桂畅旎，杨婧婧，李维杰

（中国信息安全测评中心 北京 100085）

0 引言

在互联网时代，漏洞已成为一种国家级战略资源。作为网络安全的核心要素，漏洞利用对国家安全、经济发展和隐私保护带来挑战。美国政府一直将漏洞管理作为信息安全战略的关键要素，持续投入力量建立开放灵活的漏洞收集、发布等机制。特朗普当选后，美国政府更是将漏洞管控作为网络安全政策的优先项。11月15日，美国白宫网站发布报告《美国联邦政府漏洞公平裁决政策和程序》（Vulnerabilities Equities Policy and Process for the United States Government，以下简称《漏洞公平裁决政策和程序》）[1]，详细描述了特朗普政府更新漏洞公平裁决流程的原因、方法和愿景，标志着本届政府向“漏洞公平裁决程序”（Vulnerabilities Equities Process，VEP）机制建设迈出重要一步，将对全球网络治理产生重要影响。

1 “漏洞公平裁决程序”由“秘密”转为“公开”的历程

“漏洞公平裁决程序”实质上是美国政府针对信息安全漏洞，由多部门协调处理的一套行政过程[2]，目标是在决定披露或者保留漏洞时，能平衡“情报收集”、“调查事项”和“信息安全保障”三方面的影响，做出“对整体利益最好的决策”，主要规制对象是“新发现且未公开”的漏洞[3]。

1.1 兴起于小布什时代提出的联合计划

漏洞公平裁决流程最早可追溯至美国前总统小布什在2008年1月签发第54号国家安全政策指令[4]和第23号国土安全总统指令[5]，提出了“综合国家网络安全倡议”（Comprehensive National Cybersecurity Initiative，CNCI），其中要求国务院、国防部、国土安全部、司法部以及国家情报总监办公室共同制定一项“协调进攻性能力的联合计划”，以保护美国信息系统。该计划指出，“漏洞的发现可能会引发相互竞争的利益诉求，干扰政府协调建设网络进攻和防御能力”，要求“采取行动妥善解决各方利益关切”[6]。该计划提出建立“漏洞公平裁决流程”以机制化和系统化美国政府对零日漏洞的处理[7]。

1.2 形成于奥巴马任职初期的工作组报告

国家情报总监办公室为响应“综合国家网络安全倡议”，专门设立工作组，在2008年至2009年间研究探讨漏洞公平裁决流程的制定。该工作组囊括了来自国家安全委员会、中央情报局、国防情报局、司法部、联邦调查局、国防部、国务院、能源部和国土安全部的成员，并于2010年2月最终制定完成《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》[8]（全称Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process，即旧版“漏洞公平裁决程序”章程），制定了漏洞裁决的通知、决策和上诉的程序，漏洞公平裁决程序初具雏形，成为奥巴马政府内部管控漏洞的重要依据。

1.3 公开于“心脏出血”漏洞后的舆论压力

漏洞公平裁决程序直到2014年因舆论压力才部分向社会公开。2014年4月，媒体报道美国国家安全局两年前已知晓“心脏出血”漏洞[9]，并且定期利用该漏洞获取重要情报，引发公众和舆论对美国政府漏洞管理的质疑。时任白宫网络安全协调员迈克尔·丹尼尔专门撰文回应指责，称美国政府已有一个机密的、严格的、高水平的漏洞披露机制，并简要介绍了漏洞披露的考量因素[10]。但该文并未平息舆论的指责，电子前沿基金会(Electronic Frontier Foundation，EFF)在2014年5月凭借《信息自由法案》成功推动美国政府公开“漏洞公平裁决程序”章程[11]。2014年11月，美国政府公布第一批经过脱密处理的“漏洞公平裁决程序”章程，并在2015年、2016年再次公布相关文件。

