【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”，22日会议第一天，国家互联网应急中心(CNCERT)处长孙蔚敏在当天下午“提升软件安全，共建中国国家安全漏洞库”专题演讲时表示，国家信息安全漏洞共享平台基本工作思路是共同建设、资源共享、相互协作。

　　孙蔚敏还表示，漏洞库建设只是整个共享平台的一个环节，也希望建成某一个漏洞被利用了的案例库，也希望建成被利用了的漏洞库的处理经验库。

　　她强调了两点，一是漏洞平台的开放、中立、非营利性;二是坚持以我为主，预防为主的原则。工作展开将分两步走：一是与主要安全厂商共建信息漏洞库;二是积极接收，处理社会各单位个人举报的漏洞信息。与主要软件厂商建立漏洞信息，预警和修补工作机制，建立起面向政府部门、通信行业，重要信息系统和广大用户的漏洞发布机制。

　　以下是国家互联网应急中心处长孙蔚敏讲话内容：

　　孙蔚敏：大家下午好!

　　首先，声明一下不是致辞，上午有很多领导已经致辞了，我给大家汇报一下国家信息安全漏洞共享平台的工作机制和模式。因为时间关系，说得比较简单，我主要说五个方面的内容。

　　大家知道，安全漏洞工程非常巨大，安全漏洞形式不容乐观，我们每年会发布年报，大家从年报里面看到的主要数据能表明现在的安全形势确实是不容乐观。

　　安全防护投入这么大，安全形势这么不容乐观，两者矛盾的焦点到底在什么地方呢?我想大家都很清楚，其中有大家非常关心的一个问题就是安全漏洞。

　　安全漏洞出现的数量每年是有增无减，网络上有很多漏洞攻击工具，一个简单地初中生、高中生，或者是对漏洞很感兴趣的人，或者是对竞争伙伴实施攻击，都会有人利用这些工具来实施攻击。

　　09 年非常关注的利用操作系统漏洞在我国大肆传播的“飞客”蠕虫，我们对其进行了大半年的监测，将近有一千多个设计国计民生的重要系统都受到了“飞客”蠕虫的控制，它有一个最大的特点是能够窃取机密信息。那么，“飞客”蠕虫的被控制端在我国是最多的，占58%，导致我国六个省区的互联网瘫痪，这些都是很典型的利用漏洞进行攻击的案例。

　　那么，国内外安全漏洞的处置情况大家也非常清楚。在一个信息发达的国家，较早地开展了信息安全工作的统计收集及发布等一系列工作，在美国有一个优异的应急组织，对美国的漏洞进行监测;日本也建立了自己国家监测漏洞库的专门组织。在我国也有一些漏洞监测部门，他们没有一个专门的程序去申报，据我们所知就报告到了国外的互联网组织。

　　安全企业做了大量技术积累，很多知名安全厂商都拥有各自的上万条漏洞信息的企业极漏洞库。

　　10月18日，中国信息安全测评中心的信息安全“国家漏洞库”正式投入使用，我想这进一步提升了漏洞作为一种资源的地位和作用。但是，我们还是要说漏洞的处置工作需要在更广泛地层面得到加强。

　　首先，我认为漏洞处置工作需要整理各方力量和资源，应对复杂的信息系统漏洞，要充分发挥各自优势，共同发挥作用。复杂的漏洞问题，信息系统类型多，应该软件类型多，漏洞种类多，利用情况复杂。

　　大家可以从图上清楚地看到，图里面有政府部门、安全厂商、软件厂商、信息系统用户和科研院所。王局长早上说了政府有一个重要的职能是规范和指导，软件厂商希望把自己的软件做得非常安全，但做出万无一失没有漏洞的软件也非常难，我们需要有非常完善地机制去修正它。

　　国家互联网应急中心决定整合各方面的力量和资源，共建漏洞处置信息平台。坚持两点基本原则：

　　第一，坚持开放性、重力兴和非营利性的基本原则。

　　安全厂商、软件厂商、科研机构、个人均可以参与安全漏洞的发现，上报工作，由我们来牵头负责收集、验证、复杂和发布等工作，大家共同参与漏洞库及相关机制的建设，共享漏洞信息资源。

　　第二，坚持以我为主，预防为主的原则。

　　通过建立国家信息安全漏洞共享平台，国家互联网应急中心、国家信息安全技术研究中心与国家政府部门，重要信息系统用户，基础电信经营商，主要安全厂商，软件厂商，科研机构，公共互联网用户等共同建立信息系统安全漏洞统一收集、分析验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。建立这个共享平台，让大家从各自的角度都成为受益者，受益者是参与平台共建的广大信息系统用户。

　　基本的工作思路也可以用一个简单地图来表示：共同建设、资源共享、相互协作。漏洞库建设只是整个共享平台的一个环节，也希望建成某一个漏洞被利用了的案例库，也希望建成被利用了的漏洞库的处理经验库。

