網絡安全漏洞（以下簡稱“漏洞”）作為信息通信網絡中在硬件、軟件,、協議的具體實現或系統安全策略上存在的缺陷,，隨著經濟社會信息化、網絡化、數字化和智能化程度的加深，對國家網絡安全的影響也日益加劇。世界各主要國家和組織為了切實提升國家網絡安全防護能力,，圍繞漏洞的研究、收集和利用,，紛紛建立國家級漏洞通報平臺或漏洞數據庫,。

　　日本于2003年開始建設“日本漏洞通報”（JVN）平臺；美國于 2005 年開始建設“國家漏洞數據庫”（NVD）,；歐盟于2008 年啟動了以“信息安全漏洞庫服務”（SVRS）為核心的“歐洲盾牌計劃”,；我國于 2009 年開始建設“中國國家信息安全漏洞庫”（CNNVD）。以建立國家層面漏洞數據庫為主要標志,，各國的網絡安全漏洞管理體系也逐漸完善和成熟,。

　　相比較其他各國,，俄羅斯于 2015 年才建立了國家層面的漏洞數據庫：即信息安全威脅數據庫。盡管俄羅斯國家漏洞數據庫發(fā)展時間較短,，但圍繞信息安全威脅數據庫建設構建起的網絡安全漏洞管理體系已經初具規(guī)模,。研究俄羅斯網絡安全漏洞管理體系建設，對于進一步提升我國信息安全漏洞管理能力和水平具有重要借鑒意義,。

　　一,、俄羅斯網絡安全漏洞管理體系的法律基礎

　　俄羅斯目前在網絡安全漏洞管理領域已經建立起包括總統令、政府法令,、部門法規(guī)和部門指導文件在內的一整套法規(guī)文件,，這為網絡安全漏洞管理體系的建設發(fā)展奠定了法律基礎。

　　總統令：《聯邦技術與出口監(jiān)督局問題總統令》,。該總統令賦予聯邦技術與出口監(jiān)督局“查驗國家信息系統中包含的信息安全威脅”,，“建立國家信息安全威脅數據庫，并確定相關聯邦權力機關和聯邦主體權力機關對信息安全威脅數據庫的使用程序及方法”,。

　　政府法令：《個人信息系統數據處理保護要求政府令》,。該法令主要明確了個人信息系統信息安全威脅的等級標準、判定依據和相應的信息安全技術與組織防護措施,，以及聯邦技術與出口監(jiān)督局在其中的職責,。

　　聯邦技術與出口監(jiān)督局頒布的部門法規(guī)。主要包括《非涉密國家信息系統信息保護章程》《個人信息系統數據處理安全保障組織與技術措施章程》《關鍵信息基礎設施生產與技術流程自動化管理系統信息保護章程》《信息安全威脅數據庫條例》《軟件與硬件漏洞信息列入信息安全威脅數據庫章程》等,。這些部門法規(guī)主要明確了國家信息系統、個人信息系統及關鍵信息基礎設施中漏洞的發(fā)現及相應安全防護措施等,，以及漏洞數據庫的建設,、運營及維護等。

　　聯邦技術與出口監(jiān)督局頒布的部門指導文件,。主要包括《國家信息系統信息保護措施》《信息安全威脅數據庫信息通報》《信息安全威脅評估方法》等,。這些文件主要是對聯邦技術與出口監(jiān)督局頒布的一些部門法規(guī)的補充或說明，其本身雖然不具有法律強制性,，但在網絡安全漏洞管理體系中具有方法論上的指導意義,。

　　二、俄羅斯網絡安全漏洞管理體系的組織架構

　　俄羅斯網絡安全漏洞管理體系的組織架構主要包括聯邦技術與出口監(jiān)督局,、聯邦技術控制與計量署,、國家信息技術保護科學試驗研究所、Linux 系統安全研究中心,、信息安全威脅數據庫企業(yè)協會等,。

