摘  要：當(dāng)前漏洞的數(shù)量快速增長(zhǎng)，危險(xiǎn)級(jí)別不斷提升。為了有效降低用戶面臨的風(fēng)險(xiǎn)，應(yīng)深入研究美國(guó)國(guó)家電信和信息管理局和 FIRST（公共漏洞披露平臺(tái)的管理者）頒布的《漏洞多方協(xié)同披露指南與實(shí)踐》，從機(jī)制、舉措方面總結(jié)指南與實(shí)踐在不同情況下對(duì)漏洞協(xié)同披露的流程，歸納產(chǎn)生的原因及有效的應(yīng)對(duì)措施，并結(jié)合我國(guó)的實(shí)際情況提出相應(yīng)建議。

　　0

　　引言

　　目前，活躍的開(kāi)源開(kāi)發(fā)社區(qū)、bug 獎(jiǎng)勵(lì)計(jì)劃的激增、供應(yīng)鏈的日趨復(fù)雜，使得包含漏洞的部件存在多個(gè)產(chǎn)品共用的情況，影響范圍極廣，對(duì)漏洞的披露和修復(fù)帶來(lái)巨大的挑戰(zhàn)。已有的對(duì)漏洞協(xié)同披露主要依靠研究人員和供應(yīng)商的直接溝通，存在覆蓋范圍不全、修復(fù)不及時(shí)等問(wèn)題，使漏洞暴露的時(shí)間窗口加大，給用戶帶來(lái)巨大的安全隱患。現(xiàn)今，漏洞的披露迫切需要日益復(fù)雜的多方協(xié)同，像 Heartbleed 這樣的漏洞進(jìn)一步凸顯了對(duì)多方協(xié)同披露的挑戰(zhàn)[1]。

　　美國(guó)作為互聯(lián)網(wǎng)的締造者和眾多權(quán)威漏洞披露平臺(tái)的所在國(guó)，國(guó)家電信和信息管理局（NTIA）、事件響應(yīng)和安全團(tuán)隊(duì)聯(lián)盟［FIRST，公共漏洞披露平臺(tái)（CVE）的管理者］在參考已有的披露機(jī)制基礎(chǔ)上，如多方利益相關(guān)者共同披露[2]、CERT 的協(xié)同披露指南[3]、ENISA 的漏洞披露最佳實(shí)踐指南[4]、ISO/IEC 的漏洞披露標(biāo)準(zhǔn)[5]、NIAC 的漏洞披露指南[6] 等，重點(diǎn)考慮供應(yīng)鏈各元素如何在漏洞披露過(guò)程中的協(xié)同處理，共同頒布了《漏洞多方協(xié)同披露指南》[7]（以下簡(jiǎn)稱“指南”）。它是管理者共同努力解決多方協(xié)同披露挑戰(zhàn)的結(jié)果，目的是幫助改善并建立不同利益相關(guān)者間的多方漏洞協(xié)同披露機(jī)制。該指南考慮了不同情況下漏洞的協(xié)同披露場(chǎng)景。

　　本文從相關(guān)概念及定義、基礎(chǔ)性工作、不同場(chǎng)景下披露流程等方面對(duì)《漏洞多方協(xié)同披露指南》進(jìn)行梳理及分析研究，并對(duì)如何指導(dǎo)我國(guó)漏洞管理工作提出相關(guān)的建議舉措。

　　1

　　多方協(xié)同披露的相關(guān)概念及定義

　　在協(xié)同披露的流程中，不同參與者發(fā)揮的作用和需要采取的動(dòng)作存在差異，因此對(duì)披露流程中其涉及的角色、動(dòng)作等相關(guān)概念根據(jù) ISO/IEC 29147:20143 中提供的定義做了最小程度的修改。

　　* 公告：聲明或公告，用于通知、建議和警告產(chǎn)品的漏洞。

　　* 協(xié)調(diào)人員：可選參與者，可協(xié)助產(chǎn)品供應(yīng)商和漏洞發(fā)現(xiàn)者處理和披露漏洞相關(guān)信息。

