专题·漏洞生态 | 统筹发展和安全 推进基础软硬件产品漏洞生态体系建设

文 | 中国信息安全测评中心 任望

当前，世界百年未有之大变局加速演进，地缘政治博弈在科技领域持续升温，基础软硬件作为数字经济的核心底座，其自主可控程度直接关系国家网络安全与发展主动权。我国正从“网络大国”向“网络强国”迈进，科技自立自强成为国家发展的战略支撑，而基础软硬件领域的自主创新，正是实现这一目标的关键环节。基础软硬件产品漏洞作为网络空间安全的“命门”，一旦被利用，就有可能引发关键基础设施瘫痪、核心数据泄露等重大风险。因此，构建自主可控的漏洞生态体系，不仅是保障自主创新顺利推进的必然要求，更是维护国家主权、安全、发展利益的战略举措。在此背景下，2025年，首批14家企业与国家信息安全漏洞库（CNNVD）共同成立基础软硬件产品漏洞生态联盟（以下简称“联盟”），为破解国产基础软硬件产品漏洞治理难题、筑牢网络安全屏障提供了重要支撑。

近年来，国家高度重视基础软硬件产业发展，先后出台了《中华人民共和国网络安全法》《“十四五”数字经济发展规划》等法律法规和政策文件，为产业发展保驾护航。随着政策红利持续释放，我国国产基础软硬件产业已从“单点突破”进入“体系化发展”阶段，国产芯片设计水平不断提升，自主操作系统市场占有率逐步提高，数据库、中间件等基础软件在政务、金融、能源等关键领域实现规模化应用。

但与此同时，国产基础软硬件产品漏洞治理短板逐渐凸显。一方面，国产产品在快速迭代过程中，部分产品存在安全设计不足、漏洞检测能力薄弱等问题；另一方面，漏洞库对国产软硬件漏洞的收录与披露存在滞后性，且国际漏洞合作机制稳定性不足，导致我国在漏洞信息获取、风险预警等方面面临被动局面。联盟的成立，正是为了整合政府、企业、高校、科研机构等多方资源，填补了国产基础软硬件产品漏洞协同治理的空白，形成“上下联动、左右协同、内外贯通”的治理格局，为自主创新提供安全保障，助力网络强国、数字中国建设。

联盟以“统筹发展和安全”为核心，聚焦国产基础软硬件产品漏洞治理痛点，重点围绕“五个一”开展工作体系与能力建设，推动漏洞治理从“被动应对”向“主动防控”转变。

（一）打造一个资源共享的枢纽，让漏洞治理“更全面、更高效”

能否及时发现和消除漏洞，关键在于能否高效共享信息、整合资源。联盟将以CNNVD为依托，联合国内基础软硬件企业、安全企业、科研机构，共同搭建一个覆盖“基础软件+硬件”的漏洞共享消控平台。这一平台将具备以下三大核心功能。

一是漏洞信息实时汇聚。平台将整合来自CNNVD、企业漏洞平台及高校科研实验室等多渠道漏洞信息，实现信息的自动采集、分类和标注。系统可同步接入企业产品测试发现、科研机构技术研究、安全团队实战演练捕获等各类漏洞数据源，形成“全量覆盖、实时更新”的国家级漏洞信息库。

二是漏洞风险智能评估。平台将引入人工智能、大数据等先进技术，建立多维度的漏洞风险评估模型，从漏洞危害程度、影响范围、利用难度、修复优先级等方面，对漏洞进行自动化评估，为不同行业、不同类型的用户提供精准的风险预警，帮助用户快速掌握漏洞对自身系统的影响，避免“无差别防御”或“过度防御”。

三是漏洞消控协同推进。平台将构建“漏洞发现—风险预警—补丁研发—修复推送—效果验证”全流程闭环机制。当漏洞信息录入平台后，系统将自动匹配相关的软硬件厂商、安全企业，推动厂商快速研发修复补丁，安全企业提供漏洞检测工具。同时，平台将向受影响的用户推送漏洞预警和修复指南，指导用户及时开展漏洞修复。修复完成后，平台还将通过定向检测、用户反馈等方式验证修复效果，确保漏洞真正被“清零”。通过这一平台，将打破漏洞信息“孤岛”，让漏洞从发现到消控的每一个环节都更加高效、透明，最大限度地减少漏洞被利用的风险。

（二）打造一个协同创新的链条，让漏洞技术“拧成绳、聚成力”