　　聯邦技術與出口監(jiān)督局。該局是網絡安全漏洞管理體系組織架構中的領導管理機構,，負責網絡安全漏洞管理的全面工作,，如起草制定國家漏洞管理政策,、領導國家層面的漏洞研究、收集和利用工作等,。

　　聯邦技術控制與計量署,。該署在網絡安全漏洞管理體系組織架構中負責漏洞管理的標準化工作，如制定涉及漏洞管理的國家標準,。

　　國家信息技術保護科學試驗研究所,。該研究所為聯邦技術與出口監(jiān)督局的下屬機構，在網絡安全漏洞管理體系組織架構中負責具體業(yè)務管理,。它在網絡安全漏洞管理體系組織架構中的主要職責是起草國家漏洞管理政策,、評估國家漏洞威脅狀況、領導漏洞研究和收集活動,、組織關鍵信息基礎設施漏洞防護活動,、運營維護信息安全威脅數據庫、制定漏洞掃描工具技術標準,、對國內漏洞掃描工具進行鑒定和認證等,。

　　Linux 安全研究中心。該研究中心由聯邦技術與出口監(jiān)督局與俄羅斯科學院系統編程研究所于2021 年 3 月開始合作創(chuàng)建,。它是網絡安全漏洞管理體系組織架構中負責領導 Linux 漏洞研究的關鍵機構,。俄羅斯基于 Windows 系統漏洞頻發(fā)嚴重威脅國家網絡安全狀況的考慮，自 2010 年開始研究基于開源的 Linux 內核的國產操作系統,，到 2018 年,，國產操作系統 Astra Linux 系統問世并且逐步在軍方、國家機關,、能源企業(yè)等開始推廣應用,。為了確保 Astra Linux 系統的安全，聯邦技術與出口監(jiān)督局撥款 3 億盧布用于創(chuàng)建 Linux 安全研究中心,。該中心的主要任務是分析 Linux 內核源代碼,、評估 Linux安全風險、挖掘并修復基于 Linux 內核的操作系統的漏洞,、測試 Astra Linux 系統安全并開發(fā)相應安全防護措施等,。

　　信息安全威脅數據庫企業(yè)協會。該協會由俄羅斯國內七家從事漏洞研究的機構和企業(yè)組成,，其中包括俄羅斯科學院系統編程研究所,、俄羅斯基礎信息技術公司、遠景監(jiān)測公司,、梯隊公司,、信息保護平臺公司、積極技術公司以及阿盧什塔軟件公司等,。它在俄羅斯網絡安全漏洞管理體系組織架構中主要負責參與起草國家漏洞管理政策,，參與制定漏洞掃描工具技術標準,，為信息安全威脅數據庫運營維護提供技術支撐，研制并推廣漏洞掃描工具等,。

　　三,、俄羅斯網絡安全漏洞管理體系的信息平臺

　　俄羅斯網絡安全漏洞管理體系的信息平臺是指由聯邦技術與出口監(jiān)督局主管、國家信息技術保護科學試驗研究所負責運營維護的信息安全威脅數據庫網站（bdu.fstec.ru）,。該網站自 2015 年 3 月運營以來,，在俄羅斯關鍵信息基礎設施漏洞安全防護領域發(fā)揮了重要作用。

