信息來(lái)源：安全內(nèi)參

自誕生以來(lái)，漏洞就是黑客攻擊的主要武器來(lái)源、網(wǎng)絡(luò)安全的防護(hù)焦點(diǎn)、攻守對(duì)抗的核心所在。漏洞對(duì)于網(wǎng)絡(luò)空間的安全舉足輕重。對(duì)漏洞的管理，我國(guó)一直堅(jiān)持“統(tǒng)籌發(fā)展與安全”的理念。2021 年印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，不僅規(guī)范了漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，同時(shí)也鼓勵(lì)各類主體發(fā)揮各自技術(shù)和機(jī)制優(yōu)勢(shì)開(kāi)展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作，以達(dá)到維護(hù)國(guó)家網(wǎng)絡(luò)安全的最終目的。

漏洞作為網(wǎng)絡(luò)空間安全的重要資源，涉及到全球信息技術(shù)產(chǎn)業(yè)，建立一個(gè)互利的漏洞管理國(guó)際合作機(jī)制，對(duì)漏洞資源進(jìn)行共享和管控是國(guó)際通行慣例。但也有國(guó)家以本國(guó)安全優(yōu)先為由，對(duì)此層層設(shè)限。5 月 26 日，美國(guó)商務(wù)部產(chǎn)業(yè)和安全局（BIS）發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》。該規(guī)定以所謂國(guó)家安全和反恐為由，要求美國(guó)實(shí)體（如互聯(lián)網(wǎng)企業(yè)）與中國(guó)政府等相關(guān)的組織和個(gè)人就網(wǎng)絡(luò)安全漏洞合作時(shí)，要事先通過(guò)美國(guó)商務(wù)部審核；并新增了漏洞檢測(cè)分析等技術(shù)產(chǎn)品針對(duì)我國(guó)的出口限制。此種限制實(shí)質(zhì)上是美國(guó)科技方面的技術(shù)封鎖在信息安全領(lǐng)域的延伸，這不僅破壞了國(guó)際網(wǎng)絡(luò)安全領(lǐng)域長(zhǎng)久以來(lái)的漏洞分享機(jī)制，而且加劇了網(wǎng)絡(luò)空間安全形勢(shì)的惡化，更是對(duì)別國(guó)安全利益的嚴(yán)重威脅和對(duì)現(xiàn)行國(guó)際規(guī)則的肆意踐踏。

我國(guó)對(duì)漏洞管理一直秉持開(kāi)放合作態(tài)度，2020年 9 月，我國(guó)提出《全球數(shù)據(jù)安全倡議》，呼吁全球各國(guó)秉持共商共建共享理念，齊心協(xié)力促進(jìn)數(shù)據(jù)安全。在當(dāng)前復(fù)雜的國(guó)際形勢(shì)下，我們應(yīng)在總體國(guó)家安全觀的指引下，加快建設(shè)完善國(guó)家漏洞庫(kù)等管理平臺(tái)，加強(qiáng)網(wǎng)絡(luò)安全漏洞治理體系建設(shè)，防范和消控網(wǎng)絡(luò)安全重大風(fēng)險(xiǎn)，保障國(guó)家網(wǎng)絡(luò)安全，同時(shí)推進(jìn)漏洞管理的國(guó)際合作，推動(dòng)全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進(jìn)。

一、國(guó)內(nèi)外國(guó)家漏洞治理現(xiàn)狀分析

防范漏洞風(fēng)險(xiǎn)威脅網(wǎng)絡(luò)及國(guó)家安全，強(qiáng)化管理和法律手段是有效治理漏洞的關(guān)鍵，世界主要國(guó)家紛紛運(yùn)營(yíng)漏洞庫(kù)，建立協(xié)同披露機(jī)制，加大漏洞出口限制力度，目的都是盡量讓漏洞資源掌握在自己的手中。

