漏洞信息或成戰略資源

《中國互聯網站發展狀況及其安全報告(2016)》顯示：截至2015年12月底，中國網站總量達到426.7萬余個；而由于各種各樣安全漏洞的存在，網站面臨著黑客以癱瘓目標業務系統、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯網環境仍面臨較為嚴峻的安全態勢。

“信息技術的迅速發展促進了計算機規模的膨脹，增加了個人、企業乃至社會和國家對網絡安全的需求。‘黑帽子’‘灰帽子’等利用漏洞進行攻擊的事件層出不窮，且手段愈發多樣化和高明，網絡風險的泛在性使得安全成為普遍性的問題，‘白帽子’因其道德和倫理偏向成為企業甚至政府機構獲取漏洞、升級系統的重要途徑，在維護信息系統方面的作用不可替代。”黃道麗說。

國家互聯網應急中心運行部副主任嚴寒冰也表示，2009年以后，多家漏洞報告平臺的陸續成立，如補天平臺、烏云網、漏洞盒子，“白帽子”發現并上報漏洞已經成為整個漏洞發現處置體系中的重要環節。

網絡安全漏洞關系到企業和個人的信息安全，甚至涉及國家安全。“發達國家早已把漏洞信息當作一種戰略資源。”謝永江表示。

比如2013年，世界主要工業設備和武器制造國在常規武器及其民用技術協定《瓦森納協定》中規定，零日(0day)漏洞(指被發現后立即被惡意利用的安全漏洞)也屬于危險武器出口條約的規范對象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權”，相應的用于入侵計算機系統的軟件、硬件設備和組件也受到同等限制。2015年5月20日，美國工業與安全局發布一份《瓦森納協定》的落實草案，其中就規定，禁止在不同的國家之間互通漏洞信息。據此，美國企業或個人向境外廠商報告漏洞情況被視為一種出口行為，需預先申請政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應用價值，我認為，可以在國家層面建立漏洞信息庫，收購企業以及包括’白帽子‘在內的個人發現的漏洞，在網絡戰爭日益成為現實的情況下，未雨綢繆，做好技術儲備工作。”謝永江建議。

漏洞信息的挖掘與保護也得到了我國政府的關注。4月19日，國家主席習近平在網絡安全和信息化工作座談會上強調，“要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網絡安全風險發生的規律、動向、趨勢。要建立政府和企業網絡安全信息共享機制，把企業掌握的大量網絡安全信息用起來，龍頭企業要帶頭參加這個機制。”漏洞發現還被作為“提升全天候全方位感知網絡安全態勢能力”的重要內容，寫入我國《國家信息化發展戰略綱要》。

謝永江透露，中國網絡空間安全協會目前正在籌建中，將來也會成立分會，對包括“白帽子”問題、安全漏洞的法律定位等進行專門研究。

徐小康 汪文濤