文│ 信息工程大學(xué)洛陽(yáng)校區(qū) 劉剛

網(wǎng)絡(luò)安全漏洞(以下簡(jiǎn)稱“漏洞”)作為信息通信網(wǎng)絡(luò)中在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，隨著經(jīng)濟(jì)社會(huì)信息化、網(wǎng)絡(luò)化、數(shù)字化和智能化程度的加深，對(duì)國(guó)家網(wǎng)絡(luò)安全的影響也日益加劇。世界各主要國(guó)家和組織為了切實(shí)提升國(guó)家網(wǎng)絡(luò)安全防護(hù)能力，圍繞漏洞的研究、收集和利用，紛紛建立國(guó)家級(jí)漏洞通報(bào)平臺(tái)或漏洞數(shù)據(jù)庫(kù)。日本于2003年開(kāi)始建設(shè)“日本漏洞通報(bào)”(JVN)平臺(tái)；美國(guó)于 2005 年開(kāi)始建設(shè)“國(guó)家漏洞數(shù)據(jù)庫(kù)”(NVD)；歐盟于2008 年啟動(dòng)了以“信息安全漏洞庫(kù)服務(wù)”(SVRS)為核心的“歐洲盾牌計(jì)劃”；我國(guó)于 2009 年開(kāi)始建設(shè)“中國(guó)國(guó)家信息安全漏洞庫(kù)”(CNNVD)。以建立國(guó)家層面漏洞數(shù)據(jù)庫(kù)為主要標(biāo)志，各國(guó)的網(wǎng)絡(luò)安全漏洞管理體系也逐漸完善和成熟。相比較其他各國(guó)，俄羅斯于 2015 年才建立了國(guó)家層面的漏洞數(shù)據(jù)庫(kù)：即信息安全威脅數(shù)據(jù)庫(kù)。盡管俄羅斯國(guó)家漏洞數(shù)據(jù)庫(kù)發(fā)展時(shí)間較短，但圍繞信息安全威脅數(shù)據(jù)庫(kù)建設(shè)構(gòu)建起的網(wǎng)絡(luò)安全漏洞管理體系已經(jīng)初具規(guī)模。研究俄羅斯網(wǎng)絡(luò)安全漏洞管理體系建設(shè)，對(duì)于進(jìn)一步提升我國(guó)信息安全漏洞管理能力和水平具有重要借鑒意義。

一、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的法律基礎(chǔ)

俄羅斯目前在網(wǎng)絡(luò)安全漏洞管理領(lǐng)域已經(jīng)建立起包括總統(tǒng)令、政府法令、部門(mén)法規(guī)和部門(mén)指導(dǎo)文件在內(nèi)的一整套法規(guī)文件，這為網(wǎng)絡(luò)安全漏洞管理體系的建設(shè)發(fā)展奠定了法律基礎(chǔ)。

總統(tǒng)令：《聯(lián)邦技術(shù)與出口監(jiān)督局問(wèn)題總統(tǒng)令》。該總統(tǒng)令賦予聯(lián)邦技術(shù)與出口監(jiān)督局“查驗(yàn)國(guó)家信息系統(tǒng)中包含的信息安全威脅”，“建立國(guó)家信息安全威脅數(shù)據(jù)庫(kù)，并確定相關(guān)聯(lián)邦權(quán)力機(jī)關(guān)和聯(lián)邦主體權(quán)力機(jī)關(guān)對(duì)信息安全威脅數(shù)據(jù)庫(kù)的使用程序及方法”。

政府法令：《個(gè)人信息系統(tǒng)數(shù)據(jù)處理保護(hù)要求政府令》。該法令主要明確了個(gè)人信息系統(tǒng)信息安全威脅的等級(jí)標(biāo)準(zhǔn)、判定依據(jù)和相應(yīng)的信息安全技術(shù)與組織防護(hù)措施，以及聯(lián)邦技術(shù)與出口監(jiān)督局在其中的職責(zé)。

聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門(mén)法規(guī)。主要包括《非涉密?chē)?guó)家信息系統(tǒng)信息保護(hù)章程》《個(gè)人信息系統(tǒng)數(shù)據(jù)處理安全保障組織與技術(shù)措施章程》《關(guān)鍵信息基礎(chǔ)設(shè)施生產(chǎn)與技術(shù)流程自動(dòng)化管理系統(tǒng)信息保護(hù)章程》《信息安全威脅數(shù)據(jù)庫(kù)條例》《軟件與硬件漏洞信息列入信息安全威脅數(shù)據(jù)庫(kù)章程》等。這些部門(mén)法規(guī)主要明確了國(guó)家信息系統(tǒng)、個(gè)人信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施中漏洞的發(fā)現(xiàn)及相應(yīng)安全防護(hù)措施等，以及漏洞數(shù)據(jù)庫(kù)的建設(shè)、運(yùn)營(yíng)及維護(hù)等。

聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門(mén)指導(dǎo)文件。主要包括《國(guó)家信息系統(tǒng)信息保護(hù)措施》《信息安全威脅數(shù)據(jù)庫(kù)信息通報(bào)》《信息安全威脅評(píng)估方法》等。這些文件主要是對(duì)聯(lián)邦技術(shù)與出口監(jiān)督局頒布的一些部門(mén)法規(guī)的補(bǔ)充或說(shuō)明，其本身雖然不具有法律強(qiáng)制性，但在網(wǎng)絡(luò)安全漏洞管理體系中具有方法論上的指導(dǎo)意義。

二、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)

俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)主要包括聯(lián)邦技術(shù)與出口監(jiān)督局、聯(lián)邦技術(shù)控制與計(jì)量署、國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所、Linux 系統(tǒng)安全研究中心、信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)等。

聯(lián)邦技術(shù)與出口監(jiān)督局。該局是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的領(lǐng)導(dǎo)管理機(jī)構(gòu)，負(fù)責(zé)網(wǎng)絡(luò)安全漏洞管理的全面工作，如起草制定國(guó)家漏洞管理政策、領(lǐng)導(dǎo)國(guó)家層面的漏洞研究、收集和利用工作等。

聯(lián)邦技術(shù)控制與計(jì)量署。該署在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)漏洞管理的標(biāo)準(zhǔn)化工作，如制定涉及漏洞管理的國(guó)家標(biāo)準(zhǔn)。

國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所。該研究所為聯(lián)邦技術(shù)與出口監(jiān)督局的下屬機(jī)構(gòu)，在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)具體業(yè)務(wù)管理。它在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的主要職責(zé)是起草國(guó)家漏洞管理政策、評(píng)估國(guó)家漏洞威脅狀況、領(lǐng)導(dǎo)漏洞研究和收集活動(dòng)、組織關(guān)鍵信息基礎(chǔ)設(shè)施漏洞防護(hù)活動(dòng)、運(yùn)營(yíng)維護(hù)信息安全威脅數(shù)據(jù)庫(kù)、制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn)、對(duì)國(guó)內(nèi)漏洞掃描工具進(jìn)行鑒定和認(rèn)證等。

Linux 安全研究中心。該研究中心由聯(lián)邦技術(shù)與出口監(jiān)督局與俄羅斯科學(xué)院系統(tǒng)編程研究所于2021 年 3 月開(kāi)始合作創(chuàng)建。它是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)領(lǐng)導(dǎo) Linux 漏洞研究的關(guān)鍵機(jī)構(gòu)。俄羅斯基于 Windows 系統(tǒng)漏洞頻發(fā)嚴(yán)重威脅國(guó)家網(wǎng)絡(luò)安全狀況的考慮，自 2010 年開(kāi)始研究基于開(kāi)源的 Linux 內(nèi)核的國(guó)產(chǎn)操作系統(tǒng)，到 2018 年，國(guó)產(chǎn)操作系統(tǒng) Astra Linux 系統(tǒng)問(wèn)世并且逐步在軍方、國(guó)家機(jī)關(guān)、能源企業(yè)等開(kāi)始推廣應(yīng)用。為了確保 Astra Linux 系統(tǒng)的安全，聯(lián)邦技術(shù)與出口監(jiān)督局撥款 3 億盧布用于創(chuàng)建 Linux 安全研究中心。該中心的主要任務(wù)是分析 Linux 內(nèi)核源代碼、評(píng)估 Linux安全風(fēng)險(xiǎn)、挖掘并修復(fù)基于 Linux 內(nèi)核的操作系統(tǒng)的漏洞、測(cè)試 Astra Linux 系統(tǒng)安全并開(kāi)發(fā)相應(yīng)安全防護(hù)措施等。

