中國信息安全 - 專題·漏洞治理 | 美國網絡安全和基礎設施安全局（CISA）網絡安全漏洞治理政策分析－鑽石舞台

掃碼訂閱《中國信息安全》雜誌

郵發代號 2-786

征訂熱線：010-82341063

文│中國信息安全測評中心楊詩雨桂暢旎

當今世界正處於百年未有之大變局，國際形勢風雲變幻，推動全球治理體系深刻變革，網絡空間治理作為全球治理的全新命題和重要領域，關係着全人類的命運。網絡安全漏洞（Vulnerability，以下簡稱「漏洞」）是網絡空間系統構建的必然結果和客觀存在，日益成為全球網絡空間安全事件的主要誘因，上至重要系統中潛藏的「零日漏洞」，下至網絡上俯拾皆是的歷史漏洞，均是全球數字化發展的「阿喀琉斯之踵」，一旦被惡意主體利用攻擊，就會對信息系統安全造成損害，進而對國家、社會和公眾造成重大損失。隨着漏洞的資源屬性和戰略地位不斷提高，「誰能利用好漏洞，誰就能在網絡空間占據先鋒」成為當前「網緣政治」的新名言。美國基於漏洞治理領域先發優勢，經過多年的發展，在漏洞的發現收集、驗證評估、修復消控、披露和跟蹤上建立了完善的漏洞治理體系，其中國土安全部（DHS）及其下屬的網絡安全和基礎設施安全局（CISA）發揮了關鍵的統籌協調作用。因此，以 CISA 為例研究美國漏洞治理體系的歷史沿革、主要內容、實施效果，對於強化我國漏洞治理政策具有一定的借鑑意義。

一、CISA 漏洞治理政策的歷史由來

美國自 20 世紀 80 年代開始由 DHS 主導漏洞治理實踐工作，通過《愛國者法案》《2002 年關鍵基礎設施信息保護法》《瓦森納協定》《商業與政府信息技術和工業控制產品或系統的漏洞裁決政策和程序（VEP）》等以法律手段和制度威懾對漏洞資源實施嚴管嚴控，隨着《2015 網絡安全信息共享法》《2017 反黑客保護能力法案》《2018 網絡漏洞公開報告法案》等法案頒布，逐漸向「共享合作」方向演變發展，並在 2018 年 CISA 成立後形成了統籌協調和精細化的治理格局，逐漸發展為以 CISA 為核心的漏洞治理政策。

（一）通用漏洞披露（CVE）與美國國家漏洞庫（NVD）：奠定美國漏洞治理的基礎

美國漏洞治理髮端於公私合作的標準項目和漏洞庫建設，DHS 早期通過資助CVE 和 NVD，完成了美國漏洞治理的基礎布局。

一是資助非營利組織制定通用漏洞披露（CVE）並推廣為全球通用標準。通用漏洞披露（CVE）是漏洞標識標準也是漏洞字典庫，負責收集漏洞並給予編號以便於公眾查閱。CVE 由 DHS 資助非營利組織麥特（MITRE）公司於 1999 年推出，後由其下屬的國土安全系統工程與發展研究所（HSSEDI）運營維護，並在 2002 年被美國國家標準與技術研究院（NIST）推薦到美國全聯邦機構使用，在 2004 年被美國國防信息系統局（DISA）推薦到安全產品中使用。CVE 雖然是一個漏洞索引目錄，但是在其建立之初就充分體現了其開放性，通過建立 CVE 編碼委員會（CNA），充分吸納美國內商業公司、學術研究機構、開源組織、漏洞獎勵平台以及知名安全專家，廣泛吸引來自全球各國的合作夥伴，目前已涵蓋 34 個國家的 221 個合作夥伴。可以說，CVE 編號已成為漏洞溝通的「通用語言」。

