您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
前沿 | 俄羅斯網(wǎng)絡(luò)安全漏洞管理體系探析
文│ 信息工程大學(xué)洛陽校區(qū) 劉剛
網(wǎng)絡(luò)安全漏洞(以下簡稱“漏洞”)作為信息通信網(wǎng)絡(luò)中在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,隨著經(jīng)濟(jì)社會信息化、網(wǎng)絡(luò)化、數(shù)字化和智能化程度的加深,對國家網(wǎng)絡(luò)安全的影響也日益加劇。世界各主要國家和組織為了切實提升國家網(wǎng)絡(luò)安全防護(hù)能力,圍繞漏洞的研究、收集和利用,紛紛建立國家級漏洞通報平臺或漏洞數(shù)據(jù)庫。日本于2003年開始建設(shè)“日本漏洞通報”(JVN)平臺;美國于 2005 年開始建設(shè)“國家漏洞數(shù)據(jù)庫”(NVD);歐盟于2008 年啟動了以“信息安全漏洞庫服務(wù)”(SVRS)為核心的“歐洲盾牌計劃”;我國于 2009 年開始建設(shè)“中國國家信息安全漏洞庫”(CNNVD)。以建立國家層面漏洞數(shù)據(jù)庫為主要標(biāo)志,各國的網(wǎng)絡(luò)安全漏洞管理體系也逐漸完善和成熟。相比較其他各國,俄羅斯于 2015 年才建立了國家層面的漏洞數(shù)據(jù)庫:即信息安全威脅數(shù)據(jù)庫。盡管俄羅斯國家漏洞數(shù)據(jù)庫發(fā)展時間較短,但圍繞信息安全威脅數(shù)據(jù)庫建設(shè)構(gòu)建起的網(wǎng)絡(luò)安全漏洞管理體系已經(jīng)初具規(guī)模。研究俄羅斯網(wǎng)絡(luò)安全漏洞管理體系建設(shè),對于進(jìn)一步提升我國信息安全漏洞管理能力和水平具有重要借鑒意義。
一、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的法律基礎(chǔ)
俄羅斯目前在網(wǎng)絡(luò)安全漏洞管理領(lǐng)域已經(jīng)建立起包括總統(tǒng)令、政府法令、部門法規(guī)和部門指導(dǎo)文件在內(nèi)的一整套法規(guī)文件,這為網(wǎng)絡(luò)安全漏洞管理體系的建設(shè)發(fā)展奠定了法律基礎(chǔ)。
總統(tǒng)令:《聯(lián)邦技術(shù)與出口監(jiān)督局問題總統(tǒng)令》。該總統(tǒng)令賦予聯(lián)邦技術(shù)與出口監(jiān)督局“查驗國家信息系統(tǒng)中包含的信息安全威脅”,“建立國家信息安全威脅數(shù)據(jù)庫,并確定相關(guān)聯(lián)邦權(quán)力機關(guān)和聯(lián)邦主體權(quán)力機關(guān)對信息安全威脅數(shù)據(jù)庫的使用程序及方法”。
政府法令:《個人信息系統(tǒng)數(shù)據(jù)處理保護(hù)要求政府令》。該法令主要明確了個人信息系統(tǒng)信息安全威脅的等級標(biāo)準(zhǔn)、判定依據(jù)和相應(yīng)的信息安全技術(shù)與組織防護(hù)措施,以及聯(lián)邦技術(shù)與出口監(jiān)督局在其中的職責(zé)。
聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門法規(guī)。主要包括《非涉密國家信息系統(tǒng)信息保護(hù)章程》《個人信息系統(tǒng)數(shù)據(jù)處理安全保障組織與技術(shù)措施章程》《關(guān)鍵信息基礎(chǔ)設(shè)施生產(chǎn)與技術(shù)流程自動化管理系統(tǒng)信息保護(hù)章程》《信息安全威脅數(shù)據(jù)庫條例》《軟件與硬件漏洞信息列入信息安全威脅數(shù)據(jù)庫章程》等。這些部門法規(guī)主要明確了國家信息系統(tǒng)、個人信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施中漏洞的發(fā)現(xiàn)及相應(yīng)安全防護(hù)措施等,以及漏洞數(shù)據(jù)庫的建設(shè)、運營及維護(hù)等。
聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門指導(dǎo)文件。主要包括《國家信息系統(tǒng)信息保護(hù)措施》《信息安全威脅數(shù)據(jù)庫信息通報》《信息安全威脅評估方法》等。這些文件主要是對聯(lián)邦技術(shù)與出口監(jiān)督局頒布的一些部門法規(guī)的補充或說明,其本身雖然不具有法律強制性,但在網(wǎng)絡(luò)安全漏洞管理體系中具有方法論上的指導(dǎo)意義。
二、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)
俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)主要包括聯(lián)邦技術(shù)與出口監(jiān)督局、聯(lián)邦技術(shù)控制與計量署、國家信息技術(shù)保護(hù)科學(xué)試驗研究所、Linux 系統(tǒng)安全研究中心、信息安全威脅數(shù)據(jù)庫企業(yè)協(xié)會等。
聯(lián)邦技術(shù)與出口監(jiān)督局。該局是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的領(lǐng)導(dǎo)管理機構(gòu),負(fù)責(zé)網(wǎng)絡(luò)安全漏洞管理的全面工作,如起草制定國家漏洞管理政策、領(lǐng)導(dǎo)國家層面的漏洞研究、收集和利用工作等。
聯(lián)邦技術(shù)控制與計量署。該署在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)漏洞管理的標(biāo)準(zhǔn)化工作,如制定涉及漏洞管理的國家標(biāo)準(zhǔn)。
國家信息技術(shù)保護(hù)科學(xué)試驗研究所。該研究所為聯(lián)邦技術(shù)與出口監(jiān)督局的下屬機構(gòu),在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)具體業(yè)務(wù)管理。它在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的主要職責(zé)是起草國家漏洞管理政策、評估國家漏洞威脅狀況、領(lǐng)導(dǎo)漏洞研究和收集活動、組織關(guān)鍵信息基礎(chǔ)設(shè)施漏洞防護(hù)活動、運營維護(hù)信息安全威脅數(shù)據(jù)庫、制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn)、對國內(nèi)漏洞掃描工具進(jìn)行鑒定和認(rèn)證等。
Linux 安全研究中心。該研究中心由聯(lián)邦技術(shù)與出口監(jiān)督局與俄羅斯科學(xué)院系統(tǒng)編程研究所于2021 年 3 月開始合作創(chuàng)建。它是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)領(lǐng)導(dǎo) Linux 漏洞研究的關(guān)鍵機構(gòu)。俄羅斯基于 Windows 系統(tǒng)漏洞頻發(fā)嚴(yán)重威脅國家網(wǎng)絡(luò)安全狀況的考慮,自 2010 年開始研究基于開源的 Linux 內(nèi)核的國產(chǎn)操作系統(tǒng),到 2018 年,國產(chǎn)操作系統(tǒng) Astra Linux 系統(tǒng)問世并且逐步在軍方、國家機關(guān)、能源企業(yè)等開始推廣應(yīng)用。