（一）漏洞庫(kù)成為主要國(guó)家漏洞資源管控模式，社區(qū)隨意散播漏洞敏感信息現(xiàn)象突出。

一是西方國(guó)家率先開(kāi)展漏洞庫(kù)建設(shè)，開(kāi)創(chuàng)漏洞資源管控模式。美國(guó)國(guó)家漏洞庫(kù)（NVD）是最早由政府投入建設(shè)和政策扶持的漏洞庫(kù)，利用其本國(guó)信息技術(shù)優(yōu)勢(shì)和平臺(tái)影響力，建立漏洞報(bào)送合作機(jī)制，制定漏洞技術(shù)標(biāo)準(zhǔn)和規(guī)范，從早期本土主流廠商、安全公司及研究機(jī)構(gòu)，逐步推廣到各國(guó)重要合作廠商和機(jī)構(gòu)、研究團(tuán)隊(duì)及個(gè)人向其報(bào)送漏洞，現(xiàn)已擁有全球范圍的重要漏洞數(shù)據(jù)。NVD 表面上看是實(shí)行漏洞信息的公開(kāi)披露，但存在一些選擇性披露和滯后等問(wèn)題。歐俄日澳等地區(qū)和國(guó)家積極效仿，基于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體制機(jī)制，搭建漏洞庫(kù)并建立漏洞收集渠道。

二是我國(guó)國(guó)家級(jí)漏洞庫(kù)發(fā)展迅速，資源匯聚管理見(jiàn)成效。國(guó)家領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)防范工作。2009 年，中國(guó)信息安全測(cè)評(píng)中心建設(shè)運(yùn)營(yíng)國(guó)家信息安全漏洞庫(kù)（CNNVD），廣泛收集漏洞數(shù)據(jù)，合理運(yùn)用社會(huì)技術(shù)力量支撐機(jī)制，分析研判漏洞危害，披露漏洞信息，化解漏洞風(fēng)險(xiǎn)，切實(shí)履行漏洞資源匯聚和消除重大隱患的職責(zé)。隨著技術(shù)應(yīng)用的發(fā)展和安全需求的擴(kuò)大，工控、移動(dòng)產(chǎn)品等專業(yè)漏洞庫(kù)相繼建設(shè)運(yùn)營(yíng)，定向通報(bào)漏洞信息，督促漏洞修復(fù)和處置，發(fā)揮著行業(yè)漏洞管理的積極作用。

三是社區(qū)或組織踴躍推出漏洞交流平臺(tái)，個(gè)性收集發(fā)布呈亂象。境外某些擁有資助背景的開(kāi)源社區(qū)、安全組織極力宣傳漏洞獎(jiǎng)勵(lì)機(jī)制，制定漏洞報(bào)送及披露策略，收集指定漏洞，隨意披露漏洞細(xì)節(jié)和利用代碼等敏感信息，甚至指名道姓地發(fā)布漏洞定位，此類不負(fù)責(zé)任的披露已經(jīng)給漏洞影響的系統(tǒng)和用戶帶來(lái)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，但仍處于法律灰色地帶并未加以管控。

（二）各國(guó)相繼推出漏洞披露制度，漏洞生命周期閉環(huán)管控機(jī)制有待完善。

一是美出臺(tái)多項(xiàng)漏洞披露相關(guān)法案，旨在維護(hù)國(guó)家安全并降低政府業(yè)務(wù)系統(tǒng)漏洞風(fēng)險(xiǎn)。美國(guó)較早以法案和行政令等法律形式頒布漏洞披露策略，包括以情報(bào)機(jī)關(guān)主導(dǎo)的《漏洞裁決政策和程序》《補(bǔ)丁法案》，以及網(wǎng)絡(luò)安全部門(mén)發(fā)布的《網(wǎng)絡(luò)安全信息共享法》與有關(guān)漏洞協(xié)同披露行政令等，核心要義是為國(guó)家安全目的收集儲(chǔ)備可武器化漏洞提供機(jī)制保障，同時(shí)也是為權(quán)衡相關(guān)利益方及應(yīng)對(duì)大眾對(duì)公開(kāi)透明的要求提供政策支撐。歐盟今年推出的《協(xié)同漏洞披露策略》報(bào)告分析了美中及歐盟成員國(guó)漏洞披露政策，傾向借鑒美的做法，為漏洞發(fā)現(xiàn)者創(chuàng)造“安全港”，提出了在歐洲范圍內(nèi)跨境協(xié)同披露漏洞的體制機(jī)制及法律方面的建設(shè)意見(jiàn)。

二是我國(guó)積極建立健全漏洞管理政策法規(guī)，側(cè)重確立漏洞利益相關(guān)主體的法律責(zé)任。我國(guó)《網(wǎng)絡(luò)安全法》首先提出漏洞管理要求，明確漏洞發(fā)現(xiàn)、發(fā)布及處置的責(zé)任范圍，最新執(zhí)行的《網(wǎng)絡(luò)產(chǎn)品漏洞管理規(guī)定》對(duì)《網(wǎng)絡(luò)安全法》的要求做了進(jìn)一步明確，從行業(yè)主管層面規(guī)范網(wǎng)絡(luò)安全產(chǎn)品漏洞發(fā)現(xiàn)、修復(fù)、發(fā)布等行為和活動(dòng)的責(zé)任義務(wù)，加強(qiáng)了漏洞報(bào)送和流通渠道管控，為全面開(kāi)展漏洞治理制度體系建設(shè)打下堅(jiān)實(shí)基礎(chǔ)。