二是以標準先發優勢建設國家級漏洞庫 NVD。隨着 CVE 國際影響力不斷提升，為了進一步擴大在漏洞管理領域的影響力和掌控力，DHS 委託 NIST在 CVE 基礎上建立了國家級漏洞庫 NVD。NVD 早期仍由麥特公司負責運營管理，2013 年起由美國計算機應急準備小組（US-CERT）正式接管。NVD 與CVE 同步更新，同時 NVD 還兼容了包含「通用漏洞評估系統」(CVSS)、「通用平台列舉」（CPE）等漏洞相關標準在內的安全內容自動化協議（SCAP），能夠提供更為詳細和全面的漏洞分類、分級、影響產品等標準化、格式化信息，數據應用性更強，使用範圍更廣。截至 2022 年 5 月 17 日，NVD 公開發表的漏洞數量合計 176207 條，居世界前列，已成為各國家、各行業研究漏洞的重要來源。

（二）國家網絡安全和通信整合中心（NCCIC）：建成漏洞共享中心

2009 年，為加強網絡態勢感知，DHS 成立國家網絡安全和通信整合中心（NCCIC），整合 USCERT 在內的多家網絡安全機構，提供對網絡數據、威脅、漏洞等分析和實時監控、信息共享、應急響應。

《2014 年聯邦信息安全現代化法案》與《2015年網絡安全信息共享法》明確了 NCCIC 作為美國民事聯邦機構的安全運營中心，協同處理漏洞預警、共享、緩解和修復等職能。一是實施前置的漏洞告警，與來自行業、學術界和國家實驗室的聯繫人協調開發和發布漏洞告警。二是開展實時的漏洞共享，協調與聯邦政府共享有關網絡威脅指標、防禦措施、網絡安全風險和事件的信息，利用自動指標共享項目 (AIS) 確保相關方以近實時方式預防、檢測和應對當前網絡漏洞威脅。三是開展及時的漏洞響應，提供有關網絡威脅指標、防禦措施、網絡安全風險和事件的技術援助、風險管理支持和事件響應能力。四是協同相關機構，與國際合作夥伴共享合作網絡威脅指標、防禦措施以及與網絡安全風險和事件相關的信息。

（三）網絡安全和基礎設施安全局（CISA）：實現對於漏洞的統籌管控

2018 年 11 月，美國總統特朗普簽署《2018 年網絡安全和基礎設施安全局法案》，批准 DHS 下的國家保護與計劃局（NPPD）重組為網絡安全和基礎設施安全局 CISA，以識別威脅、共享信息並協助事件響應，保護國家的網絡和關鍵基礎設施安全。

2021 年 5 月，拜登政府發布《改善國家網絡安全行政令》，要求「最大限度地儘早發現網絡上的漏洞和事件，加強聯邦政府對漏洞的認識和檢測」。基於此，CISA 將統籌漏洞治理作為重要任務，積極充實「工具箱」。一是在法律上用活強制性網絡安全指令。CISA 成立以來共發布 3 項約束力操作指令（BOD）規範漏洞相關政策，分別是要求在特定時間內修復高風險漏洞的 BOD 19-02，要求制定漏洞披露政策（VDP）的 BOD 20-01，要求限期修復「已知被利用於攻擊的漏洞」的 BOD 22-01。二是在資金上向漏洞管理政策上傾斜。CISA 通過《綜合撥款法案》《救援法案》等資助威脅狩獵計劃、網絡哨兵計劃、終端檢測和響應（EDR）計劃等漏洞發現項目，提升對聯邦政府系統漏洞的監測。三是積極納入漏洞人才。CISA 成立「點燃黑客社區小組委員會」，負責帶頭發展由黑客、漏洞研究人員和威脅情報專家組成的技術諮詢委員會，「招安」著名黑客進入諮詢團隊，對國家網絡安全起到直接支撐作用。

二、CISA 漏洞治理政策的主要內容

為了加強對漏洞全生命周期的管理，CISA 全面深化漏洞發現收集、驗證評估、修復消控、協同披露和跟蹤管理五個環節，發布重點政策，實現治理手段和治理效果的全面升級。

（一）發現收集：多措並舉提高漏洞發現與歸口

漏洞的發現和收集是漏洞治理的起點，實現更廣範圍收集、更多主體參與是有效漏洞治理政策的必然要求。CISA 主要通過三種方式發現和收集漏洞：即漏洞分析服務、漏洞監控以及多利益攸關方的報告。