為了確保 Astra Linux 系統(tǒng)的安全,聯(lián)邦技術(shù)與出口監(jiān)督局撥款 3 億盧布用于創(chuàng)建 Linux 安全研究中心。該中心的主要任務(wù)是分析 Linux 內(nèi)核源代碼、評估 Linux安全風(fēng)險、挖掘并修復(fù)基于 Linux 內(nèi)核的操作系統(tǒng)的漏洞、測試 Astra Linux 系統(tǒng)安全并開發(fā)相應(yīng)安全防護(hù)措施等。
信息安全威脅數(shù)據(jù)庫企業(yè)協(xié)會。該協(xié)會由俄羅斯國內(nèi)七家從事漏洞研究的機構(gòu)和企業(yè)組成,其中包括俄羅斯科學(xué)院系統(tǒng)編程研究所、俄羅斯基礎(chǔ)信息技術(shù)公司、遠(yuǎn)景監(jiān)測公司、梯隊公司、信息保護(hù)平臺公司、積極技術(shù)公司以及阿盧什塔軟件公司等。它在俄羅斯網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中主要負(fù)責(zé)參與起草國家漏洞管理政策,參與制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn),為信息安全威脅數(shù)據(jù)庫運營維護(hù)提供技術(shù)支撐,研制并推廣漏洞掃描工具等。
三、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺
俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺是指由聯(lián)邦技術(shù)與出口監(jiān)督局主管、國家信息技術(shù)保護(hù)科學(xué)試驗研究所負(fù)責(zé)運營維護(hù)的信息安全威脅數(shù)據(jù)庫網(wǎng)站(bdu.fstec.ru)。該網(wǎng)站自 2015 年 3 月運營以來,在俄羅斯關(guān)鍵信息基礎(chǔ)設(shè)施漏洞安全防護(hù)領(lǐng)域發(fā)揮了重要作用。
信息平臺的主要數(shù)據(jù)庫。(1)漏洞數(shù)據(jù)庫。漏洞數(shù)據(jù)庫作為該信息平臺的核心數(shù)據(jù)庫,目前已經(jīng)收錄漏洞信息 35248 條(截至 2021 年 10 月 13 日)。相比較其他官方漏洞數(shù)據(jù)庫,它具有以下幾個特點:首先是漏洞信息描述更全面。在其他官方漏洞數(shù)據(jù)庫描述漏洞名稱、編碼、軟件名稱、漏洞類型、危害等級、威脅類型、發(fā)布時間、來源、補丁措施等信息之外,俄羅斯漏洞數(shù)據(jù)庫還描述了漏洞威脅CVSS 評分、漏洞涉及的軟件的版本以及該軟件涉及的操作系統(tǒng)和硬件平臺、漏洞利用方式等信息。其次是是漏洞查詢方式更多樣。相比較其他官方漏洞數(shù)據(jù)庫在提供漏洞查詢時,一般僅按照漏洞名稱、漏洞編碼、漏洞類型、發(fā)布時間、軟件廠商幾種方式查詢,俄羅斯漏洞數(shù)據(jù)庫還提供了諸如按照操作系統(tǒng)、漏洞狀況、漏洞威脅等級、漏洞利用方式、軟件版本或硬件平臺等方式進(jìn)行查詢,這就使得使用者能更加方便快捷地查詢到需要的信息。最后是漏洞信息提取更多樣。相比較其他官方漏洞數(shù)據(jù)庫為使用者提供漏洞信息時一般采取網(wǎng)頁信息和 XML數(shù)據(jù)文件兩種方式外,俄羅斯漏洞數(shù)據(jù)庫還提供了XLSX 文件,這就更加方便了使用者提取漏洞信息。(2)信息安全威脅數(shù)據(jù)庫。