信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)。該協(xié)會(huì)由俄羅斯國(guó)內(nèi)七家從事漏洞研究的機(jī)構(gòu)和企業(yè)組成，其中包括俄羅斯科學(xué)院系統(tǒng)編程研究所、俄羅斯基礎(chǔ)信息技術(shù)公司、遠(yuǎn)景監(jiān)測(cè)公司、梯隊(duì)公司、信息保護(hù)平臺(tái)公司、積極技術(shù)公司以及阿盧什塔軟件公司等。它在俄羅斯網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中主要負(fù)責(zé)參與起草國(guó)家漏洞管理政策，參與制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn)，為信息安全威脅數(shù)據(jù)庫(kù)運(yùn)營(yíng)維護(hù)提供技術(shù)支撐，研制并推廣漏洞掃描工具等。

三、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺(tái)

俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺(tái)是指由聯(lián)邦技術(shù)與出口監(jiān)督局主管、國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所負(fù)責(zé)運(yùn)營(yíng)維護(hù)的信息安全威脅數(shù)據(jù)庫(kù)網(wǎng)站(bdu.fstec.ru)。該網(wǎng)站自 2015 年 3 月運(yùn)營(yíng)以來(lái)，在俄羅斯關(guān)鍵信息基礎(chǔ)設(shè)施漏洞安全防護(hù)領(lǐng)域發(fā)揮了重要作用。

信息平臺(tái)的主要數(shù)據(jù)庫(kù)。(1)漏洞數(shù)據(jù)庫(kù)。漏洞數(shù)據(jù)庫(kù)作為該信息平臺(tái)的核心數(shù)據(jù)庫(kù)，目前已經(jīng)收錄漏洞信息 35248 條(截至 2021 年 10 月 13 日)。相比較其他官方漏洞數(shù)據(jù)庫(kù)，它具有以下幾個(gè)特點(diǎn)：首先是漏洞信息描述更全面。在其他官方漏洞數(shù)據(jù)庫(kù)描述漏洞名稱、編碼、軟件名稱、漏洞類(lèi)型、危害等級(jí)、威脅類(lèi)型、發(fā)布時(shí)間、來(lái)源、補(bǔ)丁措施等信息之外，俄羅斯漏洞數(shù)據(jù)庫(kù)還描述了漏洞威脅CVSS 評(píng)分、漏洞涉及的軟件的版本以及該軟件涉及的操作系統(tǒng)和硬件平臺(tái)、漏洞利用方式等信息。其次是是漏洞查詢方式更多樣。相比較其他官方漏洞數(shù)據(jù)庫(kù)在提供漏洞查詢時(shí)，一般僅按照漏洞名稱、漏洞編碼、漏洞類(lèi)型、發(fā)布時(shí)間、軟件廠商幾種方式查詢，俄羅斯漏洞數(shù)據(jù)庫(kù)還提供了諸如按照操作系統(tǒng)、漏洞狀況、漏洞威脅等級(jí)、漏洞利用方式、軟件版本或硬件平臺(tái)等方式進(jìn)行查詢，這就使得使用者能更加方便快捷地查詢到需要的信息。最后是漏洞信息提取更多樣。相比較其他官方漏洞數(shù)據(jù)庫(kù)為使用者提供漏洞信息時(shí)一般采取網(wǎng)頁(yè)信息和 XML數(shù)據(jù)文件兩種方式外，俄羅斯漏洞數(shù)據(jù)庫(kù)還提供了XLSX 文件，這就更加方便了使用者提取漏洞信息。(2)信息安全威脅數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)主要收集、提供非軟件及硬件漏洞的網(wǎng)絡(luò)安全威脅，在描述威脅時(shí)主要提供威脅編碼、威脅名稱、威脅簡(jiǎn)介、威脅來(lái)源、威脅作用的目標(biāo)以及威脅實(shí)現(xiàn)的后果等方面的信息。目前，該數(shù)據(jù)庫(kù)已收錄信息安全威脅222 條(截至 2021 年 10 月 13 日)。(3)漏洞術(shù)語(yǔ)庫(kù)。為了更好地規(guī)范漏洞管理工作，形成對(duì)漏洞管理的統(tǒng)一認(rèn)知，該信息平臺(tái)還建設(shè)了漏洞術(shù)語(yǔ)庫(kù)。該術(shù)語(yǔ)庫(kù)對(duì)漏洞及相關(guān)概念如“零日”漏洞、未公開(kāi)漏洞、軟件漏洞、漏洞威脅等級(jí)等術(shù)語(yǔ)，依據(jù)國(guó)際技術(shù)標(biāo)準(zhǔn)、國(guó)家技術(shù)標(biāo)準(zhǔn)和相關(guān)國(guó)內(nèi)法規(guī)等規(guī)范性文件進(jìn)行了定義。目前，該術(shù)語(yǔ)庫(kù)已收錄術(shù)語(yǔ) 66條(截至 2021 年 10 月 13 日)。