在漏洞分析服務方面，CISA 作為美國聯邦政府的網絡運營中心，負責集成工具提供威脅狩獵（threat hunting）服務，具體包括漏洞掃描（VS）、遠程滲透測試（RPT）和網頁應用掃描（WAS），通過自動掃描互聯網可訪問系統，幫助客戶了解風險敞口，依靠專門團隊針對目標內部系統識別和評估漏洞，通過檢查已知漏洞、錯誤和弱配置來評估聯邦公共的運行狀況。

在漏洞監控方面，CISA 加大對終端檢測和響應（EDR）計劃的部署。《改善國家網絡安全行政令》要求聯邦民事行政部門部署 EDR 計劃，以支持對聯邦政府基礎架構內網絡安全事件的主動檢測、主動的網絡捕獲、遏制和補救措施以及事件響應。特別是在「太陽風」網絡攻擊事件後，美國內對於由DHS 開發的、投入數十億美元的網絡入侵系統「愛因斯坦」系統感到不滿。對此，CISA 大力推動在聯邦政府內部署 EDR 技術，以獲得對端點設備（如服務器和工作站）以及雲環境和集中數據日誌的感知能力，以響應 APT 攻擊等高級形式的網絡安全威脅。截至 2022 年 5 月，CISA 已正在 26 個民事行政機構完成部署，預計在 2022 年底，53 個機構將完成部署。

在漏洞報告方面，為幫助聯邦民事行政機構建立識別、管理和修復漏洞的流程，CISA 重點推進漏洞披露政策（VDP），VDP 源於美國管理和預算辦公室（OMB）2020 年 9 月發布的「提升漏洞發現、管理和修復」備忘錄（M-20-32）。該備忘錄明確各聯邦部門需要建立 VDP，明確 CISA 負責統籌協調各部門 VDP 的落地與聯動。對此，CISA 發布「制定和公開漏洞披露政策」的約束性操作指令（BOD 20-1），要求美國聯邦民用建立漏洞提報及回應系統，限時提供網絡安全窗口以及發布VDP 政策，涵蓋漏洞披露範圍、允許的測試型態、漏洞報告渠道、能否匿名舉報、承諾不對舉報者採取法律行動、設定回應時間等。CISA 還在2021 年 7 月建立了 VDP 平台，匯集了國土安全部、聯邦通信委員會、農業部、勞工部等 11 個部門的VDP。廣大安全研究人員可通過 VDP 直接向 CISA報告漏洞，這使得 CISA 對聯邦民事行政機構的漏洞掌控力增強，進一步提高了聯邦政府的網絡安全。

（二）驗證評估：建立和推廣以風險管理為核心的漏洞評估體系

漏洞驗證評估是確定漏洞威脅等級的重要階段，評估結果將作為後續漏洞消控、披露和跟蹤的重要依據。CISA 在漏洞驗證評估階段的治理更強調明確漏洞可能造成的安全風險，漏洞本身的技術嚴重性僅作為參考，因此 CISA 使用針對特定利益相關者的漏洞分類方法(Stakeholder-specific VulnerabilityCategorization，簡稱 SSVC)，替代了之前廣泛使用的通用漏洞評分系統 CVSS。

自2005年美國國家基礎設施諮詢委員會（NIAC）推出 CVSS 以來，國際上廣泛將其作為通用軟件漏洞嚴重性評估標準，並根據 CVSS 評分來確定漏洞處置優先級和評估系統可能面臨的安全風險。然而CVSS 僅能衡量漏洞的技術嚴重性，指標中時間因素和環境因素形同虛設，無法充分表達漏洞可能造成的實際威脅，因此漏洞管理中通常優先修復 CVSS評分高的漏洞，可能忽視了真正亟需修復的高風險漏洞。2019 年 12 月，美國國防部資助的美國卡內基梅隆大學軟件工程研究所提出了 SSVC，作為漏洞管理的概念性工具，可針對不同漏洞管理需求提供決策樹，供應商、部署者和協調者可根據自身立場開展漏洞管理決策。正如美國歷來對漏洞標準的推廣模式，CISA 逐步開展了 SSVC 在美國國內的應用，一方面，在面向聯邦機構發布的《網絡安全事件和漏洞響應手冊》中要求使用 SSVC 進行「漏洞評估」，另一方面，根據國防授權法案，CISA 發現聯網的關鍵基礎設施、受保護的設備或系統等存在漏洞時，可對相關系統的所有者或運營商發送行政傳票，傳票的依據就是 CISA 使用 SSVC 對於漏洞風險的評估結果。基於 SSVC，CISA 實現了漏洞評估標準的「量身定製」，並逐步向世界範圍推廣。