　　* 防御者：負(fù)責(zé)防御攻擊的利益相關(guān)者。防御者可以是系統(tǒng)管理人員、供應(yīng)商或防御技術(shù)及服務(wù)的提供者。防御者可以檢測(cè)易受攻擊的系統(tǒng)，對(duì)攻擊進(jìn)行檢測(cè)和響應(yīng)，并執(zhí)行對(duì)漏洞的修復(fù)及管理。

　　* 披露：最早向不被認(rèn)為存在漏洞的一方提供漏洞信息的行為。整個(gè)披露過(guò)程通常包括多個(gè)披露事件。

　　* 暴露：從發(fā)現(xiàn)漏洞到無(wú)法再利用漏洞之間的時(shí)間。

　　* 發(fā)現(xiàn)者：識(shí)別產(chǎn)品或服務(wù)中潛在漏洞的個(gè)人或組織。例如，發(fā)現(xiàn)者可以是外部安全研究人員。

　　* 緩解措施：降低漏洞被利用的可能性或可利用范圍的措施。

　　* 修復(fù)：補(bǔ)丁、修補(bǔ)、升級(jí)、配置或文檔變更，以移除或緩解漏洞。

　　* 供應(yīng)商：開(kāi)發(fā)產(chǎn)品、服務(wù)或負(fù)責(zé)維護(hù)產(chǎn)品的個(gè)人或組織。

　　* 對(duì)等供應(yīng)商：處于供應(yīng)鏈同一層級(jí)的供應(yīng)商。對(duì)等供應(yīng)商可以是相同技術(shù)（例如，OpenSSL 和 GnuTLS）的獨(dú)立實(shí)現(xiàn)者或相同上游技術(shù)（例如，Red Hat 和 SuSE）的下游用戶。

　　* 上游供應(yīng)商：向下游供應(yīng)商提供產(chǎn)品或技術(shù)的供應(yīng)商。

　　* 下游供應(yīng)商：從上游供應(yīng)商處獲得產(chǎn)品或技術(shù)并用于下游供應(yīng)商的產(chǎn)品、技術(shù)或服務(wù)的供應(yīng)商。

　　* 漏洞：軟件、硬件或服務(wù)中可被利用的脆弱點(diǎn)。

　　眾多利益相關(guān)角色之間的關(guān)系和通信路徑如圖 1 所示。

　　圖片

　　圖 1　利益相關(guān)角色及通信路徑

　　2

　　多方協(xié)同披露的基礎(chǔ)

　　指南討論了多方協(xié)同披露的實(shí)例，歸納起來(lái)，多方協(xié)同披露需要在統(tǒng)一的共識(shí)、遵循相關(guān)的原則、降低漏洞暴露的時(shí)間窗口、合理設(shè)定協(xié)調(diào)人員的介入時(shí)機(jī)等基礎(chǔ)上，對(duì)漏洞的協(xié)同披露做出及時(shí)的響應(yīng)。

　　2.1　達(dá)成統(tǒng)一的共識(shí)

　　所有參與披露各方，特別是供應(yīng)商，應(yīng)建立并公布可采取行動(dòng)的公開(kāi)漏洞系統(tǒng)披露策略及預(yù)期，包括披露的時(shí)間表和閾值。各方應(yīng)保持對(duì)等方和其他潛在利益相關(guān)者群體的危機(jī)意識(shí)。

　　供應(yīng)商應(yīng)預(yù)先建立上游和下游供應(yīng)商關(guān)系和溝通渠道，以了解潛在影響和統(tǒng)一的協(xié)同披露時(shí)間表。此外，還應(yīng)考慮跟蹤第三方組件的使用情況，以更好地開(kāi)發(fā)庫(kù)存并了解上下游間的依賴。

　　2.2　漏洞披露應(yīng)遵循的原則

　　漏洞披露前，各方的溝通應(yīng)遵循以下原則。

　　第一，參與披露的各方應(yīng)清楚、安全地溝通和協(xié)商預(yù)期和時(shí)間表。

　　第二，供應(yīng)商應(yīng)提供當(dāng)前可接受的聯(lián)系機(jī)制。

　　第三，參與披露的各方應(yīng)對(duì)每一次溝通進(jìn)行確認(rèn)。

　　第四，供應(yīng)商或協(xié)調(diào)人員應(yīng)與發(fā)現(xiàn)者保持頻繁溝通，包括狀態(tài)披露時(shí)間表的狀態(tài)更新和潛在影響。

