CNCERT处长孙蔚敏:建立开放式漏洞发布机制
摘自:http://tech.qq.com/a/20091022/000295.htm
以下是国家互联网应急中心处长孙蔚敏发言实录:
主持人:各位来宾、各位朋友:大家下午好!
国家信息安全漏洞共享平台共建签约仪式正式开始,有请国家互联网应急中心周勇林处长主持签约仪式。
周勇林:尊敬的各位领导、各位嘉宾,朋友们、同志们:大家下午好!
在这金秋送爽,丹桂飘香的美好时节,我们相聚美好湖南,共同举行国家信息安全漏洞共享平台共建签约仪式,通过共建信息安全漏洞平台,共享信息安全漏洞资源。我代表国家互联网应急中心,向出席今天启动仪式,见证这个美好时刻的领导和来宾表示衷心的感谢!现在,我宣布国家信息安全漏洞共享平台共建签约仪式正式开始!
首先,请国家互联网应急中心孙蔚敏处长致辞。
孙蔚敏:大家下午好!
首先,声明一下不是致辞,上午有很多领导已经致辞了,我给大家汇报一下国家信息安全漏洞共享平台的工作机制和模式。因为时间关系,说得比较简单,我主要说五个方面的内容。
大家知道,安全漏洞工程非常巨大,安全漏洞形式不容乐观,我们每年会发布年报,大家从年报里面看到的主要数据能表明现在的安全形势确实是不容乐观。
安全防护投入这么大,安全形势这么不容乐观,两者矛盾的焦点到底在什么地方呢?我想大家都很清楚,其中有大家非常关心的一个问题就是安全漏洞。
安全漏洞出现的数量每年是有增无减,网络上有很多漏洞攻击工具,一个简单地初中生、高中生,或者是对漏洞很感兴趣的人,或者是对竞争伙伴实施攻击,都会有人利用这些工具来实施攻击。
09年非常关注的利用操作系统漏洞在我国大肆传播的“飞客”蠕虫,我们对其进行了大半年的监测,将近有一千多个设计国计民生的重要系统都受到了“飞客”蠕虫的控制,它有一个最大的特点是能够窃取机密信息。那么,“飞客”蠕虫的被控制端在我国是最多的,占58%,导致我国六个省区的互联网瘫痪,这些都是很典型的利用漏洞进行攻击的案例。
那么,国内外安全漏洞的处置情况大家也非常清楚。在一个信息发达的国家,较早地开展了信息安全工作的统计收集及发布等一系列工作,在美国有一个国家级的应急组织,对美国的漏洞进行监测;日本也建立了自己国家监测漏洞库的专门组织。在我国也有一些漏洞监测部门,他们没有一个专门的程序去申报,据我们所知就报告到了国外的互联网组织。
安全企业做了大量技术积累,很多知名安全厂商都拥有各自的上万条漏洞信息的企业极漏洞库。
10月18日,中国信息安全测评中心的信息安全“国家漏洞库”正式投入使用,我想这进一步提升了漏洞作为一种资源的地位和作用。但是,我们还是要说漏洞的处置工作需要在更广泛地层面得到加强。
首先,我认为漏洞处置工作需要整理各方力量和资源,应对复杂的信息系统漏洞,要充分发挥各自优势,共同发挥作用。复杂的漏洞问题,信息系统类型多,应该软件类型多,漏洞种类多,利用情况复杂。
(图)大家可以从图上清楚地看到,图里面有政府部门、安全厂商、软件厂商、信息系统用户和科研院所。王局长早上说了政府有一个重要的职能是规范和指导,软件厂商希望把自己的软件做得非常安全,但做出万无一失没有漏洞的软件也非常难,我们需要有非常完善地机制去修正它。
国家互联网应急中心决定整合各方面的力量和资源,共建漏洞处置信息平台。坚持两点基本原则:
第一,坚持开放性、重力兴和非营利性的基本原则。
安全厂商、软件厂商、科研机构、个人均可以参与安全漏洞的发现,上报工作,由我们来牵头负责收集、验证、复杂和发布等工作,大家共同参与漏洞库及相关机制的建设,共享漏洞信息资源。
第二,坚持以我为主,预防为主的原则。
通过建立国家信息安全漏洞共享平台,国家互联网应急中心、国家信息安全技术研究中心与国家政府部门,重要信息系统用户,基础电信经营商,主要安全厂商,软件厂商,科研机构,公共互联网用户等共同建立信息系统安全漏洞统一收集、分析验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。建立这个共享平台,让大家从各自的角度都成为受益者,受益者是参与平台共建的广大信息系统用户。
基本的工作思路也可以用一个简单地图来表示:共同建设、资源共享、相互协作。漏洞库建设只是整个共享平台的一个环节,也希望建成某一个漏洞被利用了的案例库,也希望建成被利用了的漏洞库的处理经验库。
我们的工作方法是成立一个工作组,工作组分四个部分,工作委员会、专家委员会、技术合作组、用户支持组。因为时间的关系,在协议里面都有明确规定,我就不在这里仔细阐述了。
总之,通过这样一种工作形式,希望大家都从中受益。
工作步骤分为两步:一是与主要安全厂商共建信息漏洞库;二是积极接收,处理社会各单位和个人举报的漏洞信息。与主要软件厂商建立漏洞信息,预警和修补工作机制,建立起面向政府部门、通信行业,重要信息系统和广大用户的漏洞发布机制。我们希望在这个平台做出国家标准,在国际上做出一定的影响力。
我的汇报内容就到这里,谢谢大家。