（三）修復消控：規範聯邦漏洞響應流程

漏洞修復消控是防範漏洞威脅的重要環節。CISA 在該環節中強調對整個聯邦民事行政機構漏洞修復消控行為的規範，以保障聯邦系統或架構具備「網絡彈性」，更好地應對漏洞威脅。

在美國聯邦系統發生一系列安全事件之後，拜登總統發布《改善國家網絡安全行政令》要求確保各聯邦機構對網絡事件和漏洞有共同的理解，實現應對漏洞和事件的標準化處置流程。為落實該條規定， 2021 年 11 月，CISA 緊隨「聯合網絡防禦協作」（JCDC）計劃之後發布《網絡安全事件和漏洞響應手冊》，基於以往事件中汲取的經驗教訓並結合行業最佳實踐，為聯邦民事行政機構和代表聯邦機構的承包商或其他組織應對緊急和高風險漏洞提供標準流程。流程包含四個階段：一是識別階段，通過監控威脅源和信息源，主動識別正在被積極利用的漏洞，捕獲漏洞相關的基本信息，包括漏洞的嚴重性、易受攻擊的軟件版本等。二是分析階段，首先確定環境中是否存在漏洞，以及底層軟件或硬件的重要性；如果環境中存在漏洞，則修復漏洞並確定是否已被利用；如果該漏洞被利用，即立即開始事件響應活動。三是修復階段，即修復存在於環境中或環境中的所有被積極利用的漏洞。四是報告階段，分享攻擊者如何利用漏洞的信息，深化政府防禦者漏洞響應的意識。該手冊幾乎包含了除機密數據或國家安全系統之外的所有漏洞響應活動， CISA 鼓勵私營部門、關鍵基礎設施實體以及州、地方、部落和地區政府對該套程序進行審查和實踐，以評估其響應程序並加強共享協作，將聯邦政府和私營機構進一步「綁定」。

（四）協同披露：建立全球協同披露共識

漏洞披露是漏洞治理的核心環節，有效的漏洞披露實踐能最大程度上降低零日漏洞風險，由於其涉及漏洞發現者和提交者、產品供應商和部署者、漏洞協調方等多方利益，在漏洞治理中一直是最具爭議的重點和難點所在。CISA 漏洞披露的核心思想是「協同披露」，該思想源於 2017 年卡內基梅隆大學軟件工程研究所 CERT 部門發布的《CERT 漏洞協同披露指南（CVD）》。CISA 在 M-20-32 備忘錄的要求下落實了美國國家級的 CVD 政策，即以最小化風險和爭議為原則協調漏洞涉及的多個利益相關者共同分析和解決漏洞，確保安全研究人員主動報送漏洞、產品供應商和部署方及時修復漏洞，並在緩解或修復漏洞後統一將漏洞信息向公眾發布，CISA 作為協調方能夠在最大程度上降低關鍵基礎設施面臨的安全風險，並在這個過程中保障相關方的合法利益，以對漏洞發現和報告及漏洞修復和披露產生正向激勵作用。

CVD 作為對競爭利益關係的最佳平衡，能夠建立定期漏洞修復通道，一方面漏洞發現者能夠將漏洞信息反饋到供應商的軟件開發階段，有助於減少新漏洞的產生、提高軟件發布階段的安全性。另一方面漏洞發現和修復管理前移至軟件開發生命周期中，可能在一定程度上減少軟件補丁部署機制的阻塞問題。CVD 構建的良性漏洞反饋循環能夠在最大程度上實現系統安全性保障，並且獲得利益相關方的支持，因此 CVD 得到了產業界、學術界以及民間的廣泛認可，美國政府順勢將其推廣成為國際通用披露政策，隨着歐洲網絡及信息安全局發布了歐盟CVD 政策，目前已有比利時、荷蘭、法國等近 20個國家逐步構建國家層面的 CVD 政策。

