CNCERT处长孙蔚敏：建立开放式漏洞发布机制
摘自：http://tech.qq.com/a/20091022/000295.htm



以下是国家互联网应急中心处长孙蔚敏发言实录：

主持人：各位来宾、各位朋友：大家下午好！

国家信息安全漏洞共享平台共建签约仪式正式开始，有请国家互联网应急中心周勇林处长主持签约仪式。

周勇林：尊敬的各位领导、各位嘉宾，朋友们、同志们：大家下午好！

在这金秋送爽，丹桂飘香的美好时节，我们相聚美好湖南，共同举行国家信息安全漏洞共享平台共建签约仪式，通过共建信息安全漏洞平台，共享信息安全漏洞资源。我代表国家互联网应急中心，向出席今天启动仪式，见证这个美好时刻的领导和来宾表示衷心的感谢！现在，我宣布国家信息安全漏洞共享平台共建签约仪式正式开始！

首先，请国家互联网应急中心孙蔚敏处长致辞。

孙蔚敏：大家下午好！

首先，声明一下不是致辞，上午有很多领导已经致辞了，我给大家汇报一下国家信息安全漏洞共享平台的工作机制和模式。因为时间关系，说得比较简单，我主要说五个方面的内容。

大家知道，安全漏洞工程非常巨大，安全漏洞形式不容乐观，我们每年会发布年报，大家从年报里面看到的主要数据能表明现在的安全形势确实是不容乐观。

安全防护投入这么大，安全形势这么不容乐观，两者矛盾的焦点到底在什么地方呢？我想大家都很清楚，其中有大家非常关心的一个问题就是安全漏洞。

安全漏洞出现的数量每年是有增无减，网络上有很多漏洞攻击工具，一个简单地初中生、高中生，或者是对漏洞很感兴趣的人，或者是对竞争伙伴实施攻击，都会有人利用这些工具来实施攻击。

09年非常关注的利用操作系统漏洞在我国大肆传播的“飞客”蠕虫，我们对其进行了大半年的监测，将近有一千多个设计国计民生的重要系统都受到了“飞客”蠕虫的控制，它有一个最大的特点是能够窃取机密信息。那么，“飞客”蠕虫的被控制端在我国是最多的，占58%，导致我国六个省区的互联网瘫痪，这些都是很典型的利用漏洞进行攻击的案例。

那么，国内外安全漏洞的处置情况大家也非常清楚。在一个信息发达的国家，较早地开展了信息安全工作的统计收集及发布等一系列工作，在美国有一个国家级的应急组织，对美国的漏洞进行监测；日本也建立了自己国家监测漏洞库的专门组织。在我国也有一些漏洞监测部门，他们没有一个专门的程序去申报，据我们所知就报告到了国外的互联网组织。

安全企业做了大量技术积累，很多知名安全厂商都拥有各自的上万条漏洞信息的企业极漏洞库。

10月18日，中国信息安全测评中心的信息安全“国家漏洞库”正式投入使用，我想这进一步提升了漏洞作为一种资源的地位和作用。但是，我们还是要说漏洞的处置工作需要在更广泛地层面得到加强。

首先，我认为漏洞处置工作需要整理各方力量和资源，应对复杂的信息系统漏洞，要充分发挥各自优势，共同发挥作用。复杂的漏洞问题，信息系统类型多，应该软件类型多，漏洞种类多，利用情况复杂。

（图）大家可以从图上清楚地看到，图里面有政府部门、安全厂商、软件厂商、信息系统用户和科研院所。王局长早上说了政府有一个重要的职能是规范和指导，软件厂商希望把自己的软件做得非常安全，但做出万无一失没有漏洞的软件也非常难，我们需要有非常完善地机制去修正它。

国家互联网应急中心决定整合各方面的力量和资源，共建漏洞处置信息平台。坚持两点基本原则：

第一，坚持开放性、重力兴和非营利性的基本原则。

安全厂商、软件厂商、科研机构、个人均可以参与安全漏洞的发现，上报工作，由我们来牵头负责收集、验证、复杂和发布等工作，大家共同参与漏洞库及相关机制的建设，共享漏洞信息资源。

第二，坚持以我为主，预防为主的原则。

通过建立国家信息安全漏洞共享平台，国家互联网应急中心、国家信息安全技术研究中心与国家政府部门，重要信息系统用户，基础电信经营商，主要安全厂商，软件厂商，科研机构，公共互联网用户等共同建立信息系统安全漏洞统一收集、分析验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。建立这个共享平台，让大家从各自的角度都成为受益者，受益者是参与平台共建的广大信息系统用户。

基本的工作思路也可以用一个简单地图来表示：共同建设、资源共享、相互协作。漏洞库建设只是整个共享平台的一个环节，也希望建成某一个漏洞被利用了的案例库，也希望建成被利用了的漏洞库的处理经验库。

我们的工作方法是成立一个工作组，工作组分四个部分，工作委员会、专家委员会、技术合作组、用户支持组。因为时间的关系，在协议里面都有明确规定，我就不在这里仔细阐述了。