1.4 完善于各界的争论和推动

根据迈克尔·丹尼尔的文章，漏洞公平裁决程序的工作自始至终都处于技术专家层面，无高级官员参与[12]。他坦言，由美国国安局继续按内部程序处理漏洞，难以适应网络安全形势的发展，美国政府需要为VEP“重新注入活力”[13]。受此影响，在“漏洞公平裁决程序”相关章程公布后，美国各界在2014年后开始讨论如何提高漏洞裁决流程的有效性。学术机构（如哈佛大学肯尼迪学院贝尔弗中心[14]）、智库（如新美国基金会[15]）和政府审查团体（如总统情报和通信技术审查小组[16]）纷纷建言献策，形成以下共识：一是推动法律保障，提高“漏洞公平裁决程序”章程的权威性；二是公开详细的标准，提高“漏洞公平裁决程序”章程的可操作性；三是制定定期审查制度，确保对“漏洞公平裁决程序”章程的监督。在此背景下，特朗普政府启动“漏洞公平裁决程序”章程落地实施。

2 新版《漏洞公平裁决政策和程序》的内容与特点

新版《漏洞公平裁决政策和程序》主要包括目的、背景、范围、参与主体、程序和附件六部分，区别于已公开的漏洞公平裁决程序文件，新版文件在程序透明、考量要素、参与主体等方面均进行了改进，分析如下：

2.1 细化裁决程序，增强政策操作性

新版《漏洞公平裁决政策和程序》目标是建立可重复的技术或方法，以快速权衡国家安全各要素，形成最佳实践，并依此详细规定了六步裁决程序：第一，提交：相关机构确认并提交满足要求的漏洞，并给出通报或保留的建议。第二，通知：漏洞裁决程序执行秘书处会在1个工作日内通知所有的漏洞公平裁决程序的联系人。第三，公平性研讨：受影响的机构必须在5个工作日内对其是否同意公布或保留给出反馈，若在裁决上未达成共识，可在7个工作日内进行公平性研讨。第四，裁决：在与相关机构进行充分咨询之后，同时在保障美国政府对网络安全、情报、反情报、执法、军事行动以及关键基础设施保护等职能需求上，作出公布或保留的裁决。第五，处置手段和后续行为：如果选择披露漏洞，漏洞的提交机构有责任将漏洞相关信息通报厂商，并在7个工作日内尽可能地扩散相关信息；如果保留漏洞信息不予公布，公平裁决委员会1..详见下文“建立问责”。每年都会对提交漏洞进行重新评估，直到漏洞可以通报或通过其他的手段被消控。第六，对初步判决进行申辩：申请公平裁决的相关部门和机构可以通过国家安全委员会（National Security Council， NSC）相关途径上诉，申请重新考虑裁决。

2.2 公开裁决考量因素，提高政策透明度

根据新版《漏洞裁决政策和程序》，漏洞裁决程序的关键优先项就在于提高其透明性[17]，因此首次公开了漏洞裁决的四大考虑要素，保证参与者能对利益和风险进行客观评估：（1）国家防御方面考量。一是威胁因素，包括漏洞产品使用位置、使用范围、受影响的产品范围、被潜在威胁者利用的可能性等；二是安全漏洞分析，包括威胁者利用漏洞的可能性、威胁者发现或获取该漏洞的可能性等；三是影响力分析，包括用户对产品安全性的依赖程度、漏洞的严重程度、威胁者对其加以利用可能引发的后果，用户抵消攻击者利用漏洞造成危害的可能性；四是缓解因素，包括通过配置消除软件漏洞的可能性、现有最佳实践或标准配置减弱漏洞影响的可能性、供应商开发补丁对降低漏洞威胁的影响。（2）情报、执法、网络行动方面考量。一方面是价值因素，包括漏洞被利用来支持情报收集、网络行动以及执法证据收集的可能性；另一方面是行动影响因素，包括利用漏洞打击网络空间威胁者、应对国家级的情报获取或军事打击提供价值的可能性、披露该漏洞对暴露情报来源和方法的影响等。（3）商业方面考量，主要包括对披露漏洞给商业机构带来风险的评估。（4）国际关系考量，主要包括对披露漏洞给美国的国际关系带来风险的评估。