信息平臺(tái)的主要功能。(1)漏洞信息收集。該信息平臺(tái)收集的漏洞信息主要有兩類(lèi)來(lái)源渠道：一類(lèi)是來(lái)自漏洞管理體系內(nèi)部的漏洞信息，主要包括來(lái)自國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所、Linux安全研究中心、信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)等機(jī)構(gòu)或企業(yè)。另一類(lèi)是來(lái)自漏洞管理體系外部的漏洞信息，主要是來(lái)自軟件生產(chǎn)商以及其他大量俄羅斯漏洞研究人員、企業(yè)。為了吸引俄羅斯漏洞研究人員和企業(yè)參與漏洞信息研究，共同提高俄羅斯網(wǎng)絡(luò)安全防御能力，聯(lián)邦技術(shù)與出口監(jiān)督局在該信息平臺(tái)設(shè)置了“漏洞信息提交通報(bào)平臺(tái)”和“漏洞研究排行榜”。為了彰顯“漏洞研究排行榜”的公平、公正，進(jìn)一步激發(fā)漏洞研究人員、企業(yè)的開(kāi)展漏洞研究的積極性，聯(lián)邦技術(shù)與出口監(jiān)督局還制定了《向威脅數(shù)據(jù)庫(kù)提供漏洞信息研究者排名規(guī)定》。(2)漏洞信息統(tǒng)計(jì)。該信息平臺(tái)的漏洞信息統(tǒng)計(jì)主要采用兩種類(lèi)型：一種是常見(jiàn)的通過(guò)對(duì)漏洞信息進(jìn)行數(shù)字編碼來(lái)統(tǒng)計(jì)。其漏洞信息數(shù)字編碼格式為“BDU-XXXX-XXXXX”，其中 BDU為漏洞數(shù)據(jù)庫(kù)簡(jiǎn)寫(xiě)，第一組“XXXX”是漏洞信息收錄到漏洞數(shù)據(jù)庫(kù)的公歷年份，第二組“XXXXX”是漏洞信息在該公歷年份收錄到漏洞數(shù)據(jù)庫(kù)中的序號(hào)。另一種是按照不同規(guī)則通過(guò)統(tǒng)計(jì)圖表對(duì)漏洞信息進(jìn)行統(tǒng)計(jì) , 如按照軟件類(lèi)別的漏洞分布圖、按照威脅等級(jí)的漏洞分布圖等。(3)漏洞威脅評(píng)估。該信息平臺(tái)目前提供了“通用漏洞評(píng)分系統(tǒng)”(CVSS)的 V2、V3 及 V3.1 三個(gè)版本，平臺(tái)用戶可以根據(jù)自己的需求自主選擇不同版本，對(duì)已發(fā)現(xiàn)的漏洞進(jìn)行自助式的評(píng)估，從而更快確定漏洞的威脅程度以及所需應(yīng)對(duì)措施的緊急程度和重要程度。(4)漏洞信息通報(bào)。該信息平臺(tái)的漏洞信息通報(bào)目前主要采取三種方式：即通過(guò)網(wǎng)站發(fā)布新聞信息的形式、通過(guò)推特(Twitter)發(fā)布推文的形式以及基于 RSS 和 Atom標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)。相比較前兩種傳統(tǒng)漏洞信息通報(bào)形式，基于 RSS 和 Atom 標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)對(duì)于信息平臺(tái)和平臺(tái)用戶來(lái)說(shuō)，漏洞信息服務(wù)更加精準(zhǔn)、漏洞信息更新更加及時(shí)、漏洞信息利用更加高效。