三是漏洞披露是漏洞生命周期中心環(huán)節(jié)，管控手段僅發(fā)力于此遠(yuǎn)不足以管制漏洞被攻擊利用。從產(chǎn)生、發(fā)現(xiàn)、發(fā)布直到徹底消除，不同漏洞的生命周期長(zhǎng)度和各環(huán)節(jié)的發(fā)展千差萬(wàn)別。事實(shí)證明，有的早期開(kāi)發(fā)的 Linux 系統(tǒng)漏洞長(zhǎng)存于代碼中十幾年未被發(fā)現(xiàn)，還有相當(dāng)一部分零日漏洞被隱秘發(fā)現(xiàn)導(dǎo)致長(zhǎng)期黑產(chǎn)利用或武器化。任何主體都有發(fā)現(xiàn)和利用漏洞的可能，覆蓋漏洞全生命周期的管控才是漏洞治理一以貫之的正確方向。

（三）漏洞作為國(guó)家戰(zhàn)略資源被各國(guó)限制出境，外流管控乏力導(dǎo)致漏洞風(fēng)險(xiǎn)居高不下。

一是美國(guó)首先制定漏洞出口限制法律條文，認(rèn)定漏洞為國(guó)家戰(zhàn)略資源。漏洞影響的安全范圍涉及漏洞宿主的所有使用者，受影響者應(yīng)享有同等防范或降低漏洞風(fēng)險(xiǎn)的安全權(quán)益。由美國(guó)主導(dǎo)的《瓦森納協(xié)定》在 2013 年更新中明確限制“入侵軟件”出口，所謂“入侵軟件”實(shí)質(zhì)上就是以漏洞為內(nèi)核的數(shù)字武器，而我國(guó)正是該協(xié)議排除在成員國(guó)之外的禁運(yùn)國(guó)。這項(xiàng)規(guī)定標(biāo)志著以美為首的西方國(guó)家將漏洞正式界定到網(wǎng)絡(luò)空間武器管控范疇，同時(shí)也使漏洞武器化在一定范圍內(nèi)合法化。2022 年 5 月 26日，美國(guó)再次以國(guó)家安全視角，對(duì)《出口管理?xiàng)l例》網(wǎng)絡(luò)安全條款進(jìn)行了修訂，新增了漏洞檢測(cè)分析等技術(shù)產(chǎn)品針對(duì)我國(guó)的出口限制。此種限制看似是對(duì)本國(guó)安全利益的維護(hù)，而其實(shí)質(zhì)加劇網(wǎng)絡(luò)空間安全形勢(shì)惡化，更是對(duì)別國(guó)安全利益的嚴(yán)重威脅和安全權(quán)力的肆意踐踏。

二是我國(guó)加大數(shù)據(jù)出境安全要求力度，嚴(yán)禁向境外提供危及國(guó)家安全的漏洞。某些境外組織機(jī)構(gòu)利用打比賽贏獎(jiǎng)金的模式吸引漏洞發(fā)現(xiàn)者提交高風(fēng)險(xiǎn)漏洞，導(dǎo)致漏洞嚴(yán)重外流、安全風(fēng)險(xiǎn)加劇，為此網(wǎng)信部門(mén)及時(shí)有效應(yīng)對(duì)，發(fā)布《關(guān)于規(guī)范促進(jìn)網(wǎng)絡(luò)安全競(jìng)賽活動(dòng)的通知》，嚴(yán)格禁止以損害國(guó)家安全為代價(jià)向境外賽事提供漏洞等敏感信息，鼓勵(lì)漏洞人才發(fā)揮技術(shù)特長(zhǎng)積極保障國(guó)家網(wǎng)絡(luò)安全。占領(lǐng)網(wǎng)絡(luò)空間人才高地、引導(dǎo)漏洞研究力量朝著以維護(hù)國(guó)家安全為宗旨的方向發(fā)揮能力作用，是夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)的重中之重。

