芦 健

（杭州安恒信息技术股份有限公司，浙江 杭州 310000）

1 披露网络安全漏洞的必要性

近年来，网络安全漏洞呈逐年上涨之势（见图1），从技术层面来看，盲目追求网络绝对安全是不现实的，网络安全问题的形成是一个漫长且复杂的过程。无论相关工作人员如何努力，网络安全漏洞都可能会出现[1]。为应对网络安全威胁，可通过公开披露漏洞来帮助用户更好地了解风险，并在某种程度上减少或阻止威胁的扩大化。

图1 2019—2022年网络安全漏洞数据统计

1.1 与“风险预防”管理理念相符

大数据时代，漏洞引发的网络安全问题对个人、社会造成了深远影响。传统的被动防御体系已无法抵御频繁的网络攻击。为解决这一问题，相关工作人员积极尝试构建主动安全防御体系。立法机构也意识到预防控制比惩罚的效果更好，并将风险预防作为关键立场反映在多部法律中。漏洞信息披露是风险预防体系中的关键一环，在协调各方利益和需求以及推动网络治理理念转变方面发挥着重要作用。CNCERT（中国国家计算机网络应急技术处理协调中心）指出，发现网络安全漏洞之后，在其并没有导致严重后果的时候，应及时披露漏洞信息，通过这种方式对用户发出预警，令用户对于可能遭受的网络攻击提前做好准备，尽可能避免由于个人信息泄露而造成财产损失[2]。

1.2 与国家提出的信息安全管理要求相符

随着互联网技术的不断发展，网络攻击手段也越来越复杂及多样化，因此对于保证网络安全而言，漏洞信息披露显得尤为重要。国家也提出了一系列针对网络信息安全管理的要求，其中包括：①加大监管力度。对此，政府应加大对互联网行业及相关企业的监管力度，并严格执行法律法规以打击互联网环境中存在的违法违规行为[3]。②建立健全相应的标准体系。建立起完整、可靠、适用于各类企事业单位的信息化标准体系，以便更好地保障网络安全。上述对于网络信息安全管理要求都与漏洞信息披露密切相关。一方面，政府需要建立专门的机构负责漏洞信息披露工作，并严格执行法律法规以确保互联网环境中没有违法违规行为。在制定新技术标准、评估产品合规性等方面也需要考虑漏洞信息披露的相关要求。另一方面，漏洞信息披露需要遵循一定的规范和流程，因此在建立信息化标准体系时，需要考虑相关要求（如图2所示）[4]。

2 网络安全漏洞信息披露中存在的问题

网络安全漏洞信息披露主体是指那些负责披露网络安全漏洞的相关机构或个人，这些主体不仅可以帮助企业和组织发现它们自身存在的漏洞，同时也能够协助政府监管部门更好地了解网络安全风险，以便采取相应措施[5]。需要注意的是，网络安全漏洞信息披露是一个循序渐进、逐步完善的过程。在此过程中，如果没有这些主体及时披露潜在问题，并提供有效建议来修复漏洞，则可能会导致严重后果。网络安全漏洞信息披露中主要存在以下几方面的问题。

2.1 技术层面存在缺陷

网络安全漏洞信息披露是促进网络安全的重要环节，它可以帮助软件开发人员修补安全漏洞，增强系统的安全性。然而，在技术层面上信息披露中存在一些缺陷。

首先，通常情况下，安全漏洞被修补前是不会对公众公开的，只有修补后的信息才会被公布。但是黑客和攻击者往往比开发人员更快地发现漏洞，因此安全漏洞可能已经被利用了一段时间。如果安全漏洞在修补前被公开，则攻击者可以利用该漏洞攻击系统，这使得信息披露缺乏实效性。其次，信息披露的内容很难做到完全透明。软件开发商有时会刻意隐瞒漏洞信息，以避免自身的品牌声誉受到影响。各种厂商之间也会存在争端，不同厂商对漏洞的认识和分类标准存在差异，因此信息披露的过程可能会受到厂商之间的相互影响。

最后，当漏洞被公开后，攻击者通常会利用这些信息来进行攻击，而目标系统可能还没有来得及修补漏洞。因此，信息披露本身也可能会成为攻击的媒介。

当前阶段各企业都面临着网络攻击者对其系统进行的攻击和利用已知或未知的软件缺陷等多方面威胁（见表1）。

表1 2022年1—6月份新增安全漏洞信息公司排名

因此，投入大量资金和社会资源消除这些漏洞成为保障经济稳定发展所必须做出的牺牲与付出。加强企业对网络安全问题的认识、增强技术力量等，可以帮助各企业更好地预防和处理各种漏洞问题[6]。