　　信息平臺的主要數據庫,。（1）漏洞數據庫,。漏洞數據庫作為該信息平臺的核心數據庫，目前已經收錄漏洞信息 35248 條（截至 2021 年 10 月 13 日）,。相比較其他官方漏洞數據庫,，它具有以下幾個特點：首先是漏洞信息描述更全面。在其他官方漏洞數據庫描述漏洞名稱,、編碼,、軟件名稱、漏洞類型,、危害等級,、威脅類型、發(fā)布時間,、來源,、補丁措施等信息之外，俄羅斯漏洞數據庫還描述了漏洞威脅CVSS 評分,、漏洞涉及的軟件的版本以及該軟件涉及的操作系統和硬件平臺,、漏洞利用方式等信息。其次是是漏洞查詢方式更多樣,。相比較其他官方漏洞數據庫在提供漏洞查詢時,，一般僅按照漏洞名稱,、漏洞編碼,、漏洞類型、發(fā)布時間,、軟件廠商幾種方式查詢,，俄羅斯漏洞數據庫還提供了諸如按照操作系統、漏洞狀況,、漏洞威脅等級,、漏洞利用方式、軟件版本或硬件平臺等方式進行查詢,，這就使得使用者能更加方便快捷地查詢到需要的信息,。最后是漏洞信息提取更多樣,。相比較其他官方漏洞數據庫為使用者提供漏洞信息時一般采取網頁信息和 XML數據文件兩種方式外，俄羅斯漏洞數據庫還提供了XLSX 文件,，這就更加方便了使用者提取漏洞信息,。（2）信息安全威脅數據庫。該數據庫主要收集,、提供非軟件及硬件漏洞的網絡安全威脅,，在描述威脅時主要提供威脅編碼、威脅名稱,、威脅簡介,、威脅來源、威脅作用的目標以及威脅實現的后果等方面的信息,。目前,，該數據庫已收錄信息安全威脅222 條（截至 2021 年 10 月 13 日）。（3）漏洞術語庫,。為了更好地規(guī)范漏洞管理工作,，形成對漏洞管理的統一認知，該信息平臺還建設了漏洞術語庫,。該術語庫對漏洞及相關概念如“零日”漏洞,、未公開漏洞、軟件漏洞,、漏洞威脅等級等術語,，依據國際技術標準、國家技術標準和相關國內法規(guī)等規(guī)范性文件進行了定義,。目前,，該術語庫已收錄術語 66條（截至 2021 年 10 月 13 日）。

　　信息平臺的主要功能,。（1）漏洞信息收集,。該信息平臺收集的漏洞信息主要有兩類來源渠道：一類是來自漏洞管理體系內部的漏洞信息，主要包括來自國家信息技術保護科學試驗研究所,、Linux安全研究中心,、信息安全威脅數據庫企業(yè)協會等機構或企業(yè)。另一類是來自漏洞管理體系外部的漏洞信息,，主要是來自軟件生產商以及其他大量俄羅斯漏洞研究人員,、企業(yè)。為了吸引俄羅斯漏洞研究人員和企業(yè)參與漏洞信息研究,，共同提高俄羅斯網絡安全防御能力,，聯邦技術與出口監(jiān)督局在該信息平臺設置了“漏洞信息提交通報平臺”和“漏洞研究排行榜”。為了彰顯“漏洞研究排行榜”的公平、公正,，進一步激發(fā)漏洞研究人員,、企業(yè)的開展漏洞研究的積極性，聯邦技術與出口監(jiān)督局還制定了《向威脅數據庫提供漏洞信息研究者排名規(guī)定》,。（2）漏洞信息統計,。該信息平臺的漏洞信息統計主要采用兩種類型：一種是常見的通過對漏洞信息進行數字編碼來統計。其漏洞信息數字編碼格式為“BDU-XXXX-XXXXX”,，其中 BDU為漏洞數據庫簡寫,，第一組“XXXX”是漏洞信息收錄到漏洞數據庫的公歷年份，第二組“XXXXX”是漏洞信息在該公歷年份收錄到漏洞數據庫中的序號,。另一種是按照不同規(guī)則通過統計圖表對漏洞信息進行統計 , 如按照軟件類別的漏洞分布圖,、按照威脅等級的漏洞分布圖等。（3）漏洞威脅評估,。該信息平臺目前提供了“通用漏洞評分系統”（CVSS）的 V2,、V3 及 V3.1 三個版本，平臺用戶可以根據自己的需求自主選擇不同版本,，對已發(fā)現的漏洞進行自助式的評估,，從而更快確定漏洞的威脅程度以及所需應對措施的緊急程度和重要程度。（4）漏洞信息通報,。該信息平臺的漏洞信息通報目前主要采取三種方式：即通過網站發(fā)布新聞信息的形式,、通過推特（Twitter）發(fā)布推文的形式以及基于 RSS 和 Atom標準的訂閱發(fā)布系統。相比較前兩種傳統漏洞信息通報形式,，基于 RSS 和 Atom 標準的訂閱發(fā)布系統對于信息平臺和平臺用戶來說,，漏洞信息服務更加精準、漏洞信息更新更加及時,、漏洞信息利用更加高效,。