該數(shù)據(jù)庫主要收集、提供非軟件及硬件漏洞的網(wǎng)絡(luò)安全威脅,在描述威脅時主要提供威脅編碼、威脅名稱、威脅簡介、威脅來源、威脅作用的目標(biāo)以及威脅實現(xiàn)的后果等方面的信息。目前,該數(shù)據(jù)庫已收錄信息安全威脅222 條(截至 2021 年 10 月 13 日)。(3)漏洞術(shù)語庫。為了更好地規(guī)范漏洞管理工作,形成對漏洞管理的統(tǒng)一認(rèn)知,該信息平臺還建設(shè)了漏洞術(shù)語庫。該術(shù)語庫對漏洞及相關(guān)概念如“零日”漏洞、未公開漏洞、軟件漏洞、漏洞威脅等級等術(shù)語,依據(jù)國際技術(shù)標(biāo)準(zhǔn)、國家技術(shù)標(biāo)準(zhǔn)和相關(guān)國內(nèi)法規(guī)等規(guī)范性文件進(jìn)行了定義。目前,該術(shù)語庫已收錄術(shù)語 66條(截至 2021 年 10 月 13 日)。
信息平臺的主要功能。(1)漏洞信息收集。該信息平臺收集的漏洞信息主要有兩類來源渠道:一類是來自漏洞管理體系內(nèi)部的漏洞信息,主要包括來自國家信息技術(shù)保護(hù)科學(xué)試驗研究所、Linux安全研究中心、信息安全威脅數(shù)據(jù)庫企業(yè)協(xié)會等機構(gòu)或企業(yè)。另一類是來自漏洞管理體系外部的漏洞信息,主要是來自軟件生產(chǎn)商以及其他大量俄羅斯漏洞研究人員、企業(yè)。為了吸引俄羅斯漏洞研究人員和企業(yè)參與漏洞信息研究,共同提高俄羅斯網(wǎng)絡(luò)安全防御能力,聯(lián)邦技術(shù)與出口監(jiān)督局在該信息平臺設(shè)置了“漏洞信息提交通報平臺”和“漏洞研究排行榜”。為了彰顯“漏洞研究排行榜”的公平、公正,進(jìn)一步激發(fā)漏洞研究人員、企業(yè)的開展漏洞研究的積極性,聯(lián)邦技術(shù)與出口監(jiān)督局還制定了《向威脅數(shù)據(jù)庫提供漏洞信息研究者排名規(guī)定》。(2)漏洞信息統(tǒng)計。該信息平臺的漏洞信息統(tǒng)計主要采用兩種類型:一種是常見的通過對漏洞信息進(jìn)行數(shù)字編碼來統(tǒng)計。其漏洞信息數(shù)字編碼格式為“BDU-XXXX-XXXXX”,其中 BDU為漏洞數(shù)據(jù)庫簡寫,第一組“XXXX”是漏洞信息收錄到漏洞數(shù)據(jù)庫的公歷年份,第二組“XXXXX”是漏洞信息在該公歷年份收錄到漏洞數(shù)據(jù)庫中的序號。另一種是按照不同規(guī)則通過統(tǒng)計圖表對漏洞信息進(jìn)行統(tǒng)計 , 如按照軟件類別的漏洞分布圖、按照威脅等級的漏洞分布圖等。(3)漏洞威脅評估。該信息平臺目前提供了“通用漏洞評分系統(tǒng)”(CVSS)的 V2、V3 及 V3.1 三個版本,平臺用戶可以根據(jù)自己的需求自主選擇不同版本,對已發(fā)現(xiàn)的漏洞進(jìn)行自助式的評估,從而更快確定漏洞的威脅程度以及所需應(yīng)對措施的緊急程度和重要程度。(4)漏洞信息通報。該信息平臺的漏洞信息通報目前主要采取三種方式:即通過網(wǎng)站發(fā)布新聞信息的形式、通過推特(Twitter)發(fā)布推文的形式以及基于 RSS 和 Atom標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)。相比較前兩種傳統(tǒng)漏洞信息通報形式,基于 RSS 和 Atom 標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)對于信息平臺和平臺用戶來說,漏洞信息服務(wù)更加精準(zhǔn)、漏洞信息更新更加及時、漏洞信息利用更加高效。
