邮发代号 2-786
征订热线:010-82341063
国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞进行奖励,旨在鼓励和引导这些漏洞研究和发现者积极有序向国家提交高价值漏洞信息,进一步促进我国网络安全漏洞预警及风险消控工作的开展与落实。CNNVD 是中国信息安全测评中心切实履行漏洞分析和风险评估的职能之一,为我国信息安全保障提供基础服务。今年,CNNVD 对收集的通用型漏洞,经过规定的程序筛选和评审后,对送报符合条件的高危及以上漏洞的单位和个人实施奖励,鼓励他们在我国网络安全漏洞预警及风险消控工作中发挥的积极作用。为此,本刊采访了获奖个人和获奖单位代表。
漏洞事件一般指的是漏洞被黑客非法利用,造成了信息系统、网络基础设施等发生信息泄露、系统瘫痪、资金损失等恶劣影响的事件。从行业观察和产业发展的角度看,漏洞事件是不可避免的,各种软件或系统都可能存在安全漏洞。随着数字化和信息化进程的加速,企业对信息安全的需求越来越高,漏洞事件的发生促使企业和用户认识到信息安全的重要性,提高对信息安全类产品和服务的需求,客观推动整个行业的发展。
漏洞事件的发生也和开发环境与监管体制有一定的关系。首先,漏洞事件反映了企业和开发者在安全意识和技术水平方面的不足,企业和开发者需要更加注重安全开发意识的提升,及时发现和修复漏洞,从源头减少漏洞危害。其次,漏洞事件也需要政府和监管机构的关注和介入。政府和监管机构需要加强对企业和开发者的监管和指导,及时介入漏洞事件的处置和调查,为企业和用户维护合法权益。
网络安全已经成为国家安全的重要组成部分。但是,任何信息系统都存在被黑客攻击的风险。漏洞通常都是黑客进行网络攻击的入口和工具,一旦漏洞被恶意利用,会给企业和个人带来巨大的损失,所以,对漏洞进行事前预防和事后的处置非常重要。及时发现并修复漏洞,可以有效地提高信息系统的安全性和稳定性,避免安全事故的发生。
安恒信息作为综合性安全厂商,非常重视漏洞管理工作。首先,企业内部建立了一个漏洞平台库,收集安全研究员报送的各种 0day、1day和 nday 漏洞。对行业影响大、危害大的 1day 漏洞或者在野漏洞利用事件,公司会第一时间进行漏洞分析和应急响应,并将分析之后形成的报告和处理方法,第一时间发给客户,保障客户信息系统的安全。对研究员挖掘到的 0day 漏洞,公司会整合成报告,通过国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)和厂商第一时间进行漏洞报送,助力政府、企业、用户保障信息安全。在漏洞处置方面,安恒也有一些经验分享。一是确定漏洞修复的优先级时,应根据漏洞的危害程度、影响范围、可利用性等因素进行权衡,并考虑系统的可用性和对业务的影响。二是漏洞修复需要在尽可能短的时间内完成,同时要确保修复的有效性和稳定性。三是漏洞管理需要有明确的责任分工和流程,确保漏洞的及时发现、处理和跟踪。四是漏洞管理需要和其他安全措施相结合,形成一个完整的漏洞安全体系。
国家信息安全漏洞库漏洞奖励计划不仅给予了漏洞报送者物质激励,也是对报送者以及所在单位的漏洞挖掘能力的认可。从漏洞提交的角度看,绝大多数的漏洞报送者可能都是安全白帽子。他们的漏洞报送行为主要是基于责任感和使命感,通过自己提前挖掘漏洞后提交厂商并修复,避免了安全事件,加固了信息系统的安全性。无论是漏洞奖励计划还是厂商对漏洞提交者的书面感谢,都能给予漏洞提交者有效的正向反馈。这种良性循环有利于国内的信息系统安全。
除了国家的激励,我们也希望在漏洞披露和漏洞修复信息公开上各厂商能够更加透明。
对于大众来说,密切关注漏洞事件新闻有利于保自己个人信息安全。例如,在发生某些大规模数据库信息泄露事件时,用户可以检查自己是否注册过对应网站的账号,及时修改密码和个人信息,或者关闭、注销账户等。这些都是有效的保护方式。
2009 年 10 月,我国建立国家信息安全漏洞库(CNNVD)平台,负责建设运维国家信息安全漏洞库工作,为我国信息安全保障提供了强有力的基础服务,也为我国信息安全维护发挥了基石作用。随后,国内 BAT 互联网厂商兴起,相继成立安全应急响应中心(SRC)平台。2014 年 2 月 27 日,习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:“没有网络安全就没有国家安全”。网络安全和信息化已成为我国国家安全和发展的重要工作之一。随着信息化迅速发展,我国对安全漏洞的重视程度不断增强。目前,我国各大厂商建立的 SRC 漏洞平台已近 100 家,有效地提升了产品和业务的安全性。
从事网络安全工作七年以来,我已为近百家企业提供过安全服务。漏洞研究已成为我的工作常态。在此过程中,我更加深入地了解了各行业的信息系统,并为后期的工作奠定了更为坚实的基础。我获得国内多家 SRC 授予的“安全研究员”称号,并取得国家级安全漏洞库研究成果。我还荣获国家信息安全漏洞库“二级贡献”奖称号;累计获得国家信息安全漏洞共享平台(CNVD)通用型漏洞证书数百项;累计获得 CNNVD 通用型高危漏洞证书数十项;累计获得网络安全威胁(NVDB)、国家工业信息安全漏洞库(CICSVD)证书多份;国际通用漏洞披露(CVE)证书多项。
国家信息安全漏洞库漏洞奖励是激励白帽子踊跃投身工作的方式之一。该奖励计划能将创造价值具体化,有利于提高绩效,同时也能激发工作者的内在潜能,促使相应工作得到更好的开展。除了奖励计划以外,我更加希望社会各界能加强对 CNNVD 平台的宣传,引导广大青年认识并热爱网络安全工作。我希望更多网络安全从业者积极主动参与,聚沙成塔,共同为我国网络和信息安全保障工作做出更突出的贡献。
当今时代,互联网渗透到各行各业,软件及系统层出不穷。其中,数据的保护工作需要我们齐心协力。我希望广大网络安全爱好者通过挖掘漏洞提升自身技能,投身保卫国家网络空间安全的事业。
(本文刊登于《中国信息安全》杂志2023年第5期)
原文始发于微信公众号(CNNVD安全动态):CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(一)
评论