　　信息平臺的漏洞管理工作流程。信息平臺的漏洞管理工作流程主要包括三個階段：（1）漏洞獲取階段,。按照規(guī)定,，信息平臺獲取漏洞信息的方式主要是采取專用電子郵箱加優(yōu)良保密協議（PrettyGood Privacy，PGP）加密的方式,。平臺各類用戶所提交的漏洞信息應采用標準格式,，主要包含漏洞名稱及描述、漏洞發(fā)現時間,、漏洞適用的操作系統或硬件平臺類型的名稱,、根據 CVSS.V.3 評估的漏洞威脅等級及評分,、漏洞驗證資料（POC 代碼或視頻等）,，提交人員或機構聯系方式等信息。（2）漏洞處置階段。信息平臺獲取來自軟件生產商或漏洞研究機構,、個人提交的漏洞信息后,，對漏洞信息的處置一般分為四個步驟：第一步是驗證評估漏洞。信息平臺收到漏洞信息后應在規(guī)定時間內完成對漏洞的驗證,、威脅等級評估,，并將其與信息平臺的漏洞數據庫進行對比（若屬于漏洞數據庫已收錄漏洞信息，則將數據庫中的漏洞描述信息反饋給漏洞信息提供者）,。第二步是對漏洞進行臨時編碼,。若屬于漏洞數據庫未收錄漏洞，信息平臺將該漏洞信息以“BDU-Z-XXXX-XXXXX”格式編碼,，其中“Z”代表此編碼為臨時編碼,，然后將臨時編碼及相應漏洞信息反饋給漏洞信息提供者。第三步是開發(fā)漏洞修復措施,。漏洞信息提供者（一般為軟件生產商）收到漏洞臨時編碼信息后,，應根據漏洞威脅等級不同在相應規(guī)定時間內開發(fā)漏洞修復措施。若漏洞信息提供者無法開發(fā)漏洞修復措施,，則信息平臺運營主體國家信息技術保護科學試驗研究所將采取與漏洞信息提供者合作或獨立的方式完成漏洞修復措施開發(fā),。第四步是正式編碼。在完成漏洞修復措施開發(fā)后,，信息平臺對漏洞信息以“BDU-XXXX-XXXXX”格式進行正式編碼,，并將其錄入漏洞數據庫，同時將漏洞正式編碼信息反饋給漏洞信息提供者,。（3）漏洞發(fā)布階段,。按照規(guī)定，漏洞發(fā)布采取在信息安全威脅數據庫中公布有正式編碼的漏洞描述信息的方式實現,，公布時限根據漏洞威脅等級不同而確定,。

　　四、俄羅斯網絡安全漏洞管理體系的國家標準

　　目前,，俄羅斯已經制訂并頒布的關于漏洞管理的國家標準主要有兩份文件,，《信息保護 信息系統漏洞 漏洞描述規(guī)范》（ ГОСТ Р 56545-2015）和《信息保護 信息系統漏洞 信息系統漏洞分類》（ ГОСТ Р56546-2015）。