2.3 扩大“多利益攸关方”参与，落实政策问责制

新版《漏洞公平裁决政策和程序》要求设立“公平裁决委员会”（Equities Review Board，ERB），负责机构间的审议与裁决，并举行每月例会。公平裁决委员会由10个联邦政府实体构成，分别是国土安全部（责任单位是国家网络安全与通信集成中心、美国特情局，下同）、白宫行政管理和预算办公室、国家情报总监办公室（情报联盟安全协调中心）、财政部、国务院、司法部（联邦调查局国家网络调查联合特遣队）、能源部、国防部（国家安全局、网络司令部、网络犯罪中心）、商务部、中央情报局；每个机构设立联系员，并任命1至2名领域专家。文件还规定漏洞裁决程序的负责人将由总统的网络安全助理担任，同时将漏洞公平裁决程序的执行秘书处设在美国国家安全局，主要负责确保信息共享、组织讨论、记录流程等。对于未披露漏洞的信息，公平裁决委员会每年还要进行重新评估并提交年度报告，同时负责向供应商提供消控措施。

2.4 保留更多例外情形，确保政策实施灵活性

新版《漏洞公平裁决政策和程序》在原有的开源渠道获得的漏洞以及公开研究的漏洞基础上，再次扩大了例外情况，规定美国政府公布或限制漏洞信息的决定会受到“合作协定”和“敏感行动”的制约，此部分漏洞由最初发现的机构通过内部渠道直接报告裁决委员会主席，但具体涉及到哪些漏洞属于涉密信息，美国政府此次并未公开。此外，安全研究人员自行确认的漏洞以及在安全事件响应中计划公布的漏洞信息也不受漏洞裁决程序限定。

3 新版《漏洞公平裁决政策和程序》的前景与影响

新版《漏洞公平裁决政策和程序》的出台，既有回应当前美国漏洞操控舆论压力的现实之需，也体现出完善美国漏洞管控体系的使命传承，更是为今后谋求漏洞获取合法化，便于执法与情报行动奠定基础。

3.1 回应漏洞操控指责，营造有利的舆论环境

目前，美国在漏洞领域的领先地位受到严重挑战。2013年斯诺登事件揭示了美国政府利用本质上是漏洞的“后门”在全球网络空间从事情报搜集和秘密窃取的做法；2014年的“心脏滴血”漏洞将美国“知情不报”的行为推上舆论的漩涡；2017年勒索病毒“WannaCry”席卷全球则让美国利用漏洞囤积网络武器的行为备受质疑[18]。美国共和党参议员罗恩·约翰逊(Ron Johnson) 和民主党参议员布莱恩·夏兹(Brian Schatz) 甚至于2017年5 月提出议案“保护我们的反黑客能力”（Protecting our Ability To Counter Hacking，PATCH Act of 2017），要求美国国土安全部主持对NSA 未披露的零日漏洞储存库的审查。对此，特朗普政府加快完善《漏洞公平裁决政策和程序》，并在文件中直接表明美国政府在漏洞裁决中倾向于“公开披露”，以满足“绝大多数人”的利益，实为扭转舆论被动局面之策。

3.2 完善漏洞管控体系，固化领先优势

长期以来，美国在漏洞领域一直处于全球领先地位，但斯诺登事件加速了网络空间政治化和军事化进程，导致全球漏洞研究、分析和应用进入新阶段：大多数国家实体将信息安全和网络安全作为国家战略关注重要内容，重视漏洞的搜集、研究和防御；以互联网公司为代表的信息产业企业高度重视信息安全和产品漏洞，重视漏洞的搜集和防御；私营企业主导的漏洞库快速发展，重视漏洞信息共享和风险防御等。美国政府主导的漏洞管控体系面临越来越大的挑战，在漏洞分析领域一家独大的局面发生改变。近期，美国“记录未来”等公司大肆炒作中国在漏洞领域超越美国[19]，即反应了美国对漏洞领域发展的担忧。白宫此次发布新的《漏洞公平裁决政策和程序》，实质是特朗普政府延续过往实践，谋求通过技术手段规范漏洞管控，保障美国在网络空间领先优势。

