各國安全漏洞公平裁決程序對比研究

時翌飛 馮景瑜 曹旭棟 黃鶴翔, 王 鶴

1(西安郵電大學網絡空間安全學院 西安 710121) 2(中國科學院大學國家計算機網絡入侵防范中心 北京 101408) 3(西安電子科技大學網絡與信息安全學院 西安 710071)

出于維護國家安全的目的，政府以執法取證或情報收集為目的，利用設備軟件或硬件上的安全漏洞秘密訪問存儲在電子設備上的信息.政府同時也負有保護公民信息資產安全的責任，因此在獲得安全漏洞時需考慮是否立即披露漏洞信息，以降低受影響系統所面臨的安全風險.

政府同時擁有雙重的角色，需要一種公平的裁決程序盡快就是否保留安全漏洞作出決定.這種程序被廣泛稱為安全漏洞公平裁決程序(vulnerability equities process, VEP).目前已有少數國家制定并部分公開了VEP政策，但仍有相當一部分國家還沒有制定或未對外公布該政策，另外針對于該政策制定的指導性文件也較少.

本文針對這一情況做了如下工作：

1) 介紹了安全漏洞公平裁決程序的發展歷程；

2) 廣泛調研了世界范圍內安全漏洞公平裁決程序的制定情況，并進行對比；

3) 探討了標準化安全漏洞公平裁決程序；

4) 通過分析目前安全漏洞公平裁決程序面臨的問題，總結了其可改進的方向.

1 背 景

安全漏洞是可被1個或多個威脅方利用的資產或資產組的弱點，其中資產是對組織有價值的任何東西、業務操作等，包括支持組織任務的信息資源[1].創建沒有安全漏洞的產品是非常困難的，實際上大部分的廠商會通過產品的迭代來逐步解決安全問題.廠商內部發掘漏洞，同時也利用安全漏洞披露政策[2]接收來自于外部的安全漏洞報告.廠商對收到的安全漏洞進行驗證，并著手對安全漏洞進行修復，發布補丁給用戶，由部署者或用戶部署安全補丁.

目前政府對安全漏洞的利用正在變得普遍，考慮到大部分的信息都存儲在電子設備上，這一情況也不足為奇.對于政府來說有能力收集設備上的信息非常重要，這些信息往往具有非常重要的情報價值，幫助政府維護國土安全.安全漏洞利用變得普遍的另一個主要證據是安全漏洞市場的繁榮.Zerodium公司是第1家公開發布零日漏洞完整價格表的公司，其每個漏洞從0.5～150萬美元不等[3].該公司從安全研究人員手中收集采購安全漏洞，并轉手賣給政府或相關機構.據報道該公司每月花費在漏洞采購上的費用高達40～60萬美元[4].

盡管安全漏洞交易時存在排他性的協議，但并不能確保該安全漏洞不會被第三方發掘.因此政府保留安全漏洞的行為也具有很大風險.

2 安全漏洞公平裁決程序

政府的安全漏洞公平裁決程序(VEP)也被稱為政府信息披露裁決過程(government disclosure decision processes, GDDP)[5]，該政策主要涉及披露安全漏洞的問題.各國政府需要建立健全、透明和負責的安全漏洞公平裁決程序，使得受影響的企業和公眾相信政府有能力管理好安全漏洞，并在權力許可范圍內有效利用安全漏洞來維護國家安全.

2.1 安全漏洞公平裁決程序的發展歷程

VEP政策最早可追溯到2008年1月美國總統布什簽署的國家安全政策指令54(National Security Policy Directive 54, NSPD54)[6]，該指令要求在政府范圍建立國家網絡安全綜合計劃(Comprehensive National Cybersecurity Initiative, CNCI)，該計劃指出發現的安全漏洞可能會為政府進攻和防御任務提供幫助，并建議開發相關程序，該程序被認為是VEP的早期雛形.并于2010年2月產生了VEP文件，稱為《商業和政府信息技術和工業控制產品或系統的漏洞公平政策和流程》[7].

其后2014年奧巴馬政府為回應彭博新聞的指控時首次發布了VEP的信息[8].之后白宮網絡安全協調員進一步闡述了該政策，其首次提到了保留或披露安全漏洞時要考慮的因素[9]：

1) 存在該漏洞系統的使用程度；

2) 如果未修補該漏洞，是否會造成重大風險；

3) 如果了解該漏洞，可以為敵手造成多大的威脅；

4) 第三方發現或正在利用該漏洞的可能性；

5) 是否必須利用此漏洞來獲取情報；

6) 在披露安全漏洞之前能否在短時間內利用該漏洞；

7) 能否修補或以其他方式緩解該漏洞.

這些因素更傾向于作出披露安全漏洞的決定，但并未給出裁決過程的詳細流程.

隨后電子前沿基金會(Electronic Frontier Foundation, EFF)，依據信息自由法(Freedom of Information Act)[10]提起訴訟，美國政府才進一步地公布了VEP的相關文件，但仍有相當多的細節未公布.

