一種信息安全漏洞的市場經濟價值估值方法

◆徐鶴軍 江斌開

（1.上海蜂群網絡科技有限公司 上海 200120；2.國網上海市電力公司 上海 200240）

眾所周知，網絡安全領域信息安全漏洞是黑客發展的肥沃土壤，根據黑客利用信息安全漏洞的行為，可分為白帽和黑產兩大類。白帽，就是黑客通過發現某一信息系統的漏洞，將該漏洞提交給該信息系統以便后者及時通過補丁修復，并因此獲得對應報酬。而黑產，則是黑客利用發現的信息安全漏洞進行不法行為來獲得非法利益。因此，網絡安全界一直希望能夠溝通白帽行動來避免和改變非法的黑客行為，但是目前看來效果不理想，黑產依然猖獗。究其根源還是因為黑產的利益巨大，而白帽的勞動付出和回報不合理。360 白帽或者外國Hackerone 等平臺來收集自家系統的漏洞，給出威脅等級評估和對安全漏洞進行價值評估。可以看出，漏洞等級評定環節和價值評估具有黑箱子特征，即非透明、不公開。因此，容易出現提交漏洞的黑客對企業或企業委托的第三方平臺專家對漏洞級別的評估結果持有異議的情況。黑客當然認為自己發現和提交的漏洞級別高，漏洞價值高，所以應該獲得的獎金高。企業的出發點都是降低級別少付獎金。這里就有不公開公平的情況。若雙方意見不一致時，可能導致某些極端情況發生，例如勒索病毒這類的網絡犯罪。因此，只有對白帽的工作成績形成一個合理公允的估值標準，才能保證交易雙方的公平公正。但目前市場上還沒有一個受到認可的信息安全漏洞估值標準[1-3]。

根據以上分析，本文基于事務雙面性的哲學原理和勞動價值論原理，設計提出一種信息安全漏洞的市場經濟價值估值法。所提估值方法可以稱為黑客第二定律，即：信息安全漏洞的市場價值 = 5 × 產生該安全漏洞開發人員的平均工資 × 漏洞的安全威脅等級。

1 信息安全漏洞的定義

漏洞（Vulnerability）又叫脆弱性，這一概念早在1947年馮·諾依曼建立計算機系統結構理論時就有涉及，他認為計算機的發展和自然生命有相似性，一個計算機系統也有天生的類似基因的缺陷，也可能在使用和發展過程中產生意想不到的問題。本文將之稱為黑客第一定律。信息安全漏洞是信息技術，信息產品和信息系統在需求，設計，實現，配置，運行的過程中，有意或者無意產生的脆弱性，這些脆弱性以不同形式存在于信息系統各個層次和環節中，能夠被惡意主題所利用，從而影響信息系統及其服務的正常運行[4]。

信息安全漏洞是一個比較獨特的抽象概念，它具有以下特征：

（1）信息安全漏洞是一種狀態或條件。它的存在并不能導致損害，但是可以被攻擊者利用，從而造成對系統安全的破壞。漏洞的惡意利用能夠影響人們的工作、生活，甚至給國家帶來災難性的后果。

（2）漏洞可能是有意，也可能是無意造成的。在信息系統中，人為主動形成的漏洞稱為預置性漏洞，但大多數的漏洞是由于疏忽造成的。例如，軟件開發過程中不正確的系統設計或編程過程中的錯誤邏輯等。

（3）漏洞廣泛存在。漏洞是不可避免的，它廣泛存在于信息產品或系統的軟件、硬件、協議或算法。而且在同一軟件、硬件及協議的不同版本之間，相同軟件、硬件及協議構成的不同系統之間，以及同種系統在不同的設置條件下，都會存在不同的安全漏洞問題。

（4）漏洞與時間緊密相關。一個系統從發布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商發布的補丁修復，或在以后發布的新版系統中得以糾正。而在新版系統糾正了舊版本中原有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現。

（5）漏洞研究具有兩面性和信息不對稱性。針對漏洞的研究工作，一方面可以用于防御，一方面也可以用于攻擊。同時，在當前的安全環境中，很多因素都會導致攻擊者的出現。攻擊者相對于信息系統的保護者具有很大的優勢，攻擊者只需要找出一個漏洞，而防御者卻在試圖消除所有漏洞。隨著網絡的發展，包括惡意工具在內的各種攻擊工具均可從互聯網上自由下載，任何有此意圖的人都能得到這些工具。而且出現了越來越多的無須太多知識或技巧的自動工具。同防護系統、網絡、信息以及響應攻擊所需的支出相比這些工具要更廉價。盡管網絡安全和信息保障技術能力也在逐步增強，但攻與防的成本差距不斷增大，不對稱性越來越明顯[5]。

2 信息安全漏洞的產生

計算機系統漏洞的產生有三個原因，具體如下所述：

（1）程序邏輯結構設計不合理，不嚴謹。編程人員在設計程序時程序，對程序邏輯結構設計不合理，不嚴謹，因此產生一處或多處漏洞。

（2）除了程序邏輯結構設計漏洞之外，程序設計錯誤漏洞也是一個重要因素。受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的權限提升。

（3）由于目前硬件無法解決特定的問題，使編程人員只得通過軟件設計來表現出硬件功能而產生的漏洞。

3 信息安全漏洞的等級劃分

目前國際上主流的信息安全漏洞等級劃分系統是 CVSS（Common Vulnerability scoring system），中國比較權威的是《中國國家信息安全漏洞庫》，等級劃分為“危急，高危，中危和低危”四個級別。