信息平臺(tái)的漏洞管理工作流程。信息平臺(tái)的漏洞管理工作流程主要包括三個(gè)階段：(1)漏洞獲取階段。按照規(guī)定，信息平臺(tái)獲取漏洞信息的方式主要是采取專用電子郵箱加優(yōu)良保密協(xié)議(PrettyGood Privacy，PGP)加密的方式。平臺(tái)各類(lèi)用戶所提交的漏洞信息應(yīng)采用標(biāo)準(zhǔn)格式，主要包含漏洞名稱及描述、漏洞發(fā)現(xiàn)時(shí)間、漏洞適用的操作系統(tǒng)或硬件平臺(tái)類(lèi)型的名稱、根據(jù) CVSS.V.3 評(píng)估的漏洞威脅等級(jí)及評(píng)分、漏洞驗(yàn)證資料(POC 代碼或視頻等)，提交人員或機(jī)構(gòu)聯(lián)系方式等信息。(2)漏洞處置階段。信息平臺(tái)獲取來(lái)自軟件生產(chǎn)商或漏洞研究機(jī)構(gòu)、個(gè)人提交的漏洞信息后，對(duì)漏洞信息的處置一般分為四個(gè)步驟：第一步是驗(yàn)證評(píng)估漏洞。信息平臺(tái)收到漏洞信息后應(yīng)在規(guī)定時(shí)間內(nèi)完成對(duì)漏洞的驗(yàn)證、威脅等級(jí)評(píng)估，并將其與信息平臺(tái)的漏洞數(shù)據(jù)庫(kù)進(jìn)行對(duì)比(若屬于漏洞數(shù)據(jù)庫(kù)已收錄漏洞信息，則將數(shù)據(jù)庫(kù)中的漏洞描述信息反饋給漏洞信息提供者)。第二步是對(duì)漏洞進(jìn)行臨時(shí)編碼。若屬于漏洞數(shù)據(jù)庫(kù)未收錄漏洞，信息平臺(tái)將該漏洞信息以“BDU-Z-XXXX-XXXXX”格式編碼，其中“Z”代表此編碼為臨時(shí)編碼，然后將臨時(shí)編碼及相應(yīng)漏洞信息反饋給漏洞信息提供者。第三步是開(kāi)發(fā)漏洞修復(fù)措施。漏洞信息提供者(一般為軟件生產(chǎn)商)收到漏洞臨時(shí)編碼信息后，應(yīng)根據(jù)漏洞威脅等級(jí)不同在相應(yīng)規(guī)定時(shí)間內(nèi)開(kāi)發(fā)漏洞修復(fù)措施。若漏洞信息提供者無(wú)法開(kāi)發(fā)漏洞修復(fù)措施，則信息平臺(tái)運(yùn)營(yíng)主體國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所將采取與漏洞信息提供者合作或獨(dú)立的方式完成漏洞修復(fù)措施開(kāi)發(fā)。第四步是正式編碼。在完成漏洞修復(fù)措施開(kāi)發(fā)后，信息平臺(tái)對(duì)漏洞信息以“BDU-XXXX-XXXXX”格式進(jìn)行正式編碼，并將其錄入漏洞數(shù)據(jù)庫(kù)，同時(shí)將漏洞正式編碼信息反饋給漏洞信息提供者。(3)漏洞發(fā)布階段。按照規(guī)定，漏洞發(fā)布采取在信息安全威脅數(shù)據(jù)庫(kù)中公布有正式編碼的漏洞描述信息的方式實(shí)現(xiàn)，公布時(shí)限根據(jù)漏洞威脅等級(jí)不同而確定。