三是美數(shù)字大廠運(yùn)用漏洞賞金榮譽(yù)張榜及技術(shù)合作等做法，刺激高級(jí)漏洞研究者持續(xù)為其貢獻(xiàn)高風(fēng)險(xiǎn)漏洞。操作系統(tǒng)、云服務(wù)平臺(tái)及芯片等核心基礎(chǔ)軟硬件大廠積極回購(gòu)產(chǎn)品漏洞，通過(guò)品牌效應(yīng)、推高漏洞價(jià)格爭(zhēng)奪漏洞人才和市場(chǎng)，抓住安全提供者力求搶占漏洞應(yīng)用市場(chǎng)先機(jī)的心理，利用共享漏洞成果等合作機(jī)制，積極獲取高質(zhì)量漏洞。這種漏洞回流的運(yùn)作模式的確有助于改善產(chǎn)品安全性能，但此種現(xiàn)象也暴露出我國(guó)漏洞研究力量正處于失控狀態(tài)。

二、漏洞治理面臨數(shù)字化發(fā)展與產(chǎn)業(yè)鏈不完整多重挑戰(zhàn)

一是我國(guó)數(shù)字革命加速演進(jìn)與數(shù)字產(chǎn)業(yè)鏈不充分發(fā)展的矛盾，帶來(lái)漏洞風(fēng)險(xiǎn)治理難度增加。我國(guó)正在加快數(shù)字化發(fā)展和數(shù)字中國(guó)建設(shè)，推進(jìn)數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)深度融合。但實(shí)現(xiàn)數(shù)字產(chǎn)業(yè)鏈自主可控目標(biāo)還將經(jīng)過(guò)一個(gè)長(zhǎng)期努力的過(guò)程，當(dāng)前數(shù)字產(chǎn)業(yè)基礎(chǔ)能力薄弱導(dǎo)致產(chǎn)業(yè)鏈不完整，加之國(guó)際局勢(shì)動(dòng)蕩帶來(lái)供應(yīng)鏈不穩(wěn)定因素，數(shù)字安全保障痛點(diǎn)隨之加劇，漏洞風(fēng)險(xiǎn)治理難點(diǎn)問(wèn)題更加突出。

二是網(wǎng)絡(luò)資產(chǎn)數(shù)量巨大增量加速及資產(chǎn)底數(shù)不清問(wèn)題依舊存在，帶來(lái)漏洞風(fēng)險(xiǎn)辨識(shí)難以落位。網(wǎng)絡(luò)技術(shù)的變革推動(dòng)萬(wàn)物互聯(lián)向著萬(wàn)物智聯(lián)邁進(jìn)，網(wǎng)絡(luò)空間資產(chǎn)成指數(shù)級(jí)增長(zhǎng)態(tài)勢(shì)，特別是云上云下資產(chǎn)復(fù)雜交織、類型眾多，工業(yè)互聯(lián)網(wǎng)等關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)可見(jiàn)，物理點(diǎn)位和網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)聯(lián)使得數(shù)字資產(chǎn)被實(shí)名化，而與此同時(shí)，很多企業(yè)機(jī)構(gòu)自身家底有待梳理摸清，防護(hù)強(qiáng)度和范圍存在很大疏漏，漏洞風(fēng)險(xiǎn)排查能力和手段有待完善提升。

三是數(shù)字產(chǎn)品漏洞評(píng)價(jià)指標(biāo)及評(píng)估機(jī)制尚不完善，缺乏漏洞風(fēng)險(xiǎn)管控責(zé)任監(jiān)督機(jī)制。數(shù)字產(chǎn)品生產(chǎn)進(jìn)入組件化組裝開(kāi)發(fā)模式，大量開(kāi)源通用組件功能完備，自主代碼比例越來(lái)越低。隨著智能化的進(jìn)程，數(shù)字產(chǎn)品生產(chǎn)效率越來(lái)越高，產(chǎn)品研發(fā)正在朝著自動(dòng)化配置化趨近，定制化代碼比例日趨降低。開(kāi)源通用組件如出現(xiàn)漏洞，導(dǎo)致鏈?zhǔn)接绊懀秶鷺O其廣泛。漏洞風(fēng)險(xiǎn)等級(jí)應(yīng)成為開(kāi)源組件首要質(zhì)量評(píng)價(jià)指標(biāo)，漏洞風(fēng)險(xiǎn)評(píng)估是監(jiān)督數(shù)字產(chǎn)品安全性能提升的基礎(chǔ)工作。