　　我们的工作方法是成立一个工作组，工作组分四个部分，工作委员会、专家委员会、技术合作组、用户支持组。因为时间的关系，在协议里面都有明确规定，我就不在这里仔细阐述了。

　　总之，通过这样一种工作形式，希望大家都从中受益。

　　工作步骤分为两步：一是与主要安全厂商共建信息漏洞库;二是积极接收，处理社会各单位和个人举报的漏洞信息。与主要软件厂商建立漏洞信息，预警和修补工作机制，建立起面向政府部门、通信行业，重要信息系统和广大用户的漏洞发布机制。我们希望在这个平台做出国家标准，在国际上做出一定的影响力。

　　我的汇报内容就到这里，谢谢大家。

　　主持人周勇林：相信孙处长的报告一定让行业内的专家学者产生了共鸣。她强调了两点，一是漏洞平台的开放、中立、非营利性;二是坚持以我为主，预防为主的原则。可以说，这个平台能够为互联网网络安全提供好的服务，做出贡献。

　　下面，有请国家互联网应急中心龚建峰处长讲话。

　　龚建峰：各位来宾：大家好!

　　首先，让我以十分高兴的心情祝贺国家信息安全漏洞共享平台合作共建协议签约。

　　国家信息安全漏洞共享平台建设是一件关系国家安全具有深远意义的大事。大家知道，网络空间已成为第六作战领域，围绕信息安全的战斗正以全新的作战态势，在这没有硝烟的战场展开一场激烈的角逐。漏洞是隐型战场上的重要战略资源，对于漏洞的管理、控制，是国家经济技术和国防实力的重要体现。以西方某些大国和科技强国为代表的利益集团十分重视漏洞的发展控制和利用，并列为国家战略优先事项。

　　对此，我们必须引起高度地警惕。我们建立国家信息安全漏洞共享平台，是以维护世界和平，保卫国家安全，促进网络空间和谐发展，和平利用信息资源为基本原则，国家计算机网络应急处理协调中心与国家信息技术安全研究中心正是在以上原则指导下联合发起建设国家信息安全漏洞共享平台创立，就是要以维护国家安全、社会稳定、经济发展和公共利益为出发点，共建共享协作，构建安全防线。

　　国家计算机网络应急技术处理协调中心和国家信息系统安全研究中心是优异信息安全保障专业队伍，担负着国家基础信息网络和重要信息系统的信息安全任务，近年来圆满完成十七大、奥运会、国庆六十周年庆典等重要保卫工作。

　　我们相信，共同构建的这个共享平台将形成军民融合，全社会共建的建设模式，一定会使国家漏洞库管理平台为国防建设和社会发展服务中发挥应有的作用。我衷心的希望共享平台的建设能够得到全社会的重视和支持。

　　谢谢大家。

　　主持人周勇林：感谢龚先生的讲话，从他的讲话中我们知道这次活动是国家互联网应急中心和国家信息系统研究中心共同发起，联合各个企业部门来做的。这里汇集了全国网络安全最强实力，打造一个高标准服务的漏洞共享平台。

　　今天，我们有幸邀请到人民银行科技司胡处长到会，下面有请他上台发言，欢迎!

　　胡处长：各位来宾：下午好!

　　今天，非常高兴见证了国家信息安全漏洞共享平台共建签约仪式。首先，对签约仪式表示祝贺，我个人也非常高兴。因为，我们是从事这个行业的，平台的搭建非常有意义，意义显示有两个标志：

　　第一个标志是计算机工作跨入了一个新的台阶。以前，我们对系统防护做的工作比较多，对于系统漏洞方面做的工作比较少。不是因为某些单位或组织不愿意去做，而是这个工作需要方方面面来做，协作地来做。

　　第二个标志是通过漏洞库共享平台的建设，可以看到在这个方面的工作有长足进步。祝贺签约仪式成功举行。同时，从用户的角度表达一种感谢，感谢应急中心的大局服务意识，也感谢各个厂家共同启动这项事业。

　　人民银行是一个综合部门，也是一个重要信息系统部门，从这个角度我想提点希望。一是希望共享平台尽早投入使用，为用户或政府部门做好工作尽早提供便利条件;二是希望将来漏洞库建成以后，不仅仅是发现漏洞，同时提供漏洞解决方案，或者是提供其他企业或同行的漏洞解决方案经验，对我们也很有帮助;三是希望所有的行业用户如果自身发现了漏洞，我们也可以成为一个奉献者，漏洞库的信息来源非常重要，用户在实际工作当中发现漏洞提供给他们，让更多的人共享漏洞信息，这是作为用户的希望。

　　我代表人民银行，或者代表这个行业做一个表示，如果我们在实际工作过程中，或者在监测当中，检查过程当中发现漏洞的话，我们会及时提供给CNCERT，大家一起共同把这个事业做大做强。

　　谢谢大家!