原標(biāo)題：漏洞庫成維護國家安全的重要戰(zhàn)略資源

按照教科書上的定義，漏洞是在計算機信息系統(tǒng)或網(wǎng)絡(luò)的硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。系統(tǒng)存在漏洞，用大白話說就是好比雞蛋裂了個縫招來了蒼蠅，漁網(wǎng)破了個洞撈不到魚兒，城墻缺了個角防不住敵人。因此，一旦發(fā)現(xiàn)漏洞，人們都會相應(yīng)地采取防護措施，或打上補丁，或更換升級。

而所謂的零日漏洞就是尚未被軟硬件生產(chǎn)商或協(xié)議制定者所知的安全缺陷。既然廠商不知情，有效的防護措施也就無從談起。因此利用零日漏洞來入侵計算機系統(tǒng)和網(wǎng)絡(luò)最為有效，能夠做到“一招斃命”。

在大多數(shù)情況下，安全研究人員發(fā)現(xiàn)零日漏洞時會及時通知廠商，使漏洞能得到及時修復(fù)。但當(dāng)有人想要利用一個漏洞進行網(wǎng)絡(luò)犯罪，或者有政府想借此開展情報收集工作甚至于網(wǎng)絡(luò)攻擊，自然會隱瞞這些信息，讓所有含有此缺陷的計算機系統(tǒng)和網(wǎng)絡(luò)毫不設(shè)防。面對漏洞的巨大誘惑，是公開，還是利用？讓我們看看美國政府是怎么選擇的吧。

美國政府神秘的零日漏洞政策

2013年，前白宮網(wǎng)絡(luò)安全顧問理查德·克拉克在接受媒體采訪時曾說，“如果美國政府掌握了一個可以被利用的漏洞，在通常情況下其首要職責(zé)是告訴美國用戶。應(yīng)該有一些機制來決定政府如何使用這一信息，用于進攻還是用于防守。但這樣的機制目前并未存在?！?/p>

日前，美國聯(lián)邦調(diào)查局公布了一份名為《商業(yè)和政府信息技術(shù)及工業(yè)控制產(chǎn)品或系統(tǒng)漏洞政策及規(guī)程》的文件。文件顯示，實際上早在2010年2月，美國政府就設(shè)立了成型的決策機制，以決定在政府部門發(fā)現(xiàn)某一軟件漏洞后，是要及時公布使漏洞盡快修復(fù)，還是秘而不宣留作他用。由于這份文件僅僅描述了決策流程，美國政府的零日漏洞政策依然被蒙上層層面紗。外界無法確切知道在“情報收集”、“調(diào)查事項”和“信息安全保障”三者之間，美國政府是如何做到“對整體利益最好的決策”。

2014年，安全協(xié)議OpenSSL被曝存在嚴(yán)重安全漏洞“心臟出血”，可導(dǎo)致用戶大量隱私信息，包括登錄名甚至是密碼等被黑客竊取，在全球互聯(lián)網(wǎng)掀起一陣巨浪。而彭博社隨后的報道更是重磅：美國國家安全局早在2012年就已經(jīng)掌握了“心臟流血”這一漏洞信息；而奧巴馬政府并沒有及時將這一消息公布，甚至還將這個漏洞作為自己收集、監(jiān)視用戶網(wǎng)絡(luò)數(shù)據(jù)的有力武器之一。

可想而知，奧巴馬和美國國安局當(dāng)然對此堅決否認(rèn)?？稍S多人的懷疑并沒有因此散去，畢竟即便奧巴馬確實要求國家安全局將其發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞等安全隱患公開告訴民眾，但他也明確地開了個口子：“出于某些顯而易見的需要抑或是保護國家安全的需要”，可以對一些漏洞保持沉默，并加以合理使用。猜猜誰來具體解釋“顯而易見的需要”和“保護國家安全”？美國政府。

近來，一些美國媒體報道，至少在2015年以前，美政府的零日漏洞政策明顯偏向了利用漏洞而非公開漏洞。實際情況是不是這樣，外界不得而知，但看看美國政府在其他兩個方面的做法，也許就能猜個八九不離十。

美國政府被指是漏洞市場上的大買家

近日，美國海軍相關(guān)部門在一份請求安全業(yè)界協(xié)助的文檔中表示，希望安全專家能向其出售“軟件漏洞情報、漏洞攻擊報告以及進行攻擊的二進制文件等等”。美國海軍表示，這些尚未獲得修補的漏洞，一是必須來自于有關(guān)大量用戶使用和依賴的商用軟件，二是零日漏洞或是N日漏洞，因為這些軟件漏洞剛被發(fā)現(xiàn)，相關(guān)的軟件企業(yè)尚未發(fā)布補丁或者升級，因此可被美軍網(wǎng)絡(luò)戰(zhàn)部門加以利用。美國海軍此次公開對外出資收購未修補的商業(yè)軟件漏洞，其價格體系尚不得而知。

