文 | 中国信息安全测评中心 曹明 任望
习近平总书记强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”。当前,以网络化、数字化为代表的新科技革命和产业变革深入发展,对国家安全治理产生了深远影响。随着网数智的快速发展,网络安全漏洞已成为国家安全体系不可忽视的一环。在总体国家安全观的指导下,面对网络安全风险挑战,以漏洞治理赋能新质生产力发展,成为重要工作之一。
一、牢牢把握总体国家安全观对网络安全漏洞治理的指导和要求
2014 年 4 月 15 日,习近平总书记在中央国家安全委员会第一次会议上,创造性提出总体国家安全观。10 年来,以习近平同志为核心的党中央洞察百年变局之势、把握民族复兴之需、引领时代潮流之变,在新时代国家安全实践中不断深化理论创新。漏洞治理是通过政府、产业、组织或机构、社会共同协作,构建国家漏洞数据资源大循环体系,打造中国特色的漏洞治理生态,实现漏洞有效的闭环管控、网络安全利益全面增进的活动与过程。坚持总体国家安全观,对国家网络安全漏洞治理具有现实而深远的指导意义。
**一是总体国家安全观提出国家安全是全方位、多层次、宽领域的安全。**这就要求漏洞治理不能仅仅局限于单一的技术层面,应从国家战略的高度出发,统筹考虑政治、经济、文化、社会等多维度的影响。因此,漏洞治理不仅要依靠技术手段,还需要法律、政策、教育等多方面的支持和配合。
**二是总体国家安全观倡导主动预防的安全策略。**这就要求漏洞治理要建立完善的预警机制,提前发现潜在的安全风险,采取有效措施进行防范。同时,漏洞治理还要加强网络安全意识教育,提高全民的网络安全意识和自我保护能力,形成全社会共同参与的网络安全人民防线。
**三是总体国家安全观强调统筹融合整合一体的治理理念。**这就要求漏洞治理要建立跨部门、跨行业的协作机制,形成政府、企业、社会组织和公民个人共同参与的治理格局。通过融合各领域布局,整合各方面资源,发挥各力量优势,共同应对网络安全漏洞带来的挑战。
**四是总体国家安全观推进构建人类命运共同体的国际共同安全。**这就要求漏洞治理要在全球化的背景国际社会的共同努力,应积极参与国际漏洞治理,各国共同制定漏洞治理规则,共同应对跨国网络安全威胁。
**五是总体国家安全观坚持以人民为宗旨的发展思想。**这就要求漏洞治理要始终把人民的利益放在首位,保障人民的信息安全和隐私权益,依靠人民提高网络安全漏洞风险应对能力,切实维护人民群众的切身利益。
总体国家安全观为网络安全漏洞治理提供了根本遵循和行动指南,对于构建和谐稳定的网络环境、维护国家安全具有重要指导意义。
二、深刻认识新质生产力发展带来漏洞治理的新挑战
习近平总书记强调,“新质生产力是创新起主导作用,摆脱传统经济增长方式、生产力发展路径,具有高科技、高效能、高质量特征,符合新发展理念的先进生产力质态。”数字化时代,新质生产力的快速发展,特别是以科技创新为核心的生产力发展,以网络化、数字化、智能化为标志,正在重塑全球经济和社会结构。这一变革为漏洞治理提出的新课题,漏洞风险不断增加,关键技术创新和自主可控能力亟需加强;伴随新质生产力发展对关键信息基础设施依赖增加,全面防范网络攻击能力亟待提升,这些给漏洞治理带来重重挑战。
**一是网数智技术迭代迅速复杂,漏洞消控任务艰巨。**从内在条件看,我国数字领域关键核心技术受制于人的局面尚未根本改变,尤其在高端芯片、基础协议、高级人工智能、通信服务设备等方面,实现数字产业链自主可控目标还将经过一个长期努力的过程,漏洞风险问题更加突出。从数字技术发展看,新技术、新应用层出不穷,更新迭代迅速,系统架构更加复杂,组件接口繁多,大大增加漏洞发现的难度。
**二是漏洞攻击战术战法隐蔽高级,监测预警应对乏力。**攻击者利用零日漏洞发动攻击,往往在被发现之前就已经造成损害。并开发利用这些漏洞的攻击手段,这些漏洞可能在被发现和修复之前就已经被利用。高级持续性威胁攻击者使用高级技术来隐藏其攻击活动,使得攻击行为难以被检测和追踪。攻击供应链中的薄弱环节,间接影响目标组织。人工智能来自动化攻击流程,提高攻击效率和隐蔽性。跨多个平台(如移动设备、桌面、服务器等)进行攻击。某些攻击背后可能有国家支持,这些攻击往往具有高度的组织性和隐蔽性。
**三是漏洞黑色产业兴风作浪,治理问题依然棘手。