等相關的組織和個人就網絡安全漏洞合作時，要事先通過美國商務部審核；并新增了漏洞檢測分析等技術產品針對我國的出口限制。此種限制實質上是美國科技方面的技術封鎖在信息安全領域的延伸，這不僅破壞了國際網絡安全領域長久以來的漏洞分享機制，而且加劇了網絡空間安全形勢的惡化，更是對別國安全利益的嚴重威脅和對現行國際規則的肆意踐踏。

我國對漏洞管理一直秉持開放合作態度，2020年 9 月，我國提出《全球數據安全倡議》，呼吁全球各國秉持共商共建共享理念，齊心協力促進數據安全。在當前復雜的國際形勢下，我們應在總體國家安全觀的指引下，加快建設完善國家漏洞庫等管理平臺，加強網絡安全漏洞治理體系建設，防范和消控網絡安全重大風險，保障國家網絡安全，同時推進漏洞管理的國際合作，推動全球互聯網治理體系向著更加公正合理的方向邁進。

一、國內外國家漏洞治理現狀分析

防范漏洞風險威脅網絡及國家安全，強化管理和法律手段是有效治理漏洞的關鍵，世界主要國家紛紛運營漏洞庫，建立協同披露機制，加大漏洞出口限制力度，目的都是盡量讓漏洞資源掌握在自己的手中。

（一）漏洞庫成為主要國家漏洞資源管控模式，社區隨意散播漏洞敏感信息現象突出。

一是西方國家率先開展漏洞庫建設，開創漏洞資源管控模式。美國國家漏洞庫（NVD）是最早由政府投入建設和政策扶持的漏洞庫，利用其本國信息技術優勢和平臺影響力，建立漏洞報送合作機制，制定漏洞技術標準和規范，從早期本土主流廠商、安全公司及研究機構，逐步推廣到各國重要合作廠商和機構、研究團隊及個人向其報送漏洞，現已擁有全球范圍的重要漏洞數據。NVD 表面上看是實行漏洞信息的公開披露，但存在一些選擇性披露和滯后等問題。歐俄日澳等地區和國家積極效仿，基于網絡安全應急響應體制機制，搭建漏洞庫并建立漏洞收集渠道。

二是我國國家級漏洞庫發展迅速，資源匯聚管理見成效。國家領導高度重視網絡安全漏洞風險防范工作。2009 年，中國信息安全測評中心建設運營國家信息安全漏洞庫（CNNVD），廣泛收集漏洞數據，合理運用社會技術力量支撐機制，分析研判漏洞危害，披露漏洞信息，化解漏洞風險，切實履行漏洞資源匯聚和消除重大隱患的職責。隨著技術應用的發展和安全需求的擴大，工控、移動產品等專業漏洞庫相繼建設運營，定向通報漏洞信息，督促漏洞修復和處置，發揮著行業漏洞管理的積極作用。

三是社區或組織踴躍推出漏洞交流平臺，個性收集發布呈亂象。境外某些擁有資助背景的開源社區、安全組織極力宣傳漏洞獎勵機制，制定漏洞報送及披露策略，收集指定漏洞，隨意披露漏洞細節和利用代碼等敏感信息，甚至指名道姓地發布漏洞定位，此類不負責任的披露已經給漏洞影響的系統和用戶帶來重大網絡安全風險隱患，但仍處于法律灰色地帶并未加以管控。

（二）各國相繼推出漏洞披露制度，漏洞生命周期閉環管控機制有待完善。

一是美出臺多項漏洞披露相關法案，旨在維護國家安全并降低政府業務系統漏洞風險。美國較早以法案和行政令等法律形式頒布漏洞披露策略，包括以情報機關主導的《漏洞裁決政策和程序》《補丁法案》，以及網絡安全部門發布的《網絡安全信息共享法》與有關漏洞協同披露行政令等，核心要義是為國家安全目的收集儲備可武器化漏洞提供機制保障，同時也是為權衡相關利益方及應對大眾對公開透明的要求提供政策支撐。歐盟今年推出的《協同漏洞披露策略》報告分析了美中及歐盟成員國漏洞披露政策，傾向借鑒美的做法，為漏洞發現者創造“安全港”，提出了在歐洲范圍內跨境協同披露漏洞的體制機制及法律方面的建設意見。

二是我國積極建立健全漏洞管理政策法規，側重確立漏洞利益相關主體的法律責任。我國《網絡安全法》首先提出漏洞管理要求，明確漏洞發現、發布及處置的責任范圍，最新執行的《網絡產品漏洞管理規定》對《網絡安全法》的要求做了進一步明確，從行業主管層面規范網絡安全產品漏洞發現、修復、發布等行為和活動的責任義務，加強了漏洞報送和流通渠道管控，為全面開展漏洞治理制度體系建設打下堅實基礎。