　　第五，漏洞發(fā)現(xiàn)者應(yīng)提供清晰的文檔和工具，以支持漏洞驗(yàn)證。第五，漏洞發(fā)現(xiàn)者應(yīng)提供清晰的文檔和工具，以支持漏洞驗(yàn)證。

　　第六，供應(yīng)商應(yīng)明確記錄產(chǎn)品支持的時(shí)間表和限制。

　　第七，各方應(yīng)避免個(gè)別通信故障點(diǎn)。

　　在漏洞披露后，各參與方應(yīng)遵循以下原則。

　　第一，供應(yīng)商應(yīng)以人工和機(jī)器可讀格式提供與漏洞保護(hù)和緩解措施相關(guān)的明確建議和公告。

　　第二，除了通過(guò)通用電子郵件進(jìn)行溝通，供應(yīng)商還應(yīng)為上游和下游利益相關(guān)者確定專門(mén)的聯(lián)系方式。如果需要，供應(yīng)商應(yīng)利用協(xié)調(diào)人員進(jìn)行廣泛的溝通和協(xié)調(diào)。

　　第三，各方應(yīng)利用通用漏洞的跟蹤和聚合能力，如 NIST 國(guó)家脆弱性數(shù)據(jù)庫(kù)（NVD）和通用漏洞披露（CVE）。

　　第四，所有各方，特別是CVE 編號(hào)機(jī)構(gòu)（CNA），應(yīng)遵循適當(dāng)?shù)闹改蟻?lái)分配 CVE 編號(hào)和填充 CVE 條目。

　　第五，各方應(yīng)提供信息，幫助其他利益相關(guān)者評(píng)估與漏洞相關(guān)的嚴(yán)重性、優(yōu)先級(jí)和風(fēng)險(xiǎn)，如通用漏洞評(píng)分系統(tǒng)（CVSS）。

　　在對(duì)漏洞的披露做出響應(yīng)時(shí)，應(yīng)遵循以下原則。

　　第一，涉及的各方應(yīng)采取措施確保通信和處理敏感信息的安全。

　　第二，供應(yīng)商在安全許可發(fā)布之前必須對(duì)更新進(jìn)行嚴(yán)格測(cè)試。

　　第三，供應(yīng)商可以建立缺陷獎(jiǎng)勵(lì)計(jì)劃，信用或安全港，以在發(fā)布前主動(dòng)識(shí)別漏洞。

　　第四，各方應(yīng)盡可能避免事態(tài)升級(jí)。利益相關(guān)者應(yīng)鼓勵(lì)在相關(guān)法律框架內(nèi)進(jìn)行安全研究和協(xié)調(diào)披露。

　　2.3　盡量減少利益相關(guān)者的暴露

　　多方協(xié)同披露的目的是減少利益相關(guān)者暴露的時(shí)間窗口，為達(dá)到這一目標(biāo)，需要注意的事項(xiàng)如下。

　　第一，供應(yīng)商可以按照預(yù)先確定的時(shí)間表（例如，星期二修補(bǔ)）發(fā)布補(bǔ)丁。在可能的情況下，更新和補(bǔ)丁應(yīng)只包括安全設(shè)施，而不包括新功能或者非安全缺陷域。如可能，供應(yīng)商應(yīng)為用戶提供自動(dòng)更新流程，用戶應(yīng)啟用供應(yīng)商補(bǔ)丁自動(dòng)更新功能。

　　第二，供應(yīng)商應(yīng)意識(shí)到，修補(bǔ)措施的發(fā)布可能披露其他供應(yīng)商組件中存在的相同漏洞。

　　第三，供應(yīng)商可以提供任何可用的緩解措施或變通辦法來(lái)降低漏洞的影響，即使它們可能導(dǎo)致一些服務(wù)降級(jí)。

　　第四，利益相關(guān)者應(yīng)考慮部分的、初步的漏洞公開(kāi)披露。在缺乏明確證據(jù)證明事先公開(kāi)披露（包括積極利用）的情況下，利益相關(guān)者應(yīng)向供應(yīng)商提供合理的禁售期，以調(diào)查和開(kāi)發(fā)修補(bǔ)。