　　《漏洞描述規(guī)范》,。該國家標準主要提供了漏洞描述的要素及內容的一般要求,，適用于對已知漏洞、“零日”漏洞等進行描述,，目的是促進信息系統漏洞分析工作中對漏洞進行準確識別和深入分析,。從漏洞描述的要素來看，該標準將漏洞描述信息分為四個層次的信息：為了精準識別漏洞,，其描述信息應當包含漏洞標識符,、漏洞名稱,、漏洞類別和軟件名稱及其版本等信息；為了深入分析信息系統漏洞,，其描述信息應當包含缺陷類型的標識符,、缺陷的類型、缺陷產生的地方,、發(fā)現漏洞的方法,、消除漏洞的可能措施等信息；為了充實漏洞的細節(jié)信息,，其描述信息應當包含操作系統名稱及硬件平臺類型,、軟件編程語言、漏洞威脅等級,、其他漏洞數據庫漏洞描述標識,、漏洞發(fā)現時間、漏洞發(fā)現者等信息,；為了進一步完善信息系統漏洞描述信息,，還應當包含軟件配置描述、漏洞利用所需權限描述,、漏洞利用可能導致的威脅描述,、漏洞消除措施公布的時間等信息。在明確了漏洞描述信息要素的基礎上,，該標準又進一步規(guī)定了描述每個要素的規(guī)范表述,，并以舉例的形式作了詳細說明。

　　《信息系統漏洞分類》,。該國家標準主要提供了漏洞分類的指標和漏洞的具體分類方式及類別等內容,，適用于在網絡安全工作中的漏洞分類及危害評估。為了對漏洞進行科學合理的分類,，該標準主要考慮了漏洞的三個方面標準,，即漏洞來源的領域、信息系統缺陷的類型和信息系統漏洞產生的地方等,。除此之外,，該標準還參考了漏洞在公開漏洞數據庫中的搜索特征，如操作系統名稱和硬件平臺類型,、軟件名稱及其版本,、漏洞威脅等級、編程語言類型和用于軟件運行的端口等,。按照來源領域劃分,，漏洞可以分為 5 種，即代碼漏洞,、設計漏洞,、結構漏洞,、組織漏洞和復合漏洞等。按照信息系統缺陷類型劃分,，漏洞可以劃分為 20 種，即軟件參數配置不當缺陷,、數據錄入檢查不完全缺陷,、目錄讀取路徑缺陷、操作系統指令執(zhí)行能力缺陷,、執(zhí)行腳本缺陷,、編程語言執(zhí)行缺陷、任意代碼注入缺陷,、資源管理缺陷,、密碼重置缺陷等。按照信息系統漏洞產生的地方劃分,，漏洞可以劃分為 7 種,，即通用軟件漏洞、應用軟件漏洞,、專用軟件漏洞,、技術設備漏洞、便攜式技術設備漏洞,、網絡（通信及電信）設備漏洞,、信息保護設備漏洞等。

　　五,、俄羅斯網絡安全漏洞管理體系的特點

　　管理貫穿漏洞生命周期,。圍繞漏洞生命周期進行全流程管理是實施漏洞管理的關建。國家信息技術保護科學試驗研究所作為俄羅斯漏洞管理的業(yè)務主管部門,，基于信息安全威脅數據庫網站這一信息平臺,，將督促核查貫穿于漏洞的全生命周期。（1）在漏洞的發(fā)現階段,，國家信息技術保護科學試驗研究所主要通過兩種方式實施管理：一種是通過及時更新公布漏洞能力排行榜的方式引導各類漏洞研究機構,、企業(yè)或個人開展漏洞研究；另一種是通過引導信息平臺用戶安裝部署各種版本的漏洞掃描器,，直接接收漏洞報告,。（2）在漏洞接收階段，國家信息技術保護科學試驗研究所主要通過信息平臺接收來自不同漏洞提交者及漏洞掃描器提交的漏洞信息,。（3）在漏洞驗證階段,，國家信息技術保護科學試驗研究所主要對漏洞提交信息中相應的驗證手段及方法進行核查和再驗證，同時根據漏洞提交者身份的不同和漏洞屬于已發(fā)現還是新發(fā)現漏洞,，在相應規(guī)定時間內給予不同反饋,。（4）在漏洞處置階段,，國家信息技術保護科學試驗研究所首先是督促漏洞軟件生產商開發(fā)漏洞消除措施，當條件不具備時再以合作或獨立的方式開發(fā)相應的漏洞處置措施,，然后將漏洞消除措施反饋給漏洞軟件生產商,。（5）在漏洞發(fā)布階段，當漏洞信息被收錄到漏洞數據庫后,，國家信息技術保護科學試驗研究所根據漏洞軟件生產商反饋的漏洞消除措施發(fā)布實施的情況,，正式將漏洞信息在信息平臺公布，以進一步促進漏洞的修復,。