四是漏洞產(chǎn)業(yè)化發(fā)展不平衡，中上游出現(xiàn)的亂象是治理重點(diǎn)。不可避免的現(xiàn)實(shí)問(wèn)題是漏洞的產(chǎn)業(yè)化。當(dāng)前漏洞產(chǎn)業(yè)鏈可分為以漏洞發(fā)現(xiàn)為上游，漏洞交易和披露為中游，漏洞應(yīng)用和利用為下游。漏洞市場(chǎng)受到黑產(chǎn)利益和政府支持的刺激，呈現(xiàn)出漏洞價(jià)格主導(dǎo)上游產(chǎn)出，加之漏洞生產(chǎn)工具購(gòu)買(mǎi)和使用不受限，導(dǎo)致上游參與主體成分復(fù)雜不可控等問(wèn)題。下游多以防護(hù)產(chǎn)品為主要產(chǎn)出，漏洞風(fēng)險(xiǎn)感知能力仍是短板，已知漏洞利用檢測(cè)技術(shù)仍待攻關(guān)。如何讓漏洞產(chǎn)業(yè)服務(wù)于國(guó)家安全，還需要加強(qiáng)治理和合理引導(dǎo)。

五是漏洞人才缺口較大，培養(yǎng)引導(dǎo)和激勵(lì)全方位機(jī)制有待完善。我國(guó)擁有世界頂級(jí)漏洞發(fā)現(xiàn)人才，研究力量主要分散在資金雄厚的互聯(lián)網(wǎng)企業(yè)，安全保障能力一流，但數(shù)量嚴(yán)重不足，院校培養(yǎng)和職業(yè)培訓(xùn)遠(yuǎn)遠(yuǎn)不能滿足當(dāng)前人才缺口。崗位設(shè)定和價(jià)值取向是漏洞研究最關(guān)心的問(wèn)題，鼓勵(lì)引導(dǎo)青年優(yōu)秀漏洞人才服務(wù)國(guó)家安全是值得思考的重要議題。

三、落實(shí)國(guó)家安全要求，推動(dòng)漏洞治理體系化能力建設(shè)

漏洞風(fēng)險(xiǎn)關(guān)乎國(guó)家安全，治理漏洞風(fēng)險(xiǎn)是維護(hù)國(guó)家安全和保障網(wǎng)絡(luò)安全的必然要求，實(shí)現(xiàn)高水平漏洞風(fēng)險(xiǎn)治理自立自強(qiáng)，要重點(diǎn)著力在提高漏洞風(fēng)險(xiǎn)治理的整體層面、貫徹漏洞全生命周期管控治理理念、拓展國(guó)際合作、推動(dòng)漏洞產(chǎn)業(yè)的創(chuàng)新發(fā)展、激發(fā)漏洞研究人才的綜合價(jià)值。

一是把漏洞治理提升到國(guó)家安全層面，統(tǒng)籌漏洞治理體制機(jī)制建立健全。漏洞治理是解決非傳統(tǒng)安全風(fēng)險(xiǎn)向傳統(tǒng)安全風(fēng)險(xiǎn)傳導(dǎo)問(wèn)題的關(guān)鍵環(huán)節(jié)，是提升國(guó)家安全治理能力的基礎(chǔ)，更是維護(hù)國(guó)家安全的重要戰(zhàn)略任務(wù)，狠抓漏洞治理就是筑牢網(wǎng)絡(luò)安全根基。網(wǎng)絡(luò)互聯(lián)互通，數(shù)據(jù)無(wú)處不在，看似不起眼的漏洞可以毀掉宏大的數(shù)字工程。漏洞治理的關(guān)鍵和根本，是要依賴國(guó)家安全層面統(tǒng)一部署的工作機(jī)制，明確漏洞治理職能，構(gòu)建基礎(chǔ)研究、發(fā)現(xiàn)檢測(cè)、風(fēng)險(xiǎn)評(píng)估及人才管理等治理能力，統(tǒng)籌推進(jìn)漏洞風(fēng)險(xiǎn)治理體系建設(shè)，實(shí)現(xiàn)漏洞風(fēng)險(xiǎn)有效管控。