2.2 行业规范不健全

近年来，“互联网+”模式在各行各业中得到了广泛应用，网络技术与社会发展也在不断实现深度融合，然而，“互联网+”也使得互联网的脆弱性、危险性等弊端逐渐显现。随着各种新型威胁不断涌现，企业在保持创新的同时维护网络安全变得愈加困难。这些威胁包括软件勒索、恶意软件攻击、黑客攻击、数据泄露等，其中最常见的是网络攻击者利用漏洞进行攻击或入侵系统[7]。针对这些问题，互联网行业各大公司牵头，整合互联网产业各类资源，制定出了一系列针对漏洞信息披露的行业规则（见表2）。

表2 网络安全漏洞信息披露行业规范（节选）

分析表2可以发现，在互联网企业制定的行业公约中，对于互联网安全漏洞信息披露相关问题并没有给予应有的重视，其中，《中国互联网协会漏洞信息披露自律公约》仅从宏观层面对漏洞信息披露问题提出了框架性指导，未进行深层次管理。加之互联网行业发展速度快，新的安全漏洞层出不穷，导致互联网行业规范在具体执行过程中得不到有效的执行。

3 加强网络安全漏洞信息披露工作的具体措施

3.1 建立健全漏洞信息收集机制

建立健全漏洞信息收集机制是网络安全保障的重要环节。在具体实践中，相关工作人员可以从以下几个方面入手，对漏洞信息收集制度进行完善[8]。①建立专业的漏洞信息采集工作小组。组建一支由技术人员、安全工程师和分析师等多个领域专业人士组成的团队，负责通过定期扫描、监测和分析系统日志、数据包等方式获取相关信息。②选择合适的漏洞扫描工具。企业根据实际情况选用相应的漏洞扫描工具，如Nessus、OpenVAS等常见开源软件或商业软件。通过自动化扫描来获得更加准确和及时的检测结果。③建立统一标准与分类规范。针对不同类型或级别的漏洞制定详细操作手册和管理流程，并按照危害性质划分优先级。同时建立统一标准与分类规范，以便于后续处理过程中进行快速识别并制定相应措施。

3.2 加强技术支持

提高网络安全漏洞披露水平，离不开技术层面的支持。相关企业以及工作人员可从以下几个方面入手，对现有的网络安全漏洞检测及披露技术进行优化。①搭建完善的服务平台。为广大用户提供必要的技术支持和指导服务，并在企业官网上搭建在线论坛或社区等交流平台，增加互动性和透明度。同时制定详细操作手册或FAQ文档，以便用户能快速解决相关问题。②加强培训与教育。对不同类型或级别的漏洞及其修复方案进行分类归纳，并通过内部培训、外部研讨会等形式将这些知识传授给相关人员[9]。此外，在日常工作中也可以结合实际情况开展模拟演练、攻防对抗等活动来提升整体应急响应能力。③优化客户体验。对于每一个用户提交的漏洞问题，应当及时回复并提供相应解决方案。同时加强与用户之间的沟通和反馈机制，收集客户的意见和建议，并不断优化完善自身工作流程。

3.3 加入第三方评估机构

在加强网络安全漏洞披露工作中引入第三方评估机构，能够提高整个安全体系的可靠性和透明度。在具体实践中，相关工作人员可以从以下四个方面入手，让第三方评估机构能够真正参与到网络安全漏洞披露工作当中。①确定合作方式与范围。在确定合作之前需要明确双方责任范围以及具体工作流程，并签订保密协议以确保信息不被泄露。同时还需对服务周期、费用结算等问题进行充分沟通和确认[10]。②提供必要支持和配合。为第三方评估机构提供必要的技术支持和配合，如开放接口、提供测试环境等，以便其能够更好地完成检测任务。③定期跟踪网络安全漏洞披露进展情况并反馈意见。在检测过程中需要对结果进行监督与管理，并及时向相关部门汇报发现的问题及解决进展情况。同时也应当积极参与到漏洞修复阶段中去，并就后续运营中可能涉及的问题提出自己的意见和建议。④建立长期合作关系。在与第三方评估机构合作过程中，可以建立起长期稳定的合作关系，以便于更好地共同应对各类安全挑战。同时还需加强经验总结和知识沉淀，为后续工作提供宝贵参考。

4 结束语

网络安全漏洞信息披露是保障网络安全的重要环节，其中存在着一些难题，如技术层面存在缺陷、行业规范不健全等。针对这些问题，相关工作人员可通过建立健全漏洞信息收集机制、加强技术支持能力、并引入第三方评估机构等方式，提高整个安全体系的可靠性和透明度。在此基础上，不断创新并优化自身工作流程，以更好地应对各类网络安全威胁。■