　　第五，下游供應(yīng)商應(yīng)考慮在上游供應(yīng)商推薦一個(gè)新版本后盡快更新其組件。

　　在漏洞披露的過(guò)程中，需要對(duì)早期披露迅速做出快速的反應(yīng)以最大限度地降低漏洞的影響范圍。在漏洞的早期披露時(shí)期，供應(yīng)商可分析情況并制定優(yōu)先補(bǔ)救時(shí)間表，應(yīng)向用戶提供關(guān)于漏洞信息及潛在的緩解措施。在可能的情況下，供應(yīng)商可以聯(lián)系漏洞發(fā)現(xiàn)者確定早期披露的范圍并實(shí)現(xiàn)損壞控制。

　　2.4　協(xié)調(diào)人員介入的時(shí)機(jī)

　　協(xié)調(diào)人員之間應(yīng)建立并保持聯(lián)系，以促進(jìn)披露工作的進(jìn)行。當(dāng)涉及多個(gè)協(xié)調(diào)人員時(shí)，為避免混亂，應(yīng)該有一個(gè)協(xié)調(diào)人員被選為負(fù)責(zé)人來(lái)主導(dǎo)協(xié)調(diào)工作。

　　協(xié)調(diào)人員可以幫助聯(lián)系研究人員、供應(yīng)商和其他利益相關(guān)者，當(dāng)涉及多方（供應(yīng)商）或無(wú)法聯(lián)系一方（供應(yīng)商）時(shí)，這一點(diǎn)尤為關(guān)鍵。此外，還可借助其他力量，為研究人員、供應(yīng)商和其他利益相關(guān)者提供額外的技術(shù)、影響和范圍分析，特別是在一些技術(shù)點(diǎn)存在分歧時(shí)。

　　3

　　不同場(chǎng)景下多方協(xié)同披露漏洞的流程

　　由于漏洞的披露通常偏離預(yù)期的或理想的過(guò)程，每個(gè)應(yīng)用場(chǎng)景示例中可能存在諸多特殊情形，指南對(duì)此也進(jìn)行詳細(xì)的闡述，包括產(chǎn)生的原因、如何響應(yīng)及預(yù)防措施等。

　　涉及多方的漏洞協(xié)同披露，根據(jù)受影響的用戶、披露的時(shí)機(jī)、公開(kāi)細(xì)節(jié)內(nèi)容的程度，包括不存在受影響的用戶、漏洞的協(xié)同披露、修復(fù)前公開(kāi)有限的漏洞信息、在供應(yīng)商發(fā)現(xiàn)前公開(kāi)信息或利用漏洞四種典型的應(yīng)用場(chǎng)景。

　　3.1　不存在受影響的用戶

　　沒(méi)有用戶的軟件或硬件漏洞是一個(gè)安全漏洞，不會(huì)以任何方式影響其他人，如圖 2 所示。這種情況的例子包括非生產(chǎn)性、實(shí)驗(yàn)性、內(nèi)部或個(gè)人使用、從未出版或出售或者正在開(kāi)發(fā)的產(chǎn)品。

　　圖片

　　圖 2　產(chǎn)品存在漏洞但不存在受影響的用戶

　　3.2　漏洞的多方協(xié)同披露流程

　　在協(xié)同披露過(guò)程中，以下利益相關(guān)者扮演某些角色：漏洞的發(fā)現(xiàn)者，使用標(biāo)準(zhǔn)漏洞報(bào)告渠道與供應(yīng)商聯(lián)系；供應(yīng)商，當(dāng)供應(yīng)商修補(bǔ)漏洞時(shí)，在適當(dāng)?shù)臅r(shí)間，與上游和下游供應(yīng)商進(jìn)行溝通，并根據(jù)需要發(fā)布公告；防御者，制定緩解措施或簽名，以檢測(cè)和保護(hù)用戶免受漏洞的影響，而不包含或暗示可能有助于潛在攻擊者的信息，同時(shí)要求供應(yīng)商提供相關(guān)測(cè)試用例，以檢測(cè)基于重現(xiàn)的高級(jí)威脅；用戶（user），盡快部署供應(yīng)商提供的補(bǔ)丁程序或緩解措施。