3.3 谋求漏洞获取合法化，便利执法与情报活动

随着苹果和谷歌等相继宣布将进一步加密智能手机的操作系统，如何处理依托于获取用户数据的执法取证问题越来越成为执法部门的挑战。2015年2月，美国国家安全局局长迈克尔·罗杰斯曾指出，应该有“一种合法框架”迫使苹果和谷歌等公司在他们的信息产品中留下“前门”，以方便政府调查犯罪或威胁国家安全的问题[20]。罗杰斯口中的“前门”与“后门”本质上都是一种人为漏洞，即预先在信息产品中设置可绕过安全控制而获得对程序或者系统访问权的接口，目的是让美国政府或者情报界能够方便获取信息产品中的用户信息，而两者的区别仅在于是否有法律支持与强制性。2015年底的苹果与美国联邦调查局关于解密加密手机争端，加剧了执法机构是否可利用加密数字产品“后门”的讨论白热化。对此，西方国家情报与执法机构普遍开始寻求在法律上取得突破，利用漏洞执法合法化上的趋势越来越明显[21]。《漏洞裁决政策和程序》正是美国政府谋求情报与执法机构利用漏洞合法化的产物，为后续发展更加完备的漏洞管控体系做准备。

3.4 固化漏洞管理中政府的主导作用，推动VEP成为国际规则

虽然目前各界观察者对于新版《漏洞公平裁决政策和程序》中有关规制漏洞的定义、例外情形的扩大以及参考要素的考量等仍存质疑，但是普遍认为新版《漏洞公平裁决政策和程序》的发展方向总体向好，特别是对美国政府在管理漏洞中的主导作用表示认可[22]，有利于规范零日漏洞市场乱象。值得注意的是，美国政府将新版《漏洞公平裁决政策和程序》看作是建立面向全球的漏洞管理规程的重要一步，并呼吁英国、荷兰、瑞典、法国、德国、澳大利亚、加拿大等合作伙伴像美国一样建设自己的VEP机制[23]，以此作为建设成为负责任网络空间行为体的必要条件，美国推动VEP程序成为国际网络规则的意愿进一步凸显。

4 启示与建议

从上世纪七十年代在美国南加州大学最早开展漏洞挖掘和分析研究[24]，到21世纪初发布《漏洞分析框架》并成立全球最大的国家漏洞库[25]，再到2015年修改《瓦森纳协定》对零日漏洞进行出口管控，美国不断完善漏洞管控的政策体系，此次发布《漏洞公平裁决政策和程序》将进一步完善漏洞处理生态系统[26]，对美国乃至全球网络治理都将产生重要影响。与此同时，我国漏洞分析工作经过几年的探索和尝试，在基础理论、技术工具、挖掘评估以及标准规范等方面均积累了一定的经验和方法，特别是2009年我国的国家信息安全漏洞库（CNNVD）正式运营上线，在信息安全漏洞收集、重大漏洞信息通报、高危漏洞安全消控、信息安全标准化建设等方面发挥了重要作用。但是较之于急速发展的网络化时代和日趋严峻的信息安全形势，我国漏洞分析工作还有待突破和创新：一是法规缺失。目前我国漏洞管理相关条文仅在《网络安全法》、《国家安全法》等有所体现，漏洞管理专门配套法规还未成型，这与漏洞的战略地位严重不匹配；二是标准滞后。《信息安全技术安全漏洞标识与描述规范》、《信息安全技术信息安全漏洞管理规范》、《信息安全技术安全漏洞等级划分指南》、《信息安全技术安全漏洞分类规范》等漏洞相关标准制定已有时日，未涉及漏洞挖掘、零日漏洞管理等新问题，难以适应当前信息安全形势；三是管理不足。目前国内相关企业纷纷建立漏洞平台，积极开展与漏洞处置相关的工作，但是受互联网自由思想的影响，存在个别黑客或安全公司滥用漏洞、随意发布漏洞以及地下网络黑色产业膨胀等诸多乱象。因此，亟需从国家层面统一管控好漏洞这一极其敏感又关键的安全资源。