直到2017年11月特朗普政府部分公開了新的VEP政策[11]，其中概述了該流程涉及的組織結構和相應的決策因素，較之前公布的政策透明度有所提高.

2.2 美國的安全漏洞公平裁決程序

美國政府公布的最新版安全漏洞公平裁決程序[11]中提到:

1) 假設大部分漏洞會立即披露，且不允許政府永久地保留漏洞；

2) 權益委員會(Equities Review Board, ERB)是VEP流程的主要論壇，由多個擁有權益的政府機構代表組成，每月召開1次會議,詳細指出了可參與ERB小組的機構；

3) 由美國國家安全局(National Security Agency, NSA)擔任VEP流程執行秘書處，執行秘書處負責組織VEP論壇，維護各機構的POC，記錄決策細節，提交年度統計報告等.

圖1[11]是美國安全漏洞公平裁決程序流程.

圖1 美國安全漏洞公平裁決程序

對安全漏洞公平裁決程序中的時間節點也作了詳細要求：

1) VEP執行秘書處在1天內通知相關POC；

2) 擁有權益的機構在5天內給予回復，如果機構不同意披露，則在7天內與其他機構進行討論；

3) 如果決定披露，則在7天內盡快披露；

4) 如果決定保留，則ERB每年重新評估保留的安全漏洞，直到公開披露.

總體上來看美國政府擁有豐富的安全漏洞公平裁決經驗，實施安全漏洞公平裁決程序較早.盡管目前關于流程的更具體細節還沒有公布，并且該流程也存在一定缺陷，但相比其他政策該政策透明度相當高，對流程中的時間節點定義非常詳細.

2.3 英國的安全漏洞公平裁決程序

在歐洲安全漏洞公平裁決程序也被稱為政府披露決策程序，在歐洲范圍英國是率先公布該流程的國家.

2018年11月29日，英國政府通信總部(Government Communications Headquarters, GCH)和英國國家網絡安全中心(National Cyber Security Center, NCSC)發布了安全漏洞公平裁決程序[12-13]，其中圖2[12]是英國的安全漏洞公平裁決程序.該政策中提到由以下實體參與決策流程：

1) 權益技術小組(Equities Technical Panel, ETP )由來自英國情報界的專家組成；

2) GCHQ的股權委員會(Equity Board, EB)，該委員會主席由高級官員擔任，由NCSC抽組；

3) 由NCSC首席執行官主持權益監督委員會，該委員會為NCSC首席執行官提供建議；

4) 每年進行保留漏洞的重新評估；

5) 保密協議或合作伙伴協議限制.

圖2 英國安全漏洞公平裁決程序

該決策流程采用高級別監督的方法，當裁決意見不一致時就提升裁決級別，同時為確保此流程以國家網絡安全為核心利益，NCSC的代表將參與流程所有階段.

值得一提的是英國的安全漏洞公平裁決程序在適當情況下利用通用漏洞評分系統(common vulnerability scoring system, CVSS)[14]來為決策者提供可量化的因素.但關于流程中的具體時間節點沒有說明，相對美國的VEP透明度不夠高.

2.4 澳大利亞的安全漏洞公平裁決程序

澳大利亞信號局(Australian Signals Directorate, ASD)致力于為政府、企業和家庭提供建議，包括情報收集和開展網絡攻擊以支持澳大利亞軍方[15].ASD于2019年3月15日發布網絡安全漏洞的負責任發布原則，該原則可理解為澳大利亞政府的安全漏洞公平裁決程序.

圖3[14]是澳大利亞安全漏洞公平裁決程序,其中澳大利亞的VEP中提到：

1) 政策出發點是盡量披露安全漏洞；

2) ASD的漏洞決策受到情報和安全檢查專員的獨立審查，ASD每年向檢察長提交統計報告,每季度重新審核未披露的漏洞.

圖3 澳大利亞安全漏洞公平裁決程序

總體來說澳大利亞的安全漏洞公平裁決政策透明度相對較低，其中很多細節沒有公布.值得一提的是其對保留漏洞的重新審核時間較短，且流程受到審查專員監管.

2.5 加拿大的安全漏洞公平裁決程序

加拿大通信安全局(Communication Security Establishment, CSE)于2019年3月11日發布了其權益管理框架[16-17].該框架旨在幫助CES在獲得安全漏洞時使用標準化的決策程序.具體權益管理框架的流程如圖4所示, 該權益監管框架中提到：

1) 通過CES研究或以其他方式獲得的安全漏洞受此流程約束；

2) 公開的漏洞不受此流程限制;

3) 明確表示盡管收集情報的任務非常重要，但該流程還是傾向于盡快披露漏洞;

4) 每年進行保留漏洞的重新審核.

圖4 加拿大安全漏洞公平裁決程序

總體來說加拿大的VEP政策其公開透明度不高，甚至對VEP的處理流程都沒有描述，但提到其流程受到審查專員的監管，并且加拿大有關部門正在就將VEP納入其法律體系進行研討.

