聚焦AI与网络安全漏洞治理 推动国家漏洞库产业协同创新

在CCS 2024成都安全系列活动期间，以“进一步推动国家网络安全漏洞治理”为主题的国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办，该活动聚焦人工智能与网络安全漏洞治理相结合，旨在搭建政、产、学、研共同参与的平台，促进产业协同与技术创新。

 

研讨活动由全国知名学术专家、高校代表以及国内网络安全行业领军企业就议题内容展开讨论。研讨会反响热烈，吸引了国家关基设施单位，安全公司，信创企业以及高校，科研机构的200余名代表参加。

 

中国工程院院士黄殿中在研讨活动上强调了网络安全漏洞的重要性，他指出，网络安全漏洞是网络空间安全的一个独特影响因素，它因技术而生，随网络而长，具有非传统安全的特点。这些特点包括产生机理的不确定性、传播使用的不规范性、安全效用的不对称性以及管理方式的不统一性。网络安全漏洞的影响范围之广、程度之深，是其他网络资源难以比拟的。

 

在当前这个百年未有之大变局的世界中，网络空间已成为大国博弈的前沿领域。国家高度重视网络安全，特别是总书记提出了“没有网络安全就没有国家安全”的重要论断，并强调了统筹发展与安全的必要性。与此同时，美国等西方国家通过立法和企业合作，建立了漏洞管控的国家意识和高效协调机制，而我国在漏洞治理方面虽然起步较快，但在资源管理、应用和统筹协调能力方面仍有提升空间。基于此，为进一步完善国家安全漏洞治理体系，黄殿中院士在研讨会中提出了夯实顶层设计、优化治理机制、聚焦和激发人才三方面建议。

 

在随后的专家演讲环节，9位来自不同领域的网络安全专家，就网络安全漏洞治理的探索与实践展开了深入探讨，广泛交流产、学、研的最新成果。

 

广州大学网络空间先进技术研究院院长鲁辉就《网络攻防对抗下的漏洞治理探索与实践》进行了主题演讲，从智能化技术的推进、人才培养、技术实践与创新等方面详细分享了其在网络攻防对抗下的漏洞治理探索工作。并指出了传统漏洞治理方案在漏洞发现、漏洞披露、漏洞跟踪等环节面临的挑战，提出了通过教育和培训来构建一个全国性的网络安全治理体系。

 

中国移动集团首席专家、信安中心网络安全研发中心经理张峰就《关基单位漏洞治理经验交流》进行了分享，他指出，信息系统中的脆弱性是不可避免的，且这些漏洞具有隐蔽性和可触发性，一旦被利用，可能会对系统造成严重破坏。同时，他也介绍了中国移动的“1+1+1+O”的漏洞管理体系，这个体系包括一套管理办法、一个管理平台、一个专项活动和日常安全运营，旨在实现漏洞全生命周期的闭环管理。

 

中国电力科学研究院有限公司攻防与监测技术研究室主任张錋深入探讨了网络安全在关键基础设施，尤其是电力系统中的重要性，并分享了构建有效的漏洞管理机制的经验。他指出，安全漏洞是网络攻击的关键入口，其风险随着技术的发展和应用场景的增多而日益突出。电力系统的复杂性、封闭性和专业性强的特点，使得漏洞管理面临重大挑战。为此，中国电力建立了一套闭环的漏洞管理机制，该机制涵盖了漏洞的发现、验证、治理和闭环管理全过程。这一机制的建立基于长期的漏洞验证和网络攻防对抗经验，旨在提升关键基础设施的安全性和可靠性。

 

北京华顺信安信息技术有限公司初始人、董事长赵武就《多智能体驱动的PoC编写技术新思路》进行了分享，他详细介绍了传统的编写PoC的劣势及借助大模型编写PoC的优势。并强调，在PoC编写过程中，尝试结合AI技术来降低难度、提高效率，通过AI完成不同的逻辑流程，尤其是在漏洞挖掘和分析方面，可以实现自动化和智能化，提高漏洞发现和利用的效率。随着技术的发展，同时，他也呼吁行业内共享数据集，以促进AI技术在安全领域的进一步发展。

 

北京长亭科技有限公司副总裁王昱就《攻防实战视角下的漏洞持续评估与治理实践》进行了分享，他指出，大多数企业在网络安全防护上存在明显不足，能够被轻易突破边界并深入内网，这反映出企业安全防护措施的薄弱。面临可见性和感知能力不足、供应链依赖和国产化风险以及响应速度慢的三大挑战。并强调，企业需要建立常态化的风险评估和监测机制，将安全作为业务流程的一部分，以提高整体的网络安全性。通过内外部视角、漏洞知识积累、高价值漏洞识别以及源头治理等措施，能够有效地识别和管理网络安全风险，从而提升其安全防护能力。

 

麒麟软件有限公司首席安全官/安全研发部经理扬诏钧就《探索利用AI打造智能化漏洞治理关键技术》进行了分享，他详细介绍了麒麟软件在数据收集、特征提取、深度学习、模型训练等方面的技术实现，以及如何通过这些技术优化漏洞治理流程，提高自动化和智能化水平。并表示，麒麟软件正在探索如何利用现有数据和平台环境，结合AI技术提升漏洞治理的智能化水平，以应对日益复杂的网络安全挑战。同时，指出智能化漏洞治理应从感知智能、预警智能、决策智能三个角度去快速应对复杂的漏洞风险。

 

北京赛博昆仑科技有限公司产品负责人孙世斌就《人工智能背景下的漏洞闭环管理》进行分享。他指出，优秀的漏洞研究员非常稀少，挖掘漏洞虽然技术简单，但过程单调且重复。研究员需要具备高度的直觉和经验，这是目前人工智能难以替代的。但是，其也在通过借助人工智能来提高安全研究员的工作效率，并开发出了基于漏洞闭环管理的解决方案，包括资产清点、漏洞发现、验证、优先级排序和修复。从而，利用人工智能技术进行工程化和产品化尝试，以提高漏洞管理的效率。

 

北京神州绿盟科技有限公司天机实验室主任研究院张云海就《举一反三：从历史漏洞触发的漏洞挖掘》进行了经验分享。他强调，软件开发者在修复漏洞时应问自己这三个关键问题：是否正确修复了漏洞、漏洞模式是否在其它地方存在以及是否存在。同时，他鼓励所有软件开发者在修复漏洞时，要采用这种系统化的分析方法，以提高软件的安全性。

 

中国信息安全监测中心漏洞库管理处处长任望就《完善国家信息安全漏洞库支撑单位机制系列新举措》进行分享。任处长表示，在过去的一年里，漏洞库在用户单位、关基单位、技术专家和白帽子的共同努力和支持下，已经在漏洞的采集、汇聚、评估、共享以及运营操作等方面取得了显著的进步和丰硕的成果。并强调，网络安全漏洞综合治理是全社会共同的责任，国家漏洞库将继续推动构建国家漏洞治理生态，与社会各界紧密协作，为保障国家网络安全作出更大的贡献。

 

最后，在活动现场对入选国家信息安全漏洞库核心技术支撑试点单位的十家企业、国家信息安全漏洞库优秀漏洞管理企业的十四家企业、以及2024年度（第一期）国家信息安全漏洞库漏洞奖励的八家企业分别进行了颁奖及嘉奖。

 

CCS 2024成都网络安全系列活动之国家漏洞库网络安全漏洞治理产业协同创新研讨活动圆满落幕，安全419作为官方独家战略合作媒体，后续将带来更多精彩内容，敬请关注。