漏洞的評分由可利用性指標組的評分和影響性指標組的評分兩部分共同組成，漏洞的危害等級可根據其評分進行劃分。其中，可利用性指標組刻畫脆弱性組件（即包含漏洞的事物）的特征，反映漏洞利用的難易程度和技術要求等。可利用性指標組包含4 個指標，分別是攻擊途徑、攻擊復雜度、權限要求和用戶交互。影響性指標組反映漏洞成功利用后所帶來的危害。漏洞的成功利用可能危害一個或多個組件，影響性指標組的分值應當根據遭受最大危害的組件進行評定。影響性指標組包括三個指標，分別是機密性影響、完整性影響和可用性影響[6]。

同樣，本文沿用CVSS 的漏洞的評分規則，漏洞的分值在0 到10 之間，具體如下：

（1）如果 “可利用性評分 + 影響性評分 > 10”，則漏洞評分 =10；

（2）漏洞評分 = 可利用性評分 + 影響性評分；

（3）漏洞分值保留到小數點后1 位，如果小數點后第二位的數字大于0，則小數點后第一位數字加1。

具體劃分方式見表1。

表1 漏洞危害等級劃分表

漏洞的安全等級可以委托第三方評估機構進行評估，包括第三方漏洞報告平臺和xSRC 模式，也可參考文獻[7]提出的基于區塊鏈和IPFS 的漏洞交易平臺。本文中，漏洞安全等級系數與漏洞情報價值直接相關，因此將漏洞安全等級作為參考系數納入經濟價值評估公式。低危級對應系數為1，中危級對應為2，高危級對應系數為3，超危級對應的系數為4。

4 信息系統開發人員勞動力的市場經濟價值評估

二八效應即80/20 法則（The 80/20 Rule）[8]，又稱為帕累托法則、帕累托定律、最省力法則或不平衡原則、猶太法則，按事情的重要程度編排行事優先次序的準則是建立在“重要的少數與瑣碎的多數”原理的基礎上。

任何信息系統，即便是低危級安全漏洞，也足以影響系統的正常運行。若系統存在高危級安全漏洞，則整個系統面臨崩潰危險或對系統主人造成不可估量的損失。因此，信息安全漏洞符合帕累托法則，即它們屬于少數，但能造成主要的、重大的影響。

同時，信息系統是由開發人員開發的，開發人員勞動力的市場經濟價值體主要體現在他們的收入水平上，收入包括日常工資和獎金。根據《勞動價值論》 “勞動力的價值是有生產，發展，維持和延續勞動力所需的生活必需品的價值決定的”[9]。所以月工資是開發人員勞動力所需生活必需品的基本市場經濟價值的反映。但目前，開發人員薪酬定價不合理，如圖1、圖2所示，以獵聘網某公司招聘為例，信息開發人員所完成的安全工作獲得的報酬僅為其工作量的20%，同樣滿足帕累托法則，即信息開發人員的投入和產出、努力和報酬之間存在著不平衡。

圖1 獵聘網某公司A 招聘信息

圖2 獵聘網某公司B 招聘信息

5 信息安全漏洞的市場經濟價值評估

信息系統漏洞來源于信息系統的脆弱性，在信息系統開發過程中，脆弱性的產生是不可避免的。信息系統脆弱性的產生主要是由信息系統產品的特點和開發過程決定的，所以依據事務雙面性原理，信息安全漏洞是開發人員在開發信息系統時同步產生的負產品。按照雙面性原理，信息系統漏洞的市場經濟價值可以參考該信息系統開發人員勞動力的市場經濟價值。

這里提出一種可操作的評估方案，由于信息系統開發是個較長工程過程，根據勞動價值論觀點，采用該信息系統開發人員平均工資水平是個比較合適的基準。不同行業開發人員，公司不同工種開發人員的工資都不一樣，也反映了其所造成安全漏洞的基礎價值的不同。同時，安全漏洞的等級也說明安全漏洞的威脅級別，必須在信息安全漏洞的市場經濟價值上體現：

信息安全漏洞的市場價值 = 5 × 產生該安全漏洞開發人員的月平均工資 × 漏洞的安全等級。

其中，系數5 為工資修正系數，如前所述，開發人員工資符合帕累托法則，為消除開發人員工作量與薪酬的不平衡而引進；漏洞安全等級則由第三方評估機構給出。

以烏云網最近發布的漏洞編號WooYun-2015-156897 “京東商城某APP 設計不當導致任意用戶密碼重置問題”為例來估值該漏洞的市場經濟價值。該漏洞的在烏云網危險等級為高，所以威脅基數是3，漏洞類型為設計缺陷/邏輯錯誤，該漏洞是由APP 產品高級開發人員環節出現錯誤導致的。通過查詢人才招聘網站，以京東這樣公司高級APP 開發人員的月薪可用30000 RMB 作為參考，因此該漏洞的合理市場價值應該是：

5 × 30000 × 3 =450000 RMB

即發現該漏洞的團隊或者個人的勞動力價值是45 萬人民幣。

同樣，于2020年1月16日發布的Baidu Rust SGX SDK 安全漏洞，CNNVD 編號為CNNVD-202001-091[10]，安全等級為超危級別，安全等級系數按本文方法設定為4，Baidu 作為互聯網行業領軍公司，開發人員月薪可設定為45000，則根據本文計算方法，該安全漏洞估值為：

5×45000× 4 =900000 RMB。

6 結束語

本方案簡單明了，便于操作和實踐，對漏洞的估值比較公允和直觀，既能體現漏洞發現者的勞動力價值，也能避免漫天要價的惡性市場行為，對于漏洞方和發現方都是公開公平的估值標準。本文提出的估值方案可以開創信息安全領域全新的運行模式，改善白帽和廠家的團結和合作，引導黑客更多從事合法的工作，獲得應得的經濟利益，從而促進全社會對網絡安全的重視和投入。