　　在漏洞信息未公開(kāi)的情況下，協(xié)同披露的一般流程如圖 3 所示。

　　圖片

　　圖 3　漏洞的協(xié)同披露時(shí)序圖

　　在漏洞的協(xié)同披露時(shí)，會(huì)存在上游供應(yīng)商之間無(wú)法聯(lián)系的情況，此種情況下需要協(xié)調(diào)人員的介入，介入后的披露過(guò)程如圖 4 所示。在這種情況下，協(xié)調(diào)人員稱為溝通的中心節(jié)點(diǎn)。

　　圖片

　　圖 4　上游供應(yīng)商之間無(wú)法通信

　　相對(duì)于漏洞信息的完全公開(kāi)，大多數(shù)情況下是發(fā)現(xiàn)者發(fā)布了一些關(guān)于該漏洞的信息，但沒(méi)有給出如何利用該漏洞的提示。作為全面公開(kāi)披露和私下協(xié)調(diào)披露之間的一種中間方式，發(fā)現(xiàn)者或供應(yīng)商可以發(fā)布一些關(guān)于漏洞的存在及其披露時(shí)間表的初步通知。所披露的信息可能包含易受攻擊的產(chǎn)品或組件的名稱、最壞情況的影響以及未來(lái)公告的鏈接，但不提供關(guān)于如何利用該漏洞的任何提示，例如源代碼更改或漏洞類型。這種情況在漏洞影響范圍較廣、保密性存在較大困難時(shí)比較常見(jiàn)。這種情況下的漏洞協(xié)同披露時(shí)序及用戶面臨的風(fēng)險(xiǎn)如圖 5所示。

　　圖片

　　圖 5　修復(fù)前的協(xié)同披露時(shí)序及用戶面臨的風(fēng)險(xiǎn)

　　當(dāng)在已部署的產(chǎn)品中發(fā)現(xiàn)漏洞時(shí)，發(fā)現(xiàn)者通過(guò)在互聯(lián)網(wǎng)上發(fā)布、郵件列表、學(xué)術(shù)論文或會(huì)議等方法，使任何人都可以獲得該漏洞的所有信息。披露的信息可能包括有缺陷的產(chǎn)品和版本、能夠觸發(fā)或證明漏洞的驗(yàn)證代碼，以及缺陷或攻擊方法的詳細(xì)解釋。在不等待開(kāi)發(fā)或部署修復(fù)或緩解措施的情況下進(jìn)行漏洞信息的公開(kāi)披露，被稱為“全面披露”或“零日”。這種情況下的漏洞協(xié)同披露時(shí)序及用戶面臨的風(fēng)險(xiǎn)如圖 6 所示。

　　圖片

　　圖 6　在供應(yīng)商發(fā)現(xiàn)前公布或利用漏洞

　　3.3　制定網(wǎng)絡(luò)軍控的發(fā)展路線

　　指南中對(duì)上面提到的不同場(chǎng)景的用例可能存在的情況進(jìn)行分析，主要是針對(duì)協(xié)同過(guò)程中可能出現(xiàn)的種種情況進(jìn)行列舉，并對(duì)每種情況下產(chǎn)生的原因、應(yīng)該如何進(jìn)行預(yù)防和響應(yīng)給出了詳細(xì)的解答。

　　產(chǎn)生的原因，從漏洞發(fā)現(xiàn)者的動(dòng)機(jī)、供應(yīng)商的響應(yīng)、用戶的敏感度等方面進(jìn)行了分析，歸納起來(lái)有以下幾點(diǎn)。

　　第一，漏洞發(fā)現(xiàn)者在修復(fù)之前便公布細(xì)節(jié)信息。

　　第二，   漏洞發(fā)現(xiàn)者為了某種利益直接公布信息，導(dǎo)致漏洞被利用，用戶面臨極大的風(fēng)險(xiǎn)。

　　第三，供應(yīng)商之間的溝通協(xié)調(diào)機(jī)制不通暢。

　　第四，供應(yīng)商或協(xié)同人員在漏洞修復(fù)前公布細(xì)節(jié)。

　　第五，供應(yīng)商對(duì)報(bào)告的漏洞未采取任何補(bǔ)救措施。

　　第六，供應(yīng)商未將漏洞信息通報(bào)給所有受影響的產(chǎn)品供應(yīng)商。

　　第七，用戶對(duì)漏洞修復(fù)信息不夠重視。

　　為了將用戶的風(fēng)險(xiǎn)降到最低，指南對(duì)上面提到的不同原因產(chǎn)生的場(chǎng)景如何預(yù)防做了詳細(xì)的指導(dǎo)，總結(jié)看有以下幾方面。