2.6 我國的安全漏洞公平裁決程序

目前我國還沒有公布相關程序，此前由工業和信息化部發布的《網絡安全漏洞管理規定(征求意見稿)》[18]，其中提到工業和信息化部、公安部、國家互聯網信息辦公室實現安全漏洞信息的實時共享，加強監管.另外由國家互聯網信息辦公室新發布的《網絡安全審查辦法》[19]指出：為維護國家安全對關鍵信息基礎設施進行網絡安全審查， 盡早地規避安全風險.我國正在逐步建設安全漏洞規范治理體系，其中安全漏洞的權益評估是該體系中的重要環節.

2.7 各國的安全漏洞公平裁決程序對比

在政策流程中美國使用決策小組的反復投票來應對特殊情況，而英國、澳大利亞和加拿大采用裁決升級的方式來應對特殊情況.

在對保留漏洞的重新審核上，美國、英國和加拿大遵循1年的重新審核期限，澳大利亞遵循每季度的審核.

從政策公開程度上來看，美國的相關政策公開最早，且較為詳細.表1是各國的安全漏洞公平裁決程序的對比：

表1 各國安全漏洞公平裁決程序對比

3 面臨的風險與挑戰

本節綜合目前發布的安全漏洞公平裁決程序，分析當前安全漏洞公平裁決程序所面臨的主要問題.

1) 保密協議問題

就目前公布的安全漏洞公平裁決程序來看，其面臨的共同挑戰之一是VEP政策受到保密協議(non-disclosure agreement, NDA)或合作伙伴計劃中條款的限制.利用NDA就可以有效阻止安全漏洞進入VEP流程.為使得供應商放棄保密協議，可讓同樣面對該問題的國家共同拒絕保密協議.

2) 漏洞風險等級問題

通常組織機構在接收到安全漏洞時會率先對安全漏洞可能造成的風險進行評估，以更有針對性地協調響應團隊對可能受到的安全風險進行響應.但是根據美國和澳大利亞發布的VEP政策來看，其并沒有提到關于漏洞風險分級的問題.

相對于其他指標來說，漏洞風險分級以更量化的方式幫助決策者進行決策.目前英國政府在其公布的VEP政策中提到使用CVSS[14]方法對安全漏洞的進行風險評估，該方法對收集到的安全漏洞的主要特征進行捕獲，得出反映其嚴重性的數字化的評分結果.

3) VEP執行秘書處設置

執行秘書處負責支持VEP流程正常運轉，協調各權益機構，記錄討論流程并制作年度統計報告.在美國的VEP政策中提到，由美國國家安全局(NSA)負責擔任VEP秘書處.作為負責網絡軍事行動的情報機構，美國國家安全局顯然并不適合這一角色[20].由于其職責所在，在其參與的VEP流程中可能會傾向于保留安全漏洞，這有悖于盡可能披露安全漏洞的宗旨.

因此可通過將VEP執行秘書處設立于政府高層職位的附近，諸如美國的白宮網絡安全聯絡官或德國聯邦政府的總理府負責人，以促進裁決流程的公平性.

4) 過多選擇的問題

美國的VEP政策[11]中明確指出，美國政府對安全漏洞的決定不是簡單二元性的.可采取諸如不披露特定漏洞的情況分發緩解信息、以某種方式限制美國政府對于安全漏洞的使用、用間接手段來通知廠商該漏洞等.這表明擁有權益的裁決機構可以有相當多的選擇來規避向公眾披露安全漏洞，其回旋余地極大.這種狀況有悖于美國政府對外聲稱的盡可能披露安全漏洞的承諾.

政府的安全漏洞公平裁決程序應更明確其對安全漏洞的處置方法，并對該流程進行立法監督，具體可要求VEP秘書處每年向立法機構提交安全漏洞統計報告，以實現更大的透明度.

4 對我國政策制定的啟發與建議

通過對比發達國家的安全漏洞公平裁決程序，以及目前制定政策面臨挑戰來看，可得到如下的結論：

1) 政策制定時需要確保各利益相關方的權益相對公平，應保持和實際政治體系中的組織結構保持一致；

2) 政策應以最終披露安全漏洞為目標；

3) 政策的制定應盡可能公開透明，并由執行秘書處向有關機構定期述職；

4) 政策中應定期對保留的安全漏洞進行審核；

5) 應禁止政府與供應商的安全漏洞保密協議，該協議會限制公平裁決程序；

6) 政府對安全漏洞的利用也應在許可范圍內.

5 總 結

目前公布的安全漏洞公平裁決程序均體現出透明程度不高、規范性差、不受監管的特點.

安全漏洞公平裁決程序目前還需要解決保密協議的限制、組織機構設置的困難、評估因素缺乏量化和后續操作不規范的問題.

標準化的安全漏洞公平裁決程序應具備受監管、流程透明公開、組織機構設置合理、量化影響因素和優先披露的原則.應要求周期性重新審查保留漏洞并提交年度安全漏洞統計報告.我國也應依據自身特點盡快建立相關程序以規范裁決流程，保護國家網絡空間安全.