CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四)
原创 本刊编辑部 中国信息安全 2023-06-05 17:36
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
编者按
国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞进行奖励,旨在鼓励和引导这些漏洞研究和发现者积极有序向国家提交高价值漏洞信息,进一步促进我国网络安全漏洞预警及风险消控工作的开展与落实。CNNVD 是中国信息安全测评中心切实履行漏洞分析和风险评估的职能之一,为我国信息安全保障提供基础服务。今年,CNNVD 对收集的通用型漏洞,经过规定的程序筛选和评审后,对送报符合条件的高危及以上漏洞的单位和个人实施奖励,鼓励他们在我国网络安全漏洞预警及风险消控工作中发挥的积极作用。为此,本刊采访了获奖个人和获奖单位代表。
做好漏洞工作对行业及国家具有重要意义
江苏金盾检测技术股份有限公司
从行业观察和产业发展的角度看,漏洞事件是一个非常重要的话题。随着信息技术的不断发展和广泛应用,软件安全问题已经成为一个关乎整个产业链的重要问题。首先,漏洞事件可能会对企业或政府机构造成重大损失。其次,加强对云计算等新兴技术的安全管理和监管,也是未来漏洞事件防范的重要方向之一。从另一个角度看,漏洞事件的发生也推动了产业的发展。
做好漏洞工作对行业及国家具有重要意义。它可以防止数据泄露和黑客攻击,保护用户隐私和个人信息安全,降低安全风险,并提高安全意识和构建安全文化。
江苏金盾的漏洞管理工作包括定期进行漏洞扫描和漏洞挖掘,采用安全漏洞管理工具对漏洞进行优先级排序,提升员工的安全意识,及时更新系统和应用程序,在修复漏洞后进行测试等。在工作中,我们还注意通过漏洞利用获取主机权限、测试项目结束后及时清除上传的数据。
鼓励引导优秀的青年漏洞人才服务国家安全
胡晓娜
北京奇虎科技有限公司 360 漏洞云业务线总经理
漏洞事件需要得到全社会的关注,它不仅关乎个人信息安全、企业数据安全,更关乎国家社会安全和经济稳定。漏洞事件是把双刃剑,一方面,漏洞的出现意味着它可能被攻击者利用,产生负面影响,另一方面,漏洞的暴露和及时修复也有利于不断增强系统的安全性和稳定性,同时也有助于提升安全研究员的实战水平。
当前,国家和行业各方都积极健全漏洞管理体系,官方和民间的各种奖励计划纷至沓来,国家和企业的漏洞收录平台也愈发健全。可以说,漏洞管理工作当前已进入规范化阶段。对于行业而言,做好漏洞工作,不仅可以提高信息系统的安全性和稳定性,降低企业经营的风险成本,还可以帮助推动产业升级和技术进步,充分激发行业创新活力。对于国家而言,漏洞信息被及时上报和修复,缩短了漏洞的暴露时间,极大程度地降低关键信息基础设施和重要信息系统遭受攻击的风险,从而可以有效保障国家经济安全和社会稳定。
在漏洞管理工作上,360 公司建立了完善的漏洞报送路径,与监管单位建立了紧密合作关系,赋能国家安全建设。同时,我们建立了四大平台,分别是 BugCloud 开源漏洞响应平台、360 漏洞云安全众测服务平台、360 漏洞云漏洞众包响应平台,以及 360 漏洞云漏洞情报平台,为不同行业和业务方向进行漏洞监测、收集、挖掘、存储等漏洞全生命周期的管理工作。通过建立自有社区,我们集结了超过 9 万名民间安全研究员,打造了可靠的人才基础。此外,我们在行业内首次提出漏洞基建的概念。这套体系可以实现对日常漏洞运营中各个环节的全流程把控,从而建成漏洞运营管理网络。
我们认为,国家信息安全漏洞库漏洞奖励计划为广大安全研究员提供了合法渠道展示技能和知识,同时,双重激励极大激发了安全企业和个人漏洞报送的积极性,从而有助于充分集结漏洞行业一线企业、专家及广大网络安全民兵的力量,共同提升我国网络安全漏洞预警及风险消控能力水平。
当前,漏洞事件已不仅仅是小圈子内的狂欢,而是社会普遍关注的焦点,实战型技术人才的社会价值逐渐凸显。唯有在鼓励创新发展的体制机制下,才能让人才的创造活力竞相迸发、聪明才智充分涌流。我国拥有世界顶尖的漏洞发现人才,但漏洞人才缺口较大,数量严重不足。因此,鼓励引导优秀的青年漏洞人才为国家安全服务,是一个值得思考的重要议题。当然,我们很高兴地看到,当前行业体制机制不断向好向善发展。我们也呼吁更多人关注漏洞行业发展,加入守卫国家网络安全事业的队伍。
不断完善漏洞研究工作的约束与制度规范
张云海
北京神州绿盟科技有限公司天机实验室主任研究员
这些年来,业界为了解决漏洞问题做了许多努力:有软件安全开发周期(SDL)这样的安全开发方法论,有各种操作系统的缓解措施,有许多代码审查的辅助工具。这些都能帮助厂商减少漏洞的出现,降低漏洞的危害,但还是不能彻底杜绝漏洞出现。漏洞研究能够发现那些深藏的漏洞,帮助厂商知悉漏洞的存在,从而能够及时修复漏洞,避免漏洞被攻击者利用。总体而言,漏洞研究是有积极意义的。
由于漏洞的特殊性,相关的研究工作需要有约束与制度规范。绿盟科技参照《中华人民共和国网络安全法》和《网络产品安全漏洞管理规定》等相关规定,专门制订了《绿盟科技漏洞管理规定》,同时还组建了专门的漏洞管理工作组。对于发现的非自有产品漏洞,绿盟科技要求研究人员将漏洞信息首先通报给漏洞管理工作组,经工作组记录和评估后,工作组按规定向主管机构漏洞平台报送和相应产品厂商进行通报。对于自有产品的漏洞,绿盟科技组建了绿盟科技威胁响应中心(NS-SRC),负责接收相关漏洞和组织修补及漏洞通报工作。
魏 凡
北京神州绿盟科技有限公司格物实验室安全研究员
让我印象比较深刻的是一个开源组件 Netatalk 的堆溢出漏洞。这个组件已经很久没有得到维护了,却又在很多网络附属存储(NAS)中被广泛使用。因此,在 2021 年该漏洞被爆出时,包括群晖、威联通在内的大部分 NAS 厂商的设备都受到了影响。然而,不只是 NAS 厂商,很多厂商都会引用一些开源组件,而有些开源组件已经很久没有得到维护了。因此,对安全研究人员来说,可以多关注这种开源组件的漏洞,进而发现更多有影响力的漏洞。
国家信息安全漏洞库漏洞奖励计划是一项非常有意义和有价值的计划,它对于提升网络安全水平、促进安全研究发展、激励安全研究人员,都有很大的作用。这种奖励计划可以鼓励更多的人参与到信息安全的工作和研究中,从而提高整个社会的信息安全意识和水平。
(本文刊登于《中国信息安全》杂志2023年第5期)
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情