　　在產(chǎn)品生產(chǎn)的全周期內(nèi)進(jìn)行安全審計(jì)，一是確保不存在已公開(kāi)的漏洞，二是避免堆棧溢出、引用過(guò)界等明顯漏洞的出現(xiàn)。

　　加快供應(yīng)商的漏洞修復(fù)節(jié)奏，縮短漏洞利用的時(shí)間窗口。

　　自動(dòng)更新機(jī)制的引入，避免由于用戶薄弱的安全意識(shí)而帶來(lái)的風(fēng)險(xiǎn)。

　　產(chǎn)品供應(yīng)鏈上的供應(yīng)商應(yīng)建立完善、順暢的協(xié)同機(jī)制，使得漏洞的修復(fù)可以在最短的時(shí)間內(nèi)完成。

　　漏洞的修復(fù)應(yīng)盡可能擺脫對(duì)產(chǎn)品的依賴，降低修復(fù)的難度。

　　4

　　結(jié)　語(yǔ)

　　漏洞已對(duì)當(dāng)前的網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患，日趨復(fù)雜的產(chǎn)品供應(yīng)鏈為漏洞的修復(fù)帶來(lái)了巨大的挑戰(zhàn)，為最大限度地降低漏洞暴露的時(shí)間窗口，NTIA 和 FIRST 頒布了協(xié)同披露指南。指南中，對(duì)不同情形下的漏洞協(xié)同披露、如何預(yù)防以及回應(yīng)給出了詳細(xì)流程和應(yīng)對(duì)措施，為我國(guó)漏洞的管理組織給出了參考與借鑒。

　　圍繞降低漏洞暴露的時(shí)間窗口和“零日”漏洞的應(yīng)對(duì)，可以加強(qiáng)以下四方面的工作：

　　充分發(fā)揮國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的統(tǒng)籌作用。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心作為對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)安全事件的應(yīng)急響應(yīng)中心，可以統(tǒng)籌網(wǎng)絡(luò)安全廠商的先進(jìn)技術(shù)，對(duì)已有的漏洞進(jìn)行常態(tài)化的檢測(cè)預(yù)警，并設(shè)置相應(yīng)的修復(fù)機(jī)制，將用戶的風(fēng)險(xiǎn)盡可能地降低。

　　充分發(fā)揮我國(guó)國(guó)家漏洞庫(kù)的協(xié)調(diào)作用。國(guó)家漏洞庫(kù)是由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù)?？梢猿浞掷脟?guó)家平臺(tái)的優(yōu)勢(shì)，聚焦減少影響范圍，通過(guò)行政、技術(shù)雙重手段，發(fā)布漏洞的協(xié)同響應(yīng)機(jī)制，及時(shí)跟蹤處理國(guó)際平臺(tái)的最新漏洞披露信息，盡可能降低我國(guó)受影響產(chǎn)品暴露的時(shí)間窗口。

　　充分調(diào)動(dòng)國(guó)家網(wǎng)絡(luò)安全人才團(tuán)隊(duì)的技術(shù)力量。暢通地方網(wǎng)絡(luò)安全人才的技術(shù)支持渠道，充分利用地方網(wǎng)絡(luò)安全的強(qiáng)大技術(shù)實(shí)力，通過(guò)協(xié)同披露機(jī)制，協(xié)調(diào)服務(wù)提供商，對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)，將漏洞的暴露時(shí)間降到最低。

　　加強(qiáng)網(wǎng)絡(luò)行為審計(jì)工作。從前面的介紹中可以看出，“零日”漏洞的危害是最大的，需要加強(qiáng)網(wǎng)絡(luò)行為的審計(jì)工作，尤其是關(guān)鍵基礎(chǔ)設(shè)施，將行為審計(jì)作為常態(tài)化的工作。通過(guò)異常行為的發(fā)現(xiàn)，反溯、定位漏洞的位置及類型，及時(shí)修補(bǔ)。