四、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的國(guó)家標(biāo)準(zhǔn)

目前，俄羅斯已經(jīng)制訂并頒布的關(guān)于漏洞管理的國(guó)家標(biāo)準(zhǔn)主要有兩份文件，《信息保護(hù) 信息系統(tǒng)漏洞 漏洞描述規(guī)范》( ГОСТ Р 56545-2015)和《信息保護(hù) 信息系統(tǒng)漏洞 信息系統(tǒng)漏洞分類(lèi)》( ГОСТ Р56546-2015)。

《漏洞描述規(guī)范》。該國(guó)家標(biāo)準(zhǔn)主要提供了漏洞描述的要素及內(nèi)容的一般要求，適用于對(duì)已知漏洞、“零日”漏洞等進(jìn)行描述，目的是促進(jìn)信息系統(tǒng)漏洞分析工作中對(duì)漏洞進(jìn)行準(zhǔn)確識(shí)別和深入分析。從漏洞描述的要素來(lái)看，該標(biāo)準(zhǔn)將漏洞描述信息分為四個(gè)層次的信息：為了精準(zhǔn)識(shí)別漏洞，其描述信息應(yīng)當(dāng)包含漏洞標(biāo)識(shí)符、漏洞名稱、漏洞類(lèi)別和軟件名稱及其版本等信息;為了深入分析信息系統(tǒng)漏洞，其描述信息應(yīng)當(dāng)包含缺陷類(lèi)型的標(biāo)識(shí)符、缺陷的類(lèi)型、缺陷產(chǎn)生的地方、發(fā)現(xiàn)漏洞的方法、消除漏洞的可能措施等信息;為了充實(shí)漏洞的細(xì)節(jié)信息，其描述信息應(yīng)當(dāng)包含操作系統(tǒng)名稱及硬件平臺(tái)類(lèi)型、軟件編程語(yǔ)言、漏洞威脅等級(jí)、其他漏洞數(shù)據(jù)庫(kù)漏洞描述標(biāo)識(shí)、漏洞發(fā)現(xiàn)時(shí)間、漏洞發(fā)現(xiàn)者等信息;為了進(jìn)一步完善信息系統(tǒng)漏洞描述信息，還應(yīng)當(dāng)包含軟件配置描述、漏洞利用所需權(quán)限描述、漏洞利用可能導(dǎo)致的威脅描述、漏洞消除措施公布的時(shí)間等信息。在明確了漏洞描述信息要素的基礎(chǔ)上，該標(biāo)準(zhǔn)又進(jìn)一步規(guī)定了描述每個(gè)要素的規(guī)范表述，并以舉例的形式作了詳細(xì)說(shuō)明。

