在我國，企業數據泄露、網站被黑、賬號被控制等事件時常被曝出，此類事件多數情況是由于被黑客掌握了該企業系統或者網站漏洞的結果。漏洞，對企業而言是噩夢，對黑客而言則是聚寶盆。當漏洞被黑客發現并被利用時，可能對企業產生極大的危害，也可能引發嚴重的網絡安全事件。于是，旨在幫助企業查找和修補漏洞的漏洞平臺便出現了。然而，未經管理的漏洞平臺，也會給企業和國家帶來巨大危害。近日，國內一份關于漏洞信息披露和處置的自律公約的出現，或可使漏洞的處置更加高效。

我國漏洞發現主要依賴“白帽子”

與國外情況不同，我國漏洞信息的發現主要依賴“白帽子”，披露漏洞主要靠漏洞報告平臺。“白帽子”指的是正面黑客，他們善于發現計算機系統漏洞，但不會惡意利用漏洞謀取私利，而是將它們公布出來，以便相關人員盡快修補。

國內的漏洞報告平臺有官方的，也有民間的，他們之間共享漏洞信息，互通有無，主要從維護整個信息安全的大局著眼。民間有三大漏洞發布平臺：烏云、補天和漏洞盒子。

烏云漏洞平臺負責人孟卓告訴《中國電子報》記者，在漏洞報告平臺之前，國內幾乎沒有正規的漏洞報告方式，全依賴“白帽子”個人與企業的溝通技巧，或者說發現者本人與企業相熟。有不少血淋淋的例子，2003年的沖擊波病毒，發現者1年前就發現并提交給微軟，但微軟在病毒波及全球后才發布補丁。現在，微軟很重視安全，產品漏洞都會在更新補丁中披露，但國內很多企業還處于2002年微軟的階段甚至更早。

記者整理資料發現，從去年到今年，漏洞安全事件被公眾知曉的越來越多。例如，攜程信用卡信息泄露、小米論壇用戶資料流出、12306網站用戶資料被撞庫等等。每次事件發生時，越來越多的普通民眾第一時間希望了解事件的始末，那些發生安全事件的企業處理漏洞的速度也有所加快。這些漏洞的披露，基本來自這三大民間漏洞平臺，可以說，他們在提高民眾和企業的安全意識上功不可沒。

根據國家信息安全漏洞共享平臺(CNVD)收錄的情況，近3年來新增通用軟硬件漏洞的數量年均增長20%左右，漏洞數量呈現快速增長趨勢。截至目前，烏云平臺上提交了12萬條漏洞，補天共收到漏洞5萬余處，漏洞盒子共發現了3萬多條漏洞。

漏洞平臺的另一個功勞，是“可以很好地促進漏洞生態圈發展與健壯”，知道創宇公司副總裁余弦告訴記者。因為漏洞的價值可大可小，有的還能得到高價。余弦舉例，瀏覽器跨域0DAY是可以直接控制目標機器或相關網站賬號權限的漏洞，買家出價幾十萬元從發現者手中購買都有可能。

因為價高，也可能產生黑市，而漏洞平臺則可以給白帽子和廠商建立溝通、交易的渠道。孟卓表示，白帽子可以通過平臺發布漏洞，獲得獎勵，廠商可以通過平臺發現自己的問題，這有利于構建健康良性的安全漏洞生態環境，使安全行業得到更好的發展。

漏洞也是國家戰略資源，不能隨意公開

因為信息安全的重要性，漏洞也是國家戰略資源之一，不能隨意公開。

余弦向《中國電子報》記者解釋，攻擊也好，防御也罷，安全人員或黑客的一切行為都是圍繞漏洞進行。現在很多設備、資產屬于國家，可能會因為一個漏洞導致問題出現，從而間接或直接危害到國家安全，所以國家往往會把漏洞作為戰略資源儲備。