（五）漏洞跟蹤：加強對已知漏洞的修復

在漏洞披露到漏洞消失的過程中可能存在大量被利用的情況，數據表明，一般在漏洞披露後，攻擊者會在極短的時間內進行對其中約 4% 的漏洞進行惡意利用，其中 42% 的漏洞在披露當天被利用，50% 在披露 2 天內被利用，75% 在披露 28 天內被利用，因此漏洞跟蹤是消控關鍵基礎設施威脅的必要環節。CISA 在健全漏洞全生命周期治理的過程中，將已知漏洞的威脅消控作為重中之重。

根據 2017 年特朗普政府發布的第 13800 號行政令，CISA 於 2020 年頒布了 BOD 19-02，作為對BOD15-01 的替代和完善，要求美國聯邦民事行政機構須在發現「嚴重」風險漏洞的 15 天內修補該漏洞，而「高危」等級漏洞的修補期限則是 30 天。2021 年，CISA 頒布 BOD 22-01，公布已知利用漏洞 KEV 目錄，強制性要求聯邦機構在限期內修復這些可能對聯邦系統造成重大風險的漏洞，截至 5 月12 日，CISA 發布的 KEV 包含了 660 個漏洞，涉及Microsoft、Cisco、Apple、Google 等 130 個廠商，涉及 Windows、Flash Player、Chrome 等 323 款產品，最早的漏洞可追溯到 2002 年。2022 年 4 月，CISA與美國國家安全局（NSA）、聯邦調查局（FBI）、澳大利亞網絡安全中心（ACSC）、加拿大網絡安全中心（CCCS）、新西蘭國家網絡安全中心（NZNCSC）和英國國家網絡安全中心（NCSC-UK）等聯合發布了「2021 年最常被利用的漏洞」，KEV 國際影響力進一步增強，越來越多的機構採用其作為漏洞管理的重要指南。

三、CISA 漏洞治理政策特點與優勢分析

縱觀 CISA 漏洞治理政策，可見美國漏洞治理戰略的內核就是「共享」與「協調」，以「多利益攸關方原則」為基礎，CISA 在政府內部、政府與社會、美國與國際等關係中建立了廣泛的合作共享關係，並依據其職能賦予的行政權力，藉助漏洞管理先發優勢，將美國網絡空間安全保障與網絡空間參與者綁定，帶領合作夥伴共同制定國際網絡空間漏洞治理秩序。

一是 CISA 通過提升漏洞共享能力，切實提升了美國漏洞治理效能。2017 年美國社會曾廣泛詬病作為國家級漏洞管理機構的 NVD 漏洞處置效率低、收錄數量少、披露時間慢等問題，並且隨着「心臟出血」「永恆之藍」等重大漏洞事件對美國關鍵基礎設施造成惡劣影響，社會各界對美國漏洞管理政策的爭議聲越來越大。2018 年起 CISA 從政府層面對漏洞管理機構、漏洞處置運行機制等方面進行了改進，通過 CVD、VDP 等措施加強了政府之間、以及政府與企業、高校和民間的合作和協調，修復了美國漏洞治理實踐中出現的「漏洞」，完成了全生命周期漏洞治理體系的完善和升級，帶動美國國家級漏洞管理機構高效運轉，並以此為核心與社會力量廣泛合作共贏實現了對關鍵基礎設施漏洞威脅的及時發現和消控。數據顯示，相關政策推動聯邦機構的漏洞提交增長了十倍，尤其是在金融服務行業，高風險漏洞的數量激增了 185%，而這些漏洞均在漏洞公開前被及時修補。