信息平臺的漏洞管理工作流程。信息平臺的漏洞管理工作流程主要包括三個階段:(1)漏洞獲取階段。按照規(guī)定,信息平臺獲取漏洞信息的方式主要是采取專用電子郵箱加優(yōu)良保密協(xié)議(PrettyGood Privacy,PGP)加密的方式。平臺各類用戶所提交的漏洞信息應(yīng)采用標(biāo)準(zhǔn)格式,主要包含漏洞名稱及描述、漏洞發(fā)現(xiàn)時間、漏洞適用的操作系統(tǒng)或硬件平臺類型的名稱、根據(jù) CVSS.V.3 評估的漏洞威脅等級及評分、漏洞驗證資料(POC 代碼或視頻等),提交人員或機構(gòu)聯(lián)系方式等信息。(2)漏洞處置階段。信息平臺獲取來自軟件生產(chǎn)商或漏洞研究機構(gòu)、個人提交的漏洞信息后,對漏洞信息的處置一般分為四個步驟:第一步是驗證評估漏洞。信息平臺收到漏洞信息后應(yīng)在規(guī)定時間內(nèi)完成對漏洞的驗證、威脅等級評估,并將其與信息平臺的漏洞數(shù)據(jù)庫進(jìn)行對比(若屬于漏洞數(shù)據(jù)庫已收錄漏洞信息,則將數(shù)據(jù)庫中的漏洞描述信息反饋給漏洞信息提供者)。第二步是對漏洞進(jìn)行臨時編碼。若屬于漏洞數(shù)據(jù)庫未收錄漏洞,信息平臺將該漏洞信息以“BDU-Z-XXXX-XXXXX”格式編碼,其中“Z”代表此編碼為臨時編碼,然后將臨時編碼及相應(yīng)漏洞信息反饋給漏洞信息提供者。第三步是開發(fā)漏洞修復(fù)措施。漏洞信息提供者(一般為軟件生產(chǎn)商)收到漏洞臨時編碼信息后,應(yīng)根據(jù)漏洞威脅等級不同在相應(yīng)規(guī)定時間內(nèi)開發(fā)漏洞修復(fù)措施。若漏洞信息提供者無法開發(fā)漏洞修復(fù)措施,則信息平臺運營主體國家信息技術(shù)保護(hù)科學(xué)試驗研究所將采取與漏洞信息提供者合作或獨立的方式完成漏洞修復(fù)措施開發(fā)。第四步是正式編碼。在完成漏洞修復(fù)措施開發(fā)后,信息平臺對漏洞信息以“BDU-XXXX-XXXXX”格式進(jìn)行正式編碼,并將其錄入漏洞數(shù)據(jù)庫,同時將漏洞正式編碼信息反饋給漏洞信息提供者。(3)漏洞發(fā)布階段。按照規(guī)定,漏洞發(fā)布采取在信息安全威脅數(shù)據(jù)庫中公布有正式編碼的漏洞描述信息的方式實現(xiàn),公布時限根據(jù)漏洞威脅等級不同而確定。
四、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的國家標(biāo)準(zhǔn)
目前,俄羅斯已經(jīng)制訂并頒布的關(guān)于漏洞管理的國家標(biāo)準(zhǔn)主要有兩份文件,《信息保護(hù) 信息系統(tǒng)漏洞 漏洞描述規(guī)范》( ГОСТ Р 56545-2015)和《信息保護(hù) 信息系統(tǒng)漏洞 信息系統(tǒng)漏洞分類》( ГОСТ Р56546-2015)。
《漏洞描述規(guī)范》。該國家標(biāo)準(zhǔn)主要提供了漏洞描述的要素及內(nèi)容的一般要求,適用于對已知漏洞、“零日”漏洞等進(jìn)行描述,目的是促進(jìn)信息系統(tǒng)漏洞分析工作中對漏洞進(jìn)行準(zhǔn)確識別和深入分析。從漏洞描述的要素來看,該標(biāo)準(zhǔn)將漏洞描述信息分為四個層次的信息:為了精準(zhǔn)識別漏洞,其描述信息應(yīng)當(dāng)包含漏洞標(biāo)識符、漏洞名稱、漏洞類別和軟件名稱及其版本等信息;為了深入分析信息系統(tǒng)漏洞,其描述信息應(yīng)當(dāng)包含缺陷類型的標(biāo)識符、缺陷的類型、缺陷產(chǎn)生的地方、發(fā)現(xiàn)漏洞的方法、消除漏洞的可能措施等信息;為了充實漏洞的細(xì)節(jié)信息,其描述信息應(yīng)當(dāng)包含操作系統(tǒng)名稱及硬件平臺類型、軟件編程語言、漏洞威脅等級、其他漏洞數(shù)據(jù)庫漏洞描述標(biāo)識、漏洞發(fā)現(xiàn)時間、漏洞發(fā)現(xiàn)者等信息;為了進(jìn)一步完善信息系統(tǒng)漏洞描述信息,還應(yīng)當(dāng)包含軟件配置描述、漏洞利用所需權(quán)限描述、漏洞利用可能導(dǎo)致的威脅描述、漏洞消除措施公布的時間等信息。在明確了漏洞描述信息要素的基礎(chǔ)上,該標(biāo)準(zhǔn)又進(jìn)一步規(guī)定了描述每個要素的規(guī)范表述,并以舉例的形式作了詳細(xì)說明。