二是貫穿漏洞全生命周期各環(huán)節(jié)細(xì)化管控制度，強(qiáng)化落實(shí)相關(guān)方責(zé)任。漏洞雖不可避免，但采取有效的管理和技術(shù)手段可以減少漏洞產(chǎn)生的數(shù)量、降低漏洞風(fēng)險(xiǎn)的等級(jí)，改善數(shù)字產(chǎn)品安全性能。建立數(shù)字產(chǎn)品漏洞風(fēng)險(xiǎn)評(píng)估機(jī)制，規(guī)范漏洞風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)，組織可靠力量分級(jí)分批深挖細(xì)排。建議在已有安全審查機(jī)制基礎(chǔ)上，增強(qiáng)漏洞風(fēng)險(xiǎn)動(dòng)態(tài)評(píng)估機(jī)制。明確數(shù)字產(chǎn)品提供者使用者等相關(guān)方漏洞排查和修復(fù)的責(zé)任和要求，專業(yè)機(jī)構(gòu)協(xié)同檢測(cè)評(píng)估處置，實(shí)現(xiàn)漏洞全生命周期覆蓋管控。

三是倡導(dǎo)全球數(shù)字產(chǎn)業(yè)高質(zhì)量發(fā)展，促進(jìn)國(guó)際合作共同構(gòu)建漏洞治理體系。數(shù)字化轉(zhuǎn)型是全球經(jīng)濟(jì)發(fā)展趨勢(shì)，全球數(shù)字供應(yīng)鏈相互交織，單方面斷供禁售不符合協(xié)作共贏的發(fā)展理念，提供高質(zhì)量數(shù)字技術(shù)、以負(fù)責(zé)任的態(tài)度持續(xù)保障產(chǎn)品安全性能才是拓展國(guó)際市場(chǎng)的長(zhǎng)遠(yuǎn)之計(jì)。特別要與核心基礎(chǔ)數(shù)字產(chǎn)品供應(yīng)方建立漏洞信息及時(shí)共享的保障機(jī)制，共同創(chuàng)建國(guó)際通用的漏洞規(guī)范標(biāo)準(zhǔn)，引領(lǐng)國(guó)際漏洞治理體系新規(guī)則，實(shí)現(xiàn)安全權(quán)益最大化。

四是營(yíng)造良好的漏洞產(chǎn)業(yè)發(fā)展環(huán)境，推動(dòng)漏洞技術(shù)攻關(guān)和應(yīng)用創(chuàng)新。漏洞產(chǎn)業(yè)是漏洞風(fēng)險(xiǎn)治理的重要支柱力量，在嚴(yán)厲打擊黑產(chǎn)鏈條基礎(chǔ)上，合理引導(dǎo)上游產(chǎn)出，加大中游參與主體準(zhǔn)入和監(jiān)督力度，運(yùn)用政策支持鼓勵(lì)下游企業(yè)積極應(yīng)用創(chuàng)新，規(guī)劃布局產(chǎn)業(yè)整體發(fā)展方向，有力提升產(chǎn)業(yè)效能，充分發(fā)揮產(chǎn)業(yè)漏洞治理的重要作用。

五是加快建設(shè)漏洞人才戰(zhàn)略力量，突出人才價(jià)值體現(xiàn)，發(fā)揮人才隊(duì)伍主觀能動(dòng)性。網(wǎng)絡(luò)空間安全博弈既是攻防較量，更是人與人的對(duì)抗，漏洞人才是維護(hù)國(guó)家安全和提升技術(shù)優(yōu)勢(shì)地位的戰(zhàn)略資產(chǎn)。我國(guó)漏洞人才面臨嚴(yán)重不足和合理利用雙重挑戰(zhàn)，既要從娃娃抓起，建設(shè)漏洞學(xué)科體系，培養(yǎng)致力于投身國(guó)家安全的高素質(zhì)人才，又要正向引導(dǎo)社會(huì)人才隊(duì)伍積極技術(shù)攻關(guān)，同時(shí)統(tǒng)籌漏洞人才職業(yè)教育，激勵(lì)人才學(xué)以致用，吸引更多有識(shí)之士投入到漏洞治理行動(dòng)中來(lái)。

漏洞治理為國(guó)家安全賦能，是保障數(shù)字經(jīng)濟(jì)國(guó)家戰(zhàn)略順利推進(jìn)的一把利劍，是網(wǎng)絡(luò)安全能力提升的關(guān)鍵環(huán)節(jié)，大力推動(dòng)漏洞風(fēng)險(xiǎn)治理體系建設(shè)勢(shì)在必行。維護(hù)國(guó)家安全是每個(gè)公民應(yīng)盡的義務(wù)，作為安全從業(yè)者，攻克漏洞治理這一最具挑戰(zhàn)的課題，既是責(zé)任擔(dān)當(dāng)更是初心使命。

（本文刊登于《中國(guó)信息安全》雜志2022年第6期）