二是 CISA 通過集成漏洞信息與服務形成「公共產品」，節約政府成本提高治理效力。CISA 提供大量的網絡安全專業服務與技術支撐，在漏洞治理方面，《網絡安全事件和漏洞響應手冊》、「已知利用漏洞」目錄、VDP 均是 CISA 在漏洞方面提供的「公共產品」，此外，CISA 在 2022 年 2 月發布一份清單，涵蓋了近百項免費安全工具和服務產品，其中涉及數十項漏洞檢測工具。這種集成的服務供不僅使得各聯邦機構不再需要開發自己的獨立系統來實現對已識別漏洞的報告和分類，在整個政府範圍內節省大量成本。CISA 估計，通過利用集成的共享服務方法，政府範圍內節省的成本將超過 1000 萬美元。同時一致的漏洞政策為報告漏洞者提供明確的遵循，使安全研究人員更容易知道如何報告漏洞，哪些系統被授權開展哪些類型的測試，在很大程度上將促進聯邦機構與公眾在漏洞管控上的合作。

三是 CISA 通過提升漏洞感知能力，切實提高了美國網絡空間安全保障能力和威脅防禦水平。在CISA 成立之前，美國便已藉由其世界級別的漏洞庫，與各國科技巨頭、學術機構、民間組織等建立了長期的合作關係，並通過《瓦森納協定》《漏洞公平裁決程序》等法律法規和配套機制嚴密管控漏洞資源。CISA 成立之後，整合了情報、國防、軍事等政府力量，加強了與聯邦民事行政機構、商業公司、學術機構、民間組織、知名安全研究人員等的漏洞共享，與英國、加拿大、澳大利亞等國網絡安全主管單位建立多邊合作，不斷完善漏洞全流程治理框架，作為一個高效運轉的「發動機」，進一步提升了美國對於網絡空間資產信息和漏洞信息的感知獲取、分析評估和預警決策。CISA 對網絡空間態勢感知的增強，意味着美國對網絡空間漏洞資源的掌控力也逐步加強。隨着美網絡空間軍事力量及其情治機構不斷謀求利用漏洞的流程化、規範化、合法化，美國在網絡空間爭奪過程中將獲得更多的主動權。

CISA 在漏洞治理上開展的系列舉措使得美國漏洞治理體系煥發了勃勃生機，在降低網絡空間脆弱性的同時，進一步加強了對漏洞資源的管控，擴大了美國利用漏洞武器化和裝備化優勢，成為美國加速網絡空間情報化、軍事化的重要驅動。

四、對我國的啟示

2022 年「網絡戰」硝煙四起，漏洞已成威脅國家關鍵信息基礎設施的新型關鍵武器，亦是各國爭相管控和利用的「現代軍火」。5 月 26 日，美國商務部工業與安全局（BIS）通過修訂《出口管制條例（EAR）》發布了醞釀 7 年的「網絡安全物項」出口限制策略，以「國家安全」和「反恐」為出發點，加強了對漏洞披露的出口限制。美國通過 CISA 主導國際網絡空間漏洞治理規則，協同國家安全部、國防部、商務部等多方合作，將漏洞治理工作上升至《國家安全戰略》高度，並在國際上通過強調共同利益來保護美國國土安全，通過多邊合作來減少漏洞資源向美及盟國以外的區域流動，進一步擴大了網絡空間主動權，拓展了網絡空間霸權。

因此，我國亟需加快網絡安全漏洞治理體系建設，將漏洞治理作為貫徹落實總體國家安全觀的重要組成部分，強化國家級漏洞管理機構賦能，加強漏洞資源管控，提升我國關鍵基礎設施漏洞威脅防禦水平。一是強化漏洞政策引導，規範和鼓勵漏洞發現行為；二是改進漏洞威脅評估方法，建立健全漏洞風險管理流程；三是推廣漏洞消控長效機制，改進關鍵基礎設施漏洞消控工作效率；四是推動漏洞資源共享合作，提升漏洞披露協同性；五是完善對已知漏洞威脅的消控管理，充分發揮漏洞預警在網絡空間安全管理中的重要作用；六是統籌兼顧漏洞的危害性和資源性，在加強威脅防範與對抗的同時，及時發現針對漏洞資源控制的霸權膨脹，提升我國網絡空間漏洞治理能力。習近平總書記提出「網絡空間命運共同體」理念，旨在推動網絡空間構建互聯互通、共享共治的國際秩序。我國漏洞管理生命周期涉及的各個成員應該加強溝通、擴大共識、深化合作，共同提高我國整體網絡安全保障水平。

（本文刊登於《中國信息安全》雜誌2022年第6期）