《信息系統(tǒng)漏洞分類》。該國家標(biāo)準(zhǔn)主要提供了漏洞分類的指標(biāo)和漏洞的具體分類方式及類別等內(nèi)容,適用于在網(wǎng)絡(luò)安全工作中的漏洞分類及危害評估。為了對漏洞進(jìn)行科學(xué)合理的分類,該標(biāo)準(zhǔn)主要考慮了漏洞的三個方面標(biāo)準(zhǔn),即漏洞來源的領(lǐng)域、信息系統(tǒng)缺陷的類型和信息系統(tǒng)漏洞產(chǎn)生的地方等。除此之外,該標(biāo)準(zhǔn)還參考了漏洞在公開漏洞數(shù)據(jù)庫中的搜索特征,如操作系統(tǒng)名稱和硬件平臺類型、軟件名稱及其版本、漏洞威脅等級、編程語言類型和用于軟件運行的端口等。按照來源領(lǐng)域劃分,漏洞可以分為 5 種,即代碼漏洞、設(shè)計漏洞、結(jié)構(gòu)漏洞、組織漏洞和復(fù)合漏洞等。按照信息系統(tǒng)缺陷類型劃分,漏洞可以劃分為 20 種,即軟件參數(shù)配置不當(dāng)缺陷、數(shù)據(jù)錄入檢查不完全缺陷、目錄讀取路徑缺陷、操作系統(tǒng)指令執(zhí)行能力缺陷、執(zhí)行腳本缺陷、編程語言執(zhí)行缺陷、任意代碼注入缺陷、資源管理缺陷、密碼重置缺陷等。按照信息系統(tǒng)漏洞產(chǎn)生的地方劃分,漏洞可以劃分為 7 種,即通用軟件漏洞、應(yīng)用軟件漏洞、專用軟件漏洞、技術(shù)設(shè)備漏洞、便攜式技術(shù)設(shè)備漏洞、網(wǎng)絡(luò)(通信及電信)設(shè)備漏洞、信息保護(hù)設(shè)備漏洞等。
五、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的特點
管理貫穿漏洞生命周期。圍繞漏洞生命周期進(jìn)行全流程管理是實施漏洞管理的關(guān)建。國家信息技術(shù)保護(hù)科學(xué)試驗研究所作為俄羅斯漏洞管理的業(yè)務(wù)主管部門,基于信息安全威脅數(shù)據(jù)庫網(wǎng)站這一信息平臺,將督促核查貫穿于漏洞的全生命周期。(1)在漏洞的發(fā)現(xiàn)階段,國家信息技術(shù)保護(hù)科學(xué)試驗研究所主要通過兩種方式實施管理:一種是通過及時更新公布漏洞能力排行榜的方式引導(dǎo)各類漏洞研究機構(gòu)、企業(yè)或個人開展漏洞研究;另一種是通過引導(dǎo)信息平臺用戶安裝部署各種版本的漏洞掃描器,直接接收漏洞報告。(2)在漏洞接收階段,國家信息技術(shù)保護(hù)科學(xué)試驗研究所主要通過信息平臺接收來自不同漏洞提交者及漏洞掃描器提交的漏洞信息。(3)在漏洞驗證階段,國家信息技術(shù)保護(hù)科學(xué)試驗研究所主要對漏洞提交信息中相應(yīng)的驗證手段及方法進(jìn)行核查和再驗證,同時根據(jù)漏洞提交者身份的不同和漏洞屬于已發(fā)現(xiàn)還是新發(fā)現(xiàn)漏洞,在相應(yīng)規(guī)定時間內(nèi)給予不同反饋。(4)在漏洞處置階段,國家信息技術(shù)保護(hù)科學(xué)試驗研究所首先是督促漏洞軟件生產(chǎn)商開發(fā)漏洞消除措施,當(dāng)條件不具備時再以合作或獨立的方式開發(fā)相應(yīng)的漏洞處置措施,然后將漏洞消除措施反饋給漏洞軟件生產(chǎn)商。(5)在漏洞發(fā)布階段,當(dāng)漏洞信息被收錄到漏洞數(shù)據(jù)庫后,國家信息技術(shù)保護(hù)科學(xué)試驗研究所根據(jù)漏洞軟件生產(chǎn)商反饋的漏洞消除措施發(fā)布實施的情況,正式將漏洞信息在信息平臺公布,以進(jìn)一步促進(jìn)漏洞的修復(fù)。