总之，通过这样一种工作形式，希望大家都从中受益。

工作步骤分为两步：一是与主要安全厂商共建信息漏洞库；二是积极接收，处理社会各单位和个人举报的漏洞信息。与主要软件厂商建立漏洞信息，预警和修补工作机制，建立起面向政府部门、通信行业，重要信息系统和广大用户的漏洞发布机制。我们希望在这个平台做出国家标准，在国际上做出一定的影响力。

我的汇报内容就到这里，谢谢大家。

绿盟科技总裁吴明辉：协作防御安全漏洞
http://www.bianews.com/viewnews-104607.html


主持人周勇林：下面有请企业界代表绿盟科技的吴明辉总裁讲话。

吴明辉：各位领导、各位专家：下午好！

听完各位领导的发言，作为厂商深有感触，作为安全厂商，我在这里发表自己的想法。

（图）这张图是05年绿盟科技研究院于洋做出的地下产业链意识图。这张图的脉络很多，整理之后的商业模式是这样的。从工具的开发者-工具滥用者-工具价值方都有参与，这种角色的互相分工是在黑客当中的一种协作。

我们可以看到现在的问题远远不是一个人或一个组织可以完成的，他们通过协作来完成攻击我们的网络，攻击我们的用户，我们作为防守方，作为我们的用户，包括研究机构或政府，其实也需要这种协作。今天，漏洞信息平台的发布就是这样一种形式。

（图）漏洞信息发布图。厂商安全通告对CVE的覆盖率发布。大家可以看出，如果仅仅参考一个安全厂商漏洞的时候，你得到的数据覆盖率只有92%，如果选择两个安全厂商进行参考的时候，你的数据覆盖率甚至可以达到99%点多。

再换一个角度看，刚才孙处提到漏洞发展趋势。目前，在全国最大的中文漏洞库13000多条，这十几年中漏洞库发展变化也有不同。最早买一个网络设备、买一个数据库就可以对漏洞进行分析了，现在却做不到了，因为有很多新的漏洞出现了。现在，不仅仅是在单独的设备上出现漏洞，有的时候是在用户的系统上出现漏洞。包括网银系统，还有在核心网络设备上发现大规模的漏洞。还包括应用开发厂商的系统上也出现漏洞，这都是漏洞挖掘的网点，在漏洞挖掘和分析的过程中，可以看到一个明显的趋势，需要用户、IT技术的提供商、政府、研究机构等一起合作来做防护工作。

有了漏洞就要做防护，还要做消除隐患控制的事情，最早的防护有防火墙软件，未来的手段在很多地方有在用了，比如去年为保护奥运会流动信息网络是中国电信建的，还包括恶意网站数据系统等等，这都是未来的一些手段，它们不是单个设备、单个组织能完成的，它们需要协作。

我记得在08年奥运会期间，当时我们和其他的厂商一起合作建设了中国电信流量清晰网络建设奥运会。但是，我们发现在奥运会期间防守压力比平时轻，原因是什么呢？后来发现奥运会组织对僵尸网络进行了封堵，黑客很难对僵尸网络发动攻击，这样就很好地防护了系统。那么，漏洞与隐患的小处不是单一产品或是组织可以解除的，需要更大范围的协作。

在4月、10月奥巴马政府做的报告中，强调了政府与私营企业之间的协作；今年5月我收到互联网应急中心发布的通报办法和前面的技术是相呼应的，有了一个很好地平台和环境做这个事情。非常可喜的是今天这个平台，包括政府所做的工作都为安全产业创造了很好的环境。

绿盟科技作为一家安全厂商，十年来一直专注于技术，包括今天还有其他的签约厂商，我们愿意在这样一个平台，这样一个环境下为安全产业贡献自己的力量。

我的汇报就到这里，谢谢大家。

主持人周勇林：谢谢吴明辉总裁的讲话。他讲话的中心思想是在目前的新时期下，网络安全漏洞的分析和处置，一定能够通过各部门的通力协作把这项工作做好。

下面，举行国家信息安全漏洞共享平台共建签约仪式，请签约仪式单位的代表上台。有请国家互联网应急中心云晓春副主任上台。有请杭州安恒、看雪安全网站、TOM、盛大网络、网易、新浪公司、安天公司、安氏通信科技、启明星辰、绿盟科技、东软、奇虎360、百度、搜狐、腾讯科技、华为公司、知道创宇、焜安信息公司的签约代表上台！

如此强大的阵容，可以看到国家信息安全漏洞共享平台充满了希望。下面，有请各位代表拿起手中的“英雄牌”钢笔签署各自面前的“协议”。各位代表的各自部门在这本“协议”上签署了名字，同时也签署了对国家信息网络安全漏洞共享平台共建的承诺。

下面，请各位到水晶球前来，启动水晶球，让我们共同启动互联网共享平台的共建！

主持人周勇林：这一刻，标志着国家信息安全漏洞共享平台已经正式启动，希望合作方精诚团结，合作共赢！国家信息安全漏洞共享平台共建签约仪式圆满成功！

主持人周勇林：各位领导、各位朋友，再次感谢各位领导、各位专家出席本次签约仪式，签约仪式到此结束，谢谢！