4.1 加强漏洞管理机制建设

目前，我国漏洞管理工作已有相关的制度安排与基础投入，《网络安全法》也对漏洞工作作出相关规定，因此当务之急是要进一步发挥职能部门的作用，充分发挥已建成的国家级漏洞库作用，整合各方漏洞信息，进行直接管理、统一管控，提升国家整体的网络安全态势感知能力。

4.2 加快漏洞研究能力建设

我国目前的漏洞研究和搜集体系已初具规模，但在高危漏洞挖掘与收集、漏洞利用与开发等方面与发达国家存在差距，需继续加强漏洞研究能力的建设工作，包括：漏洞挖掘与分析能力建设、漏洞修补与风险评估能力建设、漏洞利用与开发能力建设等。

4.3 提高漏洞规制国际话语权

在漏洞威胁全球网络安全、漏洞管理乱象突出的背景下，漏洞已引发越来越多国家的重视，并将其作为网络安全中的重点规制对象。作为网络大国，我国在漏洞管理上已积累丰富的经验和教训，对此我国应发挥优势强化漏洞工作体系，积极作为扩大国际话语权，在国际规制中提出中国方案，促成漏洞管理的共建共治共享。在此过程中，要充分借鉴美国在漏洞管理中的先进经验，加强与美国在漏洞管理上的合作，努力将其打造为中美网络安全合作的着力点与突破点。

[1]White House.Vulnerabilities Equities Policy and Process for the United States Government[EB/OL].(2017-11-15) .https∶//www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20 FINAL.PDF.

[2]Chris Jaikaran,Vulnerabilities Equities Process,Congressional Research Service[EB/OL].(2017-02-17). https∶//lieu.house.gov/sites/lieu.house.gov/files/CRS%20Memo%20-%20 Vulnerabilities%20Equities%20Process.pdf.

[3]White House.Vulnerabilities Equities Policy and Process for the United States Government[EB/OL].( 2017-11-15).https∶//www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20 FINAL.PDF.

[4]George W. Bush Administration, "Cybersecurity Policy"[EB/OL].(2003-04-03).https∶//georgewbush-whitehouse.archives.gov/infocus/bushrecord/documents/Policies_of_the_Bush_Administration.pdf.

[5]FANDOM.Homeland Security Presidential Directive 23[EB/OL].(2017-12-03).http∶//itlaw.wikia.com/wiki/Homeland_Security_Presidential_Directive_23.

[6]White House.The Comprehensive National Cybersecurity Initiative[EB/OL]. (2010-09-01).https∶//nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-034.pdf. September 1，2010.

[7]Electronic Frontier Foundation ,Exhibit C∶ Classified Declaration of James B.Richberg, Office of the Director of National Intelligence[EB/OL]. (2016-01-18).https∶//www.eff.org/files/2016/01/18/37-4_richberg_declaration_ocr.pdf.

[8]Electronic Frontier Foundation ,Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process[EB/OL]. (2015-09-04).https∶//www.eff.org/files/2015/09/04/document_71_-_vep_ocr.pdf.

[9]Michael Riley.NSA Said to Exploit Heartbleed Bug for Intelligence for Years. Bloomberg L.P. [EB/OL].(2014-04-12).http∶//www.thanhniennews.com/education-youth/nsa-said-to-exploitheartbleed-bug-for-intelligence-foryears-25258.html.

[10]Michael Daniel.Heartbleed∶ Understanding When We Disclose Cyber Vulnerabilities[EB/OL].(2014-04-28).https∶//obamawhitehouse.archives.gov/blog/2014/04/28/heartbleedunderstanding-when-we-disclose-cybervulnerabilities.