重視漏洞挖掘能力建設(shè)。在俄羅斯漏洞管理體系的發(fā)展進(jìn)程中,漏洞挖掘能力建設(shè)是其重中之重,它直接決定漏洞管理體系能力、水平的高低。俄羅斯漏洞管理體系重視漏洞挖掘能力主要體現(xiàn)在以下三個方面:(1)大力發(fā)展專業(yè)漏洞研究機構(gòu)。作為漏洞管理的業(yè)務(wù)部門,國家信息技術(shù)保護(hù)科學(xué)試驗研究所不僅直接開展漏洞研究,同時還以投資合作建設(shè)研究機構(gòu)、政策主導(dǎo)發(fā)展漏洞研究企業(yè)協(xié)會、發(fā)布排行榜引導(dǎo)相關(guān)企業(yè)競相開展漏洞研究等方式不斷擴大專業(yè)漏洞研究機構(gòu)的數(shù)量。(2)主導(dǎo)推動漏洞掃描工具的研制推廣。俄羅斯將漏洞掃描工具視為快速提升漏洞挖掘能力的重要手段,始終高度關(guān)注。按照《俄聯(lián)邦技術(shù)與出口監(jiān)督局條例》的規(guī)定,聯(lián)邦技術(shù)與出口監(jiān)督局擁有對漏洞掃描工具的研制、推廣的審查與認(rèn)證權(quán)力。(3)建設(shè)秘密漏洞數(shù)據(jù)庫。按照《信息安全威脅數(shù)據(jù)庫條例》的規(guī)定,信息安全威脅數(shù)據(jù)庫的建設(shè)分公開漏洞數(shù)據(jù)庫和秘密漏洞數(shù)據(jù)庫兩個部分。在秘密漏洞數(shù)據(jù)庫的建設(shè)中,漏洞信息來源主要有兩類:一類是來自信息平臺獲取的漏洞信息。信息平臺在獲取漏洞信息后,必須同步向聯(lián)邦技術(shù)與出口監(jiān)督局的專用電子郵箱發(fā)送漏洞信息,聯(lián)邦技術(shù)與出口監(jiān)督局根據(jù)相關(guān)法律規(guī)定可以在相應(yīng)時間內(nèi)決定是否公開該漏洞信息以及是否將其收錄到秘密數(shù)據(jù)庫;另一類是來自國家信息技術(shù)保護(hù)科學(xué)試驗研究所及其直接管理的漏洞研究機構(gòu)提供的漏洞信息。通過建設(shè)秘密漏洞數(shù)據(jù)庫,俄羅斯將其漏洞挖掘能力實現(xiàn)了內(nèi)外隔離,這對促進(jìn)俄羅斯漏洞挖掘及利用能力具有重要意義。
軍方參與影響程度較高。漏洞管理體系建設(shè)作為俄羅斯國家漏洞安全防護(hù)能力發(fā)展的關(guān)鍵,俄羅斯軍方對其有較高的參與度和影響力。這主要體現(xiàn)在以下兩個方面:(1)聯(lián)邦技術(shù)與出口監(jiān)督局作為聯(lián)邦機構(gòu),本身就是俄國防部的下屬部門,它由俄聯(lián)邦總統(tǒng)授權(quán)國防部實施直接管理。(2)俄國防部直接參與了漏洞管理體系國家標(biāo)準(zhǔn)的建設(shè)。在審核提交漏洞管理國家標(biāo)準(zhǔn)的工作中,俄聯(lián)邦國防部直屬的第3、6、27 中央研究所作為俄羅斯信息保護(hù)標(biāo)準(zhǔn)化技術(shù)委員會的成員直接參與了該項工作。此外,作為已頒布漏洞管理國家標(biāo)準(zhǔn)的起草者的“信息安全中心”,雖然現(xiàn)在屬于商業(yè)企業(yè),但其前身實際上是國防部某直屬研究所的內(nèi)設(shè)研究部門,直到現(xiàn)在,該中心仍與國防部有著密切的合作關(guān)系。通過這些方式和途徑,俄軍方深度介入了俄羅斯網(wǎng)絡(luò)安全漏洞管理體系。
(本文刊登于《中國信息安全》雜志2021年第10期)
文章來源:中國信息安全