**漏洞黑色产业早已形成发现、交易、利用等各环节完整的产业链。《2023 年互联网黑灰产研究年度报告》数据显示,国内黑灰产从业人员数量超过 580 万,涉及的攻击资源量级大幅提升。零日攻击态势持续居高,2023 年新增零日漏洞中有 92%是在野利用,受害目标多样化,覆盖各类企业以及个人用户,实施数据窃取、勒索攻击。跨地区国际化特点突出,给法律监管带来了巨大挑战,需要国际合作和更先进的技术手段来应对。
**四是漏洞风险整体认知能力不足,管理问题纷杂不清。**一些组织或个人未能充分认识到网络安全漏洞的严重性和漏洞管理的重要性,无法及时有效地识别、评估、修复和管理漏洞,从而增加遭受攻击的风险。漏洞生命周期管理流程不明确或执行力度不够,缺乏开发、运维和安全团队跨部门协作,导致漏洞管理效率低下、识别漏洞后行动不及时。面对大量漏洞,组织无法正确判断哪些漏洞需要优先修复,导致重要漏洞被遗漏。合规仅仅是基线,资产分类分级管理不到位,无法准确评估哪些资产风险更高,漏洞风险整体形势不容乐观。
**五是具有综合能力的漏洞人才缺口较大,培养激励机制亟待完善。**在网络安全领域,专业人才的短缺是一个不容忽视的问题。当前,高校教育和职业培训所能提供的人才数量远远无法满足市场上日益增长的缺口。尽管我国拥有一定数量的漏洞发现专家和漏洞研究人员,但是这个数量仍然不能满足漏洞相关工作的总需求。因此,如何设置合适的岗位以及确立正确的价值导向,成为漏洞研究领域的核心议题之一。同时,如何鼓励并引导优秀的青年漏洞研究人才投身国家安全事业,也是值得深入探讨的重要问题。
三、加快推进漏洞治理赋能新质生产力发展的工作着力点
坚持实战导向、目标导向和问题导向,以总体国家安全观为指导,以新发展理念为引领,以高质量漏洞治理能力护航新质生产力为目标,切实履行漏洞分析和风险评估职责。推进漏洞治理有助于提高政府和社会对新技术风险的认识和管理能力,促进国家安全治理体系和能力现代化,有助于识别和解决新质生产力发展中的潜在风险,确保技术进步与安全发展相协调,有助于增强产业的可靠性和竞争力,推动产业实现新质生产力的高质量发展。
**一是把漏洞治理提升到国家安全层面,建立健全漏洞治理体制机制建立健全。**漏洞治理是解决非传统安全风险向传统安全风险传导问题的关键环节,是提升国家安全治理能力的基础,更是维护国家安全的重要战略任务,狠抓漏洞治理就是筑牢网络安全根基。网络互联互通,数据无处不在,看似不起眼的漏洞可以毁掉宏大的数字工程。漏洞治理的关键和根本,是要依赖国家安全层面统一部署的工作机制,明确漏洞治理职能,构建基础研究、发现检测、风险评估及人才管理等治理能力,统筹推进漏洞风险治理体系建设,实现漏洞风险有效管控。
**二是贯穿漏洞生命周期环节管控,强化落实供应链相关责任。**采取有效的管理手段可以减少漏洞数量、降低漏洞风险,改善数字产品安全。建立数字产品漏洞风险评估机制,规范漏洞风险等级标准,组织可靠力量分级分批深挖细排。明确数字产品提供者使用者等相关方漏洞排查和修复的责任和要求,专业机构协同检测评估处置,实现漏洞全生命周期覆盖管控。
**三是倡导全球数字产业高质量发展,促进国际合作共同构建漏洞治理体系。**数字化转型是全球经济发展趋势,全球数字供应链相互交织,提供高质量数字技术、以负责任的态度持续保障产品安全性能才是拓展国际市场的长远之计。特别要与核心基础数字产品供应方建立漏洞信息及时共享的保障机制,共同创建国际通用的漏洞规范标准,引领国际漏洞治理体系新规则,实现安全权益最大化。
**四是营造良好的漏洞产业发展环境,推动漏洞技术攻关和应用创新。**漏洞产业是漏洞风险治理的重要支柱力量,在严厉打击黑产链条基础上,合理引导上游产出,加大中游参与主体准入和监督力度,运用政策支持鼓励下游企业积极应用创新,规划布局产业整体发展方向,有力提升产业效能,充分发挥漏洞产业的重要作用。
**五是加快建设漏洞人才队伍,突出人才价值体现,发挥人才队伍主观能动性。**网络空间安全博弈中的攻防较量,主要体现在人与人的对抗,漏洞人才是维护国家安全和提升技术优势地位的战略资产。我国漏洞人才面临严重不足和合理利用双重挑战,建设漏洞学科体系,培养致力于投身国家安全的高素质人才,正向引导社会人才队伍积极技术攻关,统筹漏洞人才职业教育,激励人才学以致用,吸引更多有识之士投入到漏洞治理行动中来。
(本文刊登于《中国信息安全》杂志2024年第5期)