《信息系統(tǒng)漏洞分類(lèi)》。該國(guó)家標(biāo)準(zhǔn)主要提供了漏洞分類(lèi)的指標(biāo)和漏洞的具體分類(lèi)方式及類(lèi)別等內(nèi)容，適用于在網(wǎng)絡(luò)安全工作中的漏洞分類(lèi)及危害評(píng)估。為了對(duì)漏洞進(jìn)行科學(xué)合理的分類(lèi)，該標(biāo)準(zhǔn)主要考慮了漏洞的三個(gè)方面標(biāo)準(zhǔn)，即漏洞來(lái)源的領(lǐng)域、信息系統(tǒng)缺陷的類(lèi)型和信息系統(tǒng)漏洞產(chǎn)生的地方等。除此之外，該標(biāo)準(zhǔn)還參考了漏洞在公開(kāi)漏洞數(shù)據(jù)庫(kù)中的搜索特征，如操作系統(tǒng)名稱和硬件平臺(tái)類(lèi)型、軟件名稱及其版本、漏洞威脅等級(jí)、編程語(yǔ)言類(lèi)型和用于軟件運(yùn)行的端口等。按照來(lái)源領(lǐng)域劃分，漏洞可以分為 5 種，即代碼漏洞、設(shè)計(jì)漏洞、結(jié)構(gòu)漏洞、組織漏洞和復(fù)合漏洞等。按照信息系統(tǒng)缺陷類(lèi)型劃分，漏洞可以劃分為 20 種，即軟件參數(shù)配置不當(dāng)缺陷、數(shù)據(jù)錄入檢查不完全缺陷、目錄讀取路徑缺陷、操作系統(tǒng)指令執(zhí)行能力缺陷、執(zhí)行腳本缺陷、編程語(yǔ)言執(zhí)行缺陷、任意代碼注入缺陷、資源管理缺陷、密碼重置缺陷等。按照信息系統(tǒng)漏洞產(chǎn)生的地方劃分，漏洞可以劃分為 7 種，即通用軟件漏洞、應(yīng)用軟件漏洞、專用軟件漏洞、技術(shù)設(shè)備漏洞、便攜式技術(shù)設(shè)備漏洞、網(wǎng)絡(luò)(通信及電信)設(shè)備漏洞、信息保護(hù)設(shè)備漏洞等。

五、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的特點(diǎn)

管理貫穿漏洞生命周期。圍繞漏洞生命周期進(jìn)行全流程管理是實(shí)施漏洞管理的關(guān)建。國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所作為俄羅斯漏洞管理的業(yè)務(wù)主管部門(mén)，基于信息安全威脅數(shù)據(jù)庫(kù)網(wǎng)站這一信息平臺(tái)，將督促核查貫穿于漏洞的全生命周期。(1)在漏洞的發(fā)現(xiàn)階段，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要通過(guò)兩種方式實(shí)施管理：一種是通過(guò)及時(shí)更新公布漏洞能力排行榜的方式引導(dǎo)各類(lèi)漏洞研究機(jī)構(gòu)、企業(yè)或個(gè)人開(kāi)展漏洞研究；另一種是通過(guò)引導(dǎo)信息平臺(tái)用戶安裝部署各種版本的漏洞掃描器，直接接收漏洞報(bào)告。(2)在漏洞接收階段，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要通過(guò)信息平臺(tái)接收來(lái)自不同漏洞提交者及漏洞掃描器提交的漏洞信息。(3)在漏洞驗(yàn)證階段，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要對(duì)漏洞提交信息中相應(yīng)的驗(yàn)證手段及方法進(jìn)行核查和再驗(yàn)證，同時(shí)根據(jù)漏洞提交者身份的不同和漏洞屬于已發(fā)現(xiàn)還是新發(fā)現(xiàn)漏洞，在相應(yīng)規(guī)定時(shí)間內(nèi)給予不同反饋。(4)在漏洞處置階段，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所首先是督促漏洞軟件生產(chǎn)商開(kāi)發(fā)漏洞消除措施，當(dāng)條件不具備時(shí)再以合作或獨(dú)立的方式開(kāi)發(fā)相應(yīng)的漏洞處置措施，然后將漏洞消除措施反饋給漏洞軟件生產(chǎn)商。(5)在漏洞發(fā)布階段，當(dāng)漏洞信息被收錄到漏洞數(shù)據(jù)庫(kù)后，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所根據(jù)漏洞軟件生產(chǎn)商反饋的漏洞消除措施發(fā)布實(shí)施的情況，正式將漏洞信息在信息平臺(tái)公布，以進(jìn)一步促進(jìn)漏洞的修復(fù)。