在今年4月，美國五角大樓對外公布了新版的網(wǎng)絡(luò)安全戰(zhàn)略概要。五角大樓認(rèn)為，今天美國政府和企業(yè)受到網(wǎng)絡(luò)攻擊風(fēng)險比過去更加嚴(yán)重和復(fù)雜，因此美國軍方必須能夠為美國政府提供應(yīng)對各種沖突的選項，其中包括利用網(wǎng)絡(luò)對敵方的指揮和控制系統(tǒng)進行打擊。美國媒體據(jù)此分析指出，美海軍收購軟件漏洞的重要目的，是為對其他同樣使用這些商用軟件的國家和機構(gòu)發(fā)起網(wǎng)絡(luò)攻擊做準(zhǔn)備。

而早在2013年5月，路透社就曾發(fā)表特別報告指出，美國政府是零日漏洞黑市的最大買家。在黑市上，私營公司雇傭了專業(yè)技術(shù)人員和開發(fā)人員來發(fā)現(xiàn)漏洞，并同時開發(fā)出利用漏洞的代碼，然后兜售?！斑@些零日漏洞起價5萬美金。影響漏洞價格的因素包括漏洞所利用的商業(yè)系統(tǒng)的裝機量以及漏洞能在多長時間內(nèi)不被公開。”據(jù)路透社的總結(jié)：“美國國家安全局和國防部在獲取商業(yè)系統(tǒng)漏洞的工作上投入了巨大的成本，不斷嘗試?yán)眠@些漏洞的方式?！?/p>

美國政府欲定新規(guī)堵住漏洞外流

同樣是最近，美國商務(wù)部下屬的工業(yè)與安全局提出新的《瓦森納協(xié)定》落實規(guī)則的草案，接受公眾評議，時間截至今年7月31日?！锻呱{協(xié)定》的全稱是《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納安排》。它是世界主要的工業(yè)設(shè)備和武器制造國于1996年成立的一個旨在控制常規(guī)武器和高新技術(shù)貿(mào)易的國際性組織。目前，《瓦森納協(xié)定》有41個成員國，包括美國、日本、英國等。

《瓦森納協(xié)定》規(guī)定了兩份控制清單：一份是武器控制清單；另一份是涵蓋多數(shù)高科技成果的所謂“軍民兩用”技術(shù)清單，其中就包含特定類別的計算機軟件程序。《瓦森納協(xié)定》通過成員國間的信息通報制度，提高常規(guī)武器和雙用途物品及技術(shù)轉(zhuǎn)讓的透明度，以達到監(jiān)督和控制的目的?！锻呱{協(xié)定》聲稱不針對任何國家和國家集團，不妨礙正常的民間貿(mào)易，也不干涉通過合法方式獲得自衛(wèi)武器的權(quán)力，但無論從其成員國的組成還是該機制的現(xiàn)實運行情況看，《瓦森納協(xié)定》成員國在重要的技術(shù)出口決策上受到美國的影響，且具有明顯的集團性質(zhì)和針對發(fā)展中國家的特點。

對于美國商務(wù)部提出的《瓦森納協(xié)定》新落實規(guī)則草案，不少信息安全業(yè)界人士認(rèn)為，其中關(guān)于入侵軟件的定義過于寬泛，合法的漏洞研究和驗證將有可能受到監(jiān)管。而美商務(wù)部工業(yè)與安全局局長蘭迪·惠勒也毫不避諱，于日前公開確認(rèn)，新規(guī)則的確意在對漏洞利用、零日漏洞、入侵軟件進行開發(fā)、測試、評估、產(chǎn)品化進行限制，即美國企業(yè)或個人向境外廠商報告漏洞情況是一種出口行為，需預(yù)先申請政府許可，否則將被視為非法。

也就是說，通過推出許可申請的規(guī)定，美國政府可以將早于境外廠商掌握漏洞情況，且屆時美政府有各種理由可做出不予許可的決定。從這個意義上來說，如果新的實施規(guī)則通過，美國政府在掌握漏洞和限制網(wǎng)絡(luò)攻擊工具擴散方面就擁有了十分有利的手段。

漏洞信息已成兵家必爭之地

在信息安全領(lǐng)域，美國的實力，包括發(fā)現(xiàn)漏洞的能力，首屈一指?，F(xiàn)在，美政府一方面斥巨資在全球范圍內(nèi)購買尚未獲得修補的常用軟件漏洞；另一方面，提出新的《瓦森納協(xié)定》落實規(guī)定草案，要求美國的企業(yè)和研究人員在發(fā)現(xiàn)漏洞后先與政府共享漏洞細(xì)節(jié)，才能通知境外受影響的廠商，以此限制這些漏洞的有關(guān)信息流向境外。

通過這“一收”和“一堵”，美國有效增強了對漏洞“國家掌控”的程度，不斷地為自己的網(wǎng)絡(luò)戰(zhàn)武器庫“填充彈藥”。在最大程度地取得了對漏洞信息的掌控后，美國將會怎么做，相信讀者都應(yīng)該能做出自己的判斷了。可以說，漏洞信息已經(jīng)成為名副其實的兵家必爭之地，也成為值得中國政府高度重視的現(xiàn)實課題。

中國經(jīng)濟周刊-經(jīng)濟網(wǎng)版權(quán)作品，轉(zhuǎn)載時須注明來源，違者將被追究法律責(zé)任。