三是漏洞披露是漏洞生命周期中心環節，管控手段僅發力于此遠不足以管制漏洞被攻擊利用。從產生、發現、發布直到徹底消除，不同漏洞的生命周期長度和各環節的發展千差萬別。事實證明，有的早期開發的 Linux 系統漏洞長存于代碼中十幾年未被發現，還有相當一部分零日漏洞被隱秘發現導致長期黑產利用或武器化。任何主體都有發現和利用漏洞的可能，覆蓋漏洞全生命周期的管控才是漏洞治理一以貫之的正確方向。

（三）漏洞作為國家戰略資源被各國限制出境，外流管控乏力導致漏洞風險居高不下。

一是美國首先制定漏洞出口限制法律條文，認定漏洞為國家戰略資源。漏洞影響的安全范圍涉及漏洞宿主的所有使用者，受影響者應享有同等防范或降低漏洞風險的安全權益。由美國主導的《瓦森納協定》在 2013 年更新中明確限制“入侵軟件”出口，所謂“入侵軟件”實質上就是以漏洞為內核的數字武器，而我國正是該協議排除在成員國之外的禁運國。這項規定標志著以美為首的西方國家將漏洞正式界定到網絡空間武器管控范疇，同時也使漏洞武器化在一定范圍內合法化。2022 年 5 月 26日，美國再次以國家安全視角，對《出口管理條例》網絡安全條款進行了修訂，新增了漏洞檢測分析等技術產品針對我國的出口限制。此種限制看似是對本國安全利益的維護，而其實質加劇網絡空間安全形勢惡化，更是對別國安全利益的嚴重威脅和安全權力的肆意踐踏。

二是我國加大數據出境安全要求力度，嚴禁向境外提供危及國家安全的漏洞。某些境外組織機構利用打比賽贏獎金的模式吸引漏洞發現者提交高風險漏洞，導致漏洞嚴重外流、安全風險加劇，為此網信部門及時有效應對，發布《關于規范促進網絡安全競賽活動的通知》，嚴格禁止以損害國家安全為代價向境外賽事提供漏洞等敏感信息，鼓勵漏洞人才發揮技術特長積極保障國家網絡安全。占領網絡空間人才高地、引導漏洞研究力量朝著以維護國家安全為宗旨的方向發揮能力作用，是夯實網絡安全基礎的重中之重。

三是美數字大廠運用漏洞賞金榮譽張榜及技術合作等做法，刺激高級漏洞研究者持續為其貢獻高風險漏洞。操作系統、云服務平臺及芯片等核心基礎軟硬件大廠積極回購產品漏洞，通過品牌效應、推高漏洞價格爭奪漏洞人才和市場，抓住安全提供者力求搶占漏洞應用市場先機的心理，利用共享漏洞成果等合作機制，積極獲取高質量漏洞。這種漏洞回流的運作模式的確有助于改善產品安全性能，但此種現象也暴露出我國漏洞研究力量正處于失控狀態。

二、漏洞治理面臨數字化發展與產業鏈不完整多重挑戰

一是我國數字革命加速演進與數字產業鏈不充分發展的矛盾，帶來漏洞風險治理難度增加。我國正在加快數字化發展和數字中國建設，推進數字經濟與實體經濟深度融合。但實現數字產業鏈自主可控目標還將經過一個長期努力的過程，當前數字產業基礎能力薄弱導致產業鏈不完整，加之國際局勢動蕩帶來供應鏈不穩定因素，數字安全保障痛點隨之加劇，漏洞風險治理難點問題更加突出。

二是網絡資產數量巨大增量加速及資產底數不清問題依舊存在，帶來漏洞風險辨識難以落位。網絡技術的變革推動萬物互聯向著萬物智聯邁進，網絡空間資產成指數級增長態勢，特別是云上云下資產復雜交織、類型眾多，工業互聯網等關鍵信息基礎設施網絡可見，物理點位和網絡地址對應關聯使得數字資產被實名化，而與此同時，很多企業機構自身家底有待梳理摸清，防護強度和范圍存在很大疏漏，漏洞風險排查能力和手段有待完善提升。

三是數字產品漏洞評價指標及評估機制尚不完善，缺乏漏洞風險管控責任監督機制。數字產品生產進入組件化組裝開發模式，大量開源通用組件功能完備，自主代碼比例越來越低。隨著智能化的進程，數字產品生產效率越來越高，產品研發正在朝著自動化配置化趨近，定制化代碼比例日趨降低。開源通用組件如出現漏洞，導致鏈式影響，范圍極其廣泛。漏洞風險等級應成為開源組件首要質量評價指標，漏洞風險評估是監督數字產品安全性能提升的基礎工作。