　　重視漏洞挖掘能力建設,。在俄羅斯漏洞管理體系的發(fā)展進程中，漏洞挖掘能力建設是其重中之重,，它直接決定漏洞管理體系能力,、水平的高低。俄羅斯漏洞管理體系重視漏洞挖掘能力主要體現在以下三個方面：（1）大力發(fā)展專業(yè)漏洞研究機構,。作為漏洞管理的業(yè)務部門,，國家信息技術保護科學試驗研究所不僅直接開展漏洞研究，同時還以投資合作建設研究機構,、政策主導發(fā)展漏洞研究企業(yè)協會,、發(fā)布排行榜引導相關企業(yè)競相開展漏洞研究等方式不斷擴大專業(yè)漏洞研究機構的數量。（2）主導推動漏洞掃描工具的研制推廣,。俄羅斯將漏洞掃描工具視為快速提升漏洞挖掘能力的重要手段,，始終高度關注。按照《俄聯邦技術與出口監(jiān)督局條例》的規(guī)定,，聯邦技術與出口監(jiān)督局擁有對漏洞掃描工具的研制,、推廣的審查與認證權力。（3）建設秘密漏洞數據庫,。按照《信息安全威脅數據庫條例》的規(guī)定,，信息安全威脅數據庫的建設分公開漏洞數據庫和秘密漏洞數據庫兩個部分。在秘密漏洞數據庫的建設中,，漏洞信息來源主要有兩類：一類是來自信息平臺獲取的漏洞信息,。信息平臺在獲取漏洞信息后，必須同步向聯邦技術與出口監(jiān)督局的專用電子郵箱發(fā)送漏洞信息,，聯邦技術與出口監(jiān)督局根據相關法律規(guī)定可以在相應時間內決定是否公開該漏洞信息以及是否將其收錄到秘密數據庫,；另一類是來自國家信息技術保護科學試驗研究所及其直接管理的漏洞研究機構提供的漏洞信息。通過建設秘密漏洞數據庫,，俄羅斯將其漏洞挖掘能力實現了內外隔離,，這對促進俄羅斯漏洞挖掘及利用能力具有重要意義。

　　軍方參與影響程度較高,。漏洞管理體系建設作為俄羅斯國家漏洞安全防護能力發(fā)展的關鍵,，俄羅斯軍方對其有較高的參與度和影響力,。這主要體現在以下兩個方面：（1）聯邦技術與出口監(jiān)督局作為聯邦機構，本身就是俄國防部的下屬部門,，它由俄聯邦總統授權國防部實施直接管理,。（2）俄國防部直接參與了漏洞管理體系國家標準的建設。在審核提交漏洞管理國家標準的工作中,，俄聯邦國防部直屬的第3,、6、27 中央研究所作為俄羅斯信息保護標準化技術委員會的成員直接參與了該項工作,。此外,，作為已頒布漏洞管理國家標準的起草者的“信息安全中心”,，雖然現在屬于商業(yè)企業(yè),，但其前身實際上是國防部某直屬研究所的內設研究部門，直到現在,，該中心仍與國防部有著密切的合作關系,。通過這些方式和途徑，俄軍方深度介入了俄羅斯網絡安全漏洞管理體系,。