[11]EFF v. NSA, ODNI - Vulnerabilities FOIA[EB/OL].(2017-12-03).https∶//www.eff.org/cases/eff-v-nsa-odni-vulnerabilities-foia.

[12]Michael Daniel.Heartbleed∶ Understanding When We Disclose Cyber Vulnerabilities[EB/OL].(2014-04-28).https∶//obamawhitehouse.archives.gov/blog/2014/04/28/heartbleedunderstanding-when-we-disclose-cybervulnerabilities.

[13]Kim Zetter.US Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies,Wired[EB/OL].(2014-11-17).https∶//www.wired.com/2014/11/michael-daniel-no-zero-daystockpile/.

[14]Ari Schwartz and Rob Knake.Government’s Role in Vulnerability Disclosure[EB/OL]. (2016-06-30).http∶//www.belfercenter.org/sites/default/files/legacy/files/vulnerability-disclosure-webfinal3.pdf.

[15]Andi Wilson, Ross Schulman, Kevin Bankston and Trey Herr.Bugs in the System[EB/OL].(2016-07-28).https∶//www.newamerica.org/oti/policy-papers/bugs-system/.

[16]The President’s Review Group on Intelligence and Communications Technologies, Liberty and Security in a Changing World[EB/OL].(2013-12-12). https∶//obamawhitehouse.archives.gov/sites/default/files/docs/2013-1212_rg_final_report.pdf.

[17]Rob Joyce.Improving and Making the Vulnerability Equities Process Transparent is the Right Thing to Do，White House[EB/OL].(2017-11-15). https∶//www.whitehouse.gov/articles/improving-making-vulnerabilityequities-process-transparent-right-thing/.

[18]中国新闻网.勒索病毒横行引发互联网危机如何防范‘想哭’？ [EB/OL].(2017-12-03).http∶//news.xinhuanet.com/world/2017-05/17/c_129606008.htm.

[19]郑国仪.中国发现网络安全漏洞速度有多快？美媒：领先美国20天[EB/OL].(2017-12-03).http∶//news.xinhuanet.com/world/2017-10/24/c_129725629_2.htm.

[20]林小春.美国安局长：加密数字产品应给政府留‘前门’[EB/OL].(2017-12-04).http∶//tech.sina.com.cn/i/2015-02-24/docicczmvun6257180.shtml.

[21]Robert Hannigan, How Britain’s GCHQ Decides Which Secrets to Share with You[EB/OL].(2017-11-19). https∶//www.thecipherbrief.com/column_article/britains-gchq-decides-secrets-share.Shaun Waterman, Responsible vulnerability disclosure is becoming an international norm,September19,2017.https∶//www.cyberscoop.com/vep-international-responsible-disclosurecanada-uk-netherlands/.

[22]Jennifer Stisa Granick.Trump’s New Cybersecurity Rules Are Better Than Obama’s[EB/OL].(2017-11-27).ACLU.https∶//www.aclu.org/blog/privacy-technology/internetprivacy/trumps-new-cybersecurity-rules-arebetter-obamas.

[23]Jason Healey.The US Government and Zero-Day Vulnerabilities∶from pre-heartbleed to shadow brokers,Journal of International Affairs[EB/OL].(2016-11-30).https∶//jia.sipa.columbia.edu/online-articles/healey_vulnerability_equities_process.

[24]刘剑,苏璞睿,杨珉,等.软件与网络安全研究综述[J].软件学报,2017(07)∶1-25.

[25]杨诗雨,郝永乐.强化漏洞管控机制,加快国家漏洞库建设[J].中国信息安全,2016(07)∶63-67.

[26]Andi Wilson, Ross Schulman, Kevin Bankston and Trey Herr.Bugs in the System[EB/OL].(2016-07-28).https∶//www.newamerica.org/oti/policy-papers/bugs-system/.