重視漏洞挖掘能力建設(shè)。在俄羅斯漏洞管理體系的發(fā)展進(jìn)程中，漏洞挖掘能力建設(shè)是其重中之重，它直接決定漏洞管理體系能力、水平的高低。俄羅斯漏洞管理體系重視漏洞挖掘能力主要體現(xiàn)在以下三個(gè)方面：(1)大力發(fā)展專業(yè)漏洞研究機(jī)構(gòu)。作為漏洞管理的業(yè)務(wù)部門(mén)，國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所不僅直接開(kāi)展漏洞研究，同時(shí)還以投資合作建設(shè)研究機(jī)構(gòu)、政策主導(dǎo)發(fā)展漏洞研究企業(yè)協(xié)會(huì)、發(fā)布排行榜引導(dǎo)相關(guān)企業(yè)競(jìng)相開(kāi)展漏洞研究等方式不斷擴(kuò)大專業(yè)漏洞研究機(jī)構(gòu)的數(shù)量。(2)主導(dǎo)推動(dòng)漏洞掃描工具的研制推廣。俄羅斯將漏洞掃描工具視為快速提升漏洞挖掘能力的重要手段，始終高度關(guān)注。按照《俄聯(lián)邦技術(shù)與出口監(jiān)督局條例》的規(guī)定，聯(lián)邦技術(shù)與出口監(jiān)督局擁有對(duì)漏洞掃描工具的研制、推廣的審查與認(rèn)證權(quán)力。(3)建設(shè)秘密漏洞數(shù)據(jù)庫(kù)。按照《信息安全威脅數(shù)據(jù)庫(kù)條例》的規(guī)定，信息安全威脅數(shù)據(jù)庫(kù)的建設(shè)分公開(kāi)漏洞數(shù)據(jù)庫(kù)和秘密漏洞數(shù)據(jù)庫(kù)兩個(gè)部分。在秘密漏洞數(shù)據(jù)庫(kù)的建設(shè)中，漏洞信息來(lái)源主要有兩類(lèi)：一類(lèi)是來(lái)自信息平臺(tái)獲取的漏洞信息。信息平臺(tái)在獲取漏洞信息后，必須同步向聯(lián)邦技術(shù)與出口監(jiān)督局的專用電子郵箱發(fā)送漏洞信息，聯(lián)邦技術(shù)與出口監(jiān)督局根據(jù)相關(guān)法律規(guī)定可以在相應(yīng)時(shí)間內(nèi)決定是否公開(kāi)該漏洞信息以及是否將其收錄到秘密數(shù)據(jù)庫(kù)；另一類(lèi)是來(lái)自國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所及其直接管理的漏洞研究機(jī)構(gòu)提供的漏洞信息。通過(guò)建設(shè)秘密漏洞數(shù)據(jù)庫(kù)，俄羅斯將其漏洞挖掘能力實(shí)現(xiàn)了內(nèi)外隔離，這對(duì)促進(jìn)俄羅斯漏洞挖掘及利用能力具有重要意義。

軍方參與影響程度較高。漏洞管理體系建設(shè)作為俄羅斯國(guó)家漏洞安全防護(hù)能力發(fā)展的關(guān)鍵，俄羅斯軍方對(duì)其有較高的參與度和影響力。這主要體現(xiàn)在以下兩個(gè)方面：(1)聯(lián)邦技術(shù)與出口監(jiān)督局作為聯(lián)邦機(jī)構(gòu)，本身就是俄國(guó)防部的下屬部門(mén)，它由俄聯(lián)邦總統(tǒng)授權(quán)國(guó)防部實(shí)施直接管理。(2)俄國(guó)防部直接參與了漏洞管理體系國(guó)家標(biāo)準(zhǔn)的建設(shè)。在審核提交漏洞管理國(guó)家標(biāo)準(zhǔn)的工作中，俄聯(lián)邦國(guó)防部直屬的第3、6、27 中央研究所作為俄羅斯信息保護(hù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成員直接參與了該項(xiàng)工作。此外，作為已頒布漏洞管理國(guó)家標(biāo)準(zhǔn)的起草者的“信息安全中心”，雖然現(xiàn)在屬于商業(yè)企業(yè)，但其前身實(shí)際上是國(guó)防部某直屬研究所的內(nèi)設(shè)研究部門(mén)，直到現(xiàn)在，該中心仍與國(guó)防部有著密切的合作關(guān)系。通過(guò)這些方式和途徑，俄軍方深度介入了俄羅斯網(wǎng)絡(luò)安全漏洞管理體系。

(本文刊登于《中國(guó)信息安全》雜志2021年第10期)

文章來(lái)源：中國(guó)信息安全