中美网络安全漏洞披露与共享政策研究

信息安全研究 ›› 2023, Vol. 9 ›› Issue (6): 602-.

• 人工智能的安全风险与隐私保护专题 • 上一篇

中美网络安全漏洞披露与共享政策研究

曹婉莹1曹旭栋1葛平原2张玉清1,2

1(中国科学院大学计算机科学与技术学院北京100049)
2(海南大学网络空间安全学院海口570228)

出版日期:2023-06-04 发布日期:2023-06-03
通讯作者: 曹婉莹博士研究生.主要研究方向为AI安全. caowy@nipc.org.cn
作者简介:曹婉莹博士研究生.主要研究方向为AI安全. caowy@nipc.org.cn 曹旭栋博士研究生.主要研究方向为网络与系统安全. caoxd@nipc.org.cn. 葛平原硕士研究生.主要研究方向为人工智能安全. fluoxetine228@163.com 张玉清博士，教授，博士生导师.主要研究方向为网络攻击与防御、安全漏洞挖掘与利用、网络与系统安全. zhangyq@nipc.org.cn

Research on the Disclosure and Sharing Policy of Cybersecurity Vulnerabilities in China and the United States

Online:2023-06-04 Published:2023-06-03

摘要/Abstract

摘要： 随着计算机软件系统规模与复杂度的不断增加，针对软件和系统的漏洞攻击愈发频繁，攻击手法也愈发多样.为了避免软件和系统的相关漏洞对国家网络空间安全的威胁，各国相继公布了漏洞管理条例.安全漏洞的正确披露与共享能够帮助安全研究人员及时获悉安全威胁，并通过共享交流节约漏洞修复成本，已成为缓解漏洞安全风险的重要组成部分.介绍了公共漏洞数据库，重点总结了中国和美国网络安全漏洞披露与共享的相关政策法规，给出中国在漏洞披露与共享方面可能存在的问题与应对方法，以便安全研究人员更好地了解和获悉安全漏洞的披露流程及共享的有关规定，保证安全研究人员在法规允许的范围内研究安全漏洞.

关键词: 网络安全漏洞, 安全漏洞披露, 安全漏洞共享, 安全漏洞管理, 漏洞安全风险

Abstract: With the increasing scale and complexity of computer software systems, vulnerability attacks on software and systems become more and more frequent, and attack methods become more and more diverse. Various countries have published vulnerability management regulations to avoid the threat of software and system vulnerabilities to national cyberspace security. Proper disclosure and sharing of security vulnerabilities can help security researchers learn security threats quickly and reduce vulnerability repair costs through sharing and communication, which has become essential to mitigating security risks. This paper introduces the public vulnerability database, focuses on the summary of China and the United States network security vulnerability disclosure and sharing related policies and regulations, and gives the possible problems and countermeasures in vulnerability disclosure and sharing in China so that security researchers can better understand and learn the security vulnerability disclosure process and sharing related regulations, which ensures that security researchers can study security vulnerabilities in the extent permitted by regulations.

Key words: cybersecurity vulnerability, security vulnerability disclosure, security vulnerability share, security vulnerability management, vulnerability security risk

曹婉莹, 曹旭栋, 葛平原, 张玉清, . 中美网络安全漏洞披露与共享政策研究[J]. 信息安全研究, 2023, 9(6): 602-.

参考文献

［1］黄道丽. 网络安全漏洞披露规则及其体系设计［J］. 暨南学报: 哲学社会科学版, 2018, 40(1): 94106［2］文伟平. 自动化漏洞挖掘与攻击检测［J］. 信息安全研究, 2022, 8(7): 630631［3］中国指挥与控制学会. 网络空间对抗演进趋势［EBOL］. (20190216) ［20221118］. https:www.sohu.coma295105148_358040［4］司群. 信息安全漏洞分类研究［J］. 铁路计算机应用, 2015, 24(2): 1316［5］徐宏昌. 计算机软件安全漏洞技术分析研究［J］. 福建电脑, 2021, 37(2): 8384［6］赵尚儒, 李学俊, 方越, 等. 安全漏洞自动利用综述［J］. 计算机研究与发展, 2019, 56(10): 20972111［7］Householder A D. The CERT guide to coordinated vulnerability disclosure. ［EBOL］. (20191212) ［20221015］. https:vuls.cert.orgconfluencedisplayCVD ［8］工业和信息化部, 国家互联网信息办公室, 公安部. 网络产品安全漏洞管理规定［EBOL］. (20210713) ［20221020］. http:www.cac.gov.cn20210713c_1627761607640342.htm［9］中国信息通信研究院, 国家工业信息安全发展研究中心, 中国软件评测中心, 等. 工业和信息化部网络安全威胁和漏洞信息共享平台［EBOL］. ［20221021］. https:www.cstis.cn［10］Cybersecurity and Infrastructure Security Agency. Cybersecurity incident & vulnerability response playbooks［EBOL］. ［20220930］. https:www.cisa.govsitesdefaultfilespublicationsFederal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf［11］The Bureau of Industry and Security. Supplementno1topart740countrygroups1［EBOL］. (20220916) ［20221021］. https:www.bis.doc.govindex.phpdocumentsregulationsdocs2255supplementno1topart740countrygroups1［12］Industry and Security Bureau. Information security controls: Cybersecurity items［EBOL］. (20220526) ［20221022］. https:www.federalregister.govdocuments20220526202211282informationsecuritycontrolscybersecurityitems［13］安全小飞侠的窝. 关于BIS的《信息安全控制：网络安全条目》的解读及影响分析［EBOL］. (20220618) ［20221123］. http:avfisher.winarchives1340［14］工业和信息化部, 网络安全管理局. 关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示［EBOL］. (20211217) ［20221024］. https:www.miit.gov.cnjgsjwajgzdtart2021art_d0cd32999d9941209ba9358a2e62638c.html［15］21世纪经济报道. 阿里云被暂停工信部网络安全威胁信息共享平台合作单位［EBOL］. (20211222) ［20221024］. https:www.stcn.comkuaixunegs202112t20211222_3996404.html［16］Asf Security Team. Communityled development “the APACHE way”［EBOL］. ［20221024］. https:apache.orgsecurity#asfsecurityteam

中美网络安全漏洞披露与共享政策研究

Research on the Disclosure and Sharing Policy of Cybersecurity Vulnerabilities in China and the United States

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 0

编辑推荐

Metrics