補天漏洞響應平臺負責人林偉告訴記者，漏洞中被公開的漏洞危害最大。因為大部分企業無法及時對漏洞進行徹底有效的修復，而公開的細節卻很容易被黑客關注和利用。惡意的攻擊者利用這些漏洞可以輕易入侵企業的網絡獲取機密信息，這些信息或被黑客收藏和使用，或被用于黑色產業鏈的各個環節，情節嚴重的甚至可以搞垮目標公司。“國外的安全機構往往會公布漏洞細節，這就會被黑客利用并快速運用于黑產。”林偉說。

由于關系到網絡安全和國家安全，民間漏洞平臺披露漏洞的方式和細節就顯得非常重要。“漏洞處理是一個有意義且需要摸索的過程，如何做到在合法、合規又不會造成負面效應的大前提下將漏洞很好地利用起來，是個難題。”運營漏洞盒子的上海斗象科技公司COO謝忱對《中國電子報》記者說。

雖然民間漏洞平臺發揮了不少作用，但是在漏洞披露方面，也發生過披露之前未及時通知涉事單位、披露信息過于詳細易被黑客利用、漏洞信息描述不準確或漏洞披露信息夸大造成社會恐慌等先例。為此，中國互聯網協會網絡與信息安全工作委員會組織三大民間平臺、相關企業、國家計算機網絡應急技術處理協調中心(CNCERT)簽訂了關于漏洞披露的自律條約，提出了漏洞信息披露的“客觀、適時、適度”三原則。

中國互聯網協會網絡與信息安全工作委員會副秘書長何世平告訴《中國電子報》記者，在當前有關法律法規還不健全的情況下，這份《漏洞信息披露和處置自律公約》將能進一步發揮漏洞平臺、軟硬件廠商、信息系統管理方和CNCERT的協同作用，對于加強漏洞信息管理，保障國家、行業和用戶的網絡安全利益具有重要的現實意義。

政府企業民間三方協同建漏洞發現機制

記者了解到，對漏洞等網絡安全威脅信息的治理是工信部網絡安全管理工作的一項重要內容，一方面工信部建立了網絡安全信息通報和應急處置機制，并指導國家互聯網應急中心(CNCERT)建設了國家漏洞信息共享平臺(CNVD)，促進漏洞的發現和信息共享;另一方面指導督促電信企業和互聯網企業及時消除漏洞帶來的網絡安全隱患，提高網絡安全防護水平。

三大民間平臺都會與CNCERT、CNVD對接。烏云平臺發現政府類漏洞時，會通過CNCERT通知廠商;補天會與公安部、網信辦、CNCERT等監管部門建立密切聯系;漏洞盒子會將金融、政府、運營商等重點行業的漏洞轉交給CNCERT，由CNCERT統一評估和處置，其他行業漏洞則會在第一時間通知廠商。

何世平告訴記者，CNCERT陸續與烏云、補天、漏洞盒子這3家漏洞平臺建立了工作聯系，開展漏洞處置協同，包括確定信息歸口處置范圍，約定涉及政府和重要部門、電信行業的漏洞信息歸口CNCERT處置;建立信息反饋機制，由CNCERT對信息進行確認、評級和必要的修正。CNCERT近3年從各漏洞平臺上接收和處置的涉及黨政機關、重要行業單位漏洞信息超過1.3萬起。

除了漏洞平臺處置漏洞外，各大公司也有自己內部的漏洞處置機制。騰訊玄武實驗室負責人于旸告訴記者，騰訊除了加強自身產品的安全嚴密性外，還鼓勵民間安全研究者積極報告騰訊產品漏洞，對每次報告的漏洞給予相應獎勵。2014年度報告漏洞表現最佳的人，就獲得了騰訊額外頒發的12萬元現金。

微軟公司也有專門獎勵發現微軟產品漏洞人員的機制，還設置一些針對微軟產品的國際性黑客挑戰大賽，以此促進微軟產品的安全加固。

作為資深安全人士，于旸認為，目前這種政府、企業、民間結合的漏洞發現、報告、處理機制是國內外安全界在近20年的實踐中逐步摸索出來的。雖然大家在一些細節上還存在各自解讀，但主要核心問題已經基本能達成共識。