四是漏洞產業化發展不平衡，中上游出現的亂象是治理重點。不可避免的現實問題是漏洞的產業化。當前漏洞產業鏈可分為以漏洞發現為上游，漏洞交易和披露為中游，漏洞應用和利用為下游。漏洞市場受到黑產利益和政府支持的刺激，呈現出漏洞價格主導上游產出，加之漏洞生產工具購買和使用不受限，導致上游參與主體成分復雜不可控等問題。下游多以防護產品為主要產出，漏洞風險感知能力仍是短板，已知漏洞利用檢測技術仍待攻關。如何讓漏洞產業服務于國家安全，還需要加強治理和合理引導。

五是漏洞人才缺口較大，培養引導和激勵全方位機制有待完善。我國擁有世界頂級漏洞發現人才，研究力量主要分散在資金雄厚的互聯網企業，安全保障能力一流，但數量嚴重不足，院校培養和職業培訓遠遠不能滿足當前人才缺口。崗位設定和價值取向是漏洞研究最關心的問題，鼓勵引導青年優秀漏洞人才服務國家安全是值得思考的重要議題。

三、落實國家安全要求，推動漏洞治理體系化能力建設

漏洞風險關乎國家安全，治理漏洞風險是維護國家安全和保障網絡安全的必然要求，實現高水平漏洞風險治理自立自強，要重點著力在提高漏洞風險治理的整體層面、貫徹漏洞全生命周期管控治理理念、拓展國際合作、推動漏洞產業的創新發展、激發漏洞研究人才的綜合價值。

一是把漏洞治理提升到國家安全層面，統籌漏洞治理體制機制建立健全。漏洞治理是解決非傳統安全風險向傳統安全風險傳導問題的關鍵環節，是提升國家安全治理能力的基礎，更是維護國家安全的重要戰略任務，狠抓漏洞治理就是筑牢網絡安全根基。網絡互聯互通，數據無處不在，看似不起眼的漏洞可以毀掉宏大的數字工程。漏洞治理的關鍵和根本，是要依賴國家安全層面統一部署的工作機制，明確漏洞治理職能，構建基礎研究、發現檢測、風險評估及人才管理等治理能力，統籌推進漏洞風險治理體系建設，實現漏洞風險有效管控。

二是貫穿漏洞全生命周期各環節細化管控制度，強化落實相關方責任。漏洞雖不可避免，但采取有效的管理和技術手段可以減少漏洞產生的數量、降低漏洞風險的等級，改善數字產品安全性能。建立數字產品漏洞風險評估機制，規范漏洞風險等級標準，組織可靠力量分級分批深挖細排。建議在已有安全審查機制基礎上，增強漏洞風險動態評估機制。明確數字產品提供者使用者等相關方漏洞排查和修復的責任和要求，專業機構協同檢測評估處置，實現漏洞全生命周期覆蓋管控。

三是倡導全球數字產業高質量發展，促進國際合作共同構建漏洞治理體系。數字化轉型是全球經濟發展趨勢，全球數字供應鏈相互交織，單方面斷供禁售不符合協作共贏的發展理念，提供高質量數字技術、以負責任的態度持續保障產品安全性能才是拓展國際市場的長遠之計。特別要與核心基礎數字產品供應方建立漏洞信息及時共享的保障機制，共同創建國際通用的漏洞規范標準，引領國際漏洞治理體系新規則，實現安全權益最大化。

四是營造良好的漏洞產業發展環境，推動漏洞技術攻關和應用創新。漏洞產業是漏洞風險治理的重要支柱力量，在嚴厲打擊黑產鏈條基礎上，合理引導上游產出，加大中游參與主體準入和監督力度，運用政策支持鼓勵下游企業積極應用創新，規劃布局產業整體發展方向，有力提升產業效能，充分發揮產業漏洞治理的重要作用。

五是加快建設漏洞人才戰略力量，突出人才價值體現，發揮人才隊伍主觀能動性。網絡空間安全博弈既是攻防較量，更是人與人的對抗，漏洞人才是維護國家安全和提升技術優勢地位的戰略資產。我國漏洞人才面臨嚴重不足和合理利用雙重挑戰，既要從娃娃抓起，建設漏洞學科體系，培養致力于投身國家安全的高素質人才，又要正向引導社會人才隊伍積極技術攻關，同時統籌漏洞人才職業教育，激勵人才學以致用，吸引更多有識之士投入到漏洞治理行動中來。

漏洞治理為國家安全賦能，是保障數字經濟國家戰略順利推進的一把利劍，是網絡安全能力提升的關鍵環節，大力推動漏洞風險治理體系建設勢在必行。維護國家安全是每個公民應盡的義務，作為安全從業者，攻克漏洞治理這一最具挑戰的課題，既是責任擔當更是初心使命。