基础软硬件产品漏洞研究是一项技术密集型工作，需要强大的技术支撑和资源保障。当前，我国在漏洞研究领域存在“资源分散、重复建设、协同不足”的问题，部分企业虽拥有先进的测试设备，但缺乏专业的研究人才；高校科研机构虽拥有顶尖的技术团队，但缺乏真实的产业场景和充足的资金支持；基础软硬件产业与网络安全产业之间、不同基础软硬件企业之间也存在技术壁垒和资源壁垒，难以形成合力。联盟将依托产业力量优势，打破这些壁垒，构建一条“产学研用”深度融合的协同创新链条。

一是共建共享漏洞验证与测试环境。联盟将联合国内头部软硬件厂商、安全企业和科研机构，共同搭建覆盖主流国产基础软硬件产品的漏洞验证与测试环境，为漏洞研究提供真实、全面、可复现的测试场景。高校科研团队与企业均可通过联盟申请使用该环境，以开展漏洞技术研究、验证与补丁测试，从而避免重复建设，降低研发成本。

二是打通三大资源通道。第一，打通基础软硬件产业与网安产业的资源通道。推动基础软硬件企业向网安企业开放产品技术文档、测试接口，让网安企业更深入地了解国产软硬件的技术架构，研发更贴合国产产品的漏洞检测工具和防护方案；同时，网安企业将漏洞检测数据、攻击趋势反馈给基础软硬件企业，帮助基础软硬件企业在产品设计阶段就融入安全理念，提升产品的原生安全能力。第二，打通基础软硬件产业与研究机构的资源通道。支持研究机构与基础软硬件企业联合设立“漏洞研究实验室”，围绕国产软硬件的核心技术难点开展攻关，比如芯片固件漏洞、操作系统内核漏洞、数据库权限控制漏洞等，推动科研成果快速转化为产品竞争力。第三，打通基础软硬件产业彼此之间的资源通道。建立基础软硬件企业之间的技术交流机制，鼓励企业共享漏洞修复经验、安全防护方案，共同应对共性的安全挑战，形成“聚沙成塔、握指成拳”的协同创新格局。

通过这一协同创新链条，使分散在各个领域的技术、数据和人才资源形成漏洞研究合力，助力我国基础软硬件产品漏洞技术研究从“跟跑”向“并跑”乃至“领跑”转变。

（三）打造一个人才选育的纽带，让漏洞工作“育良才、选优才”

人才是网络安全事业发展的核心驱动力，而基础软硬件产品漏洞研究领域更是需要既懂底层技术、又懂安全攻防的复合型人才。当前，我国网络安全人才缺口巨大，尤其是在基础软硬件产品漏洞研究领域，高端人才更是“一才难求”，高校培养的人才往往缺乏实战经验，难以快速适应产业需求；企业一线的安全专家虽然实战能力强，但系统的理论知识储备不足，在技术创新方面存在短板。联盟将联合高校、科研机构和企业，构建一个“育才、选才、用才”的良性循环机制，为我国网络安全事业培养更多高素质人才。

在“育才”方面，联盟将推动高校优化网络安全相关专业课程设置，增设基础软硬件产品漏洞分析、国产操作系统安全、芯片安全测试等贴合产业需求的课程，同时邀请企业一线的安全专家、科研机构的学者担任高校兼职导师，将产业实践案例、前沿技术带入课堂，实现理论教学与产业实践的深度融合。此外，联盟还将依托漏洞验证与测试环境，为高校学生提供靶场实训机会，学生可在模拟真实的场景中开展漏洞挖掘、漏洞利用、补丁研发等实战训练，从而有效提升动手操作能力和解决复杂实际问题的能力。

在“选才”方面，联盟将重点依托“长城杯”等主流赛事，围绕国产基础软硬件产品漏洞研究，吸引高校学生、企业安全人员、白帽黑客等广泛参与。竞赛不仅将为参赛者提供展示才华的平台，还将建立“竞赛成绩与人才评价”的挂钩机制，将成绩优秀者推荐给联盟成员企业和科研机构，为人才与用人单位搭建“互通平台”。

在“用才”方面，联盟将推动高校、科研机构和企业建立人才流动机制。一方面，鼓励企业选派优秀的安全专家到高校担任实践导师，同时推荐优秀高校教师到企业充分了解产业、产品和市场，促进“校企人才双向流动”；另一方面，支持科研机构与企业联合开展科研项目，让高校学生、科研人员深度参与企业的漏洞研究工作，在实践中提升能力，同时为企业解决实际技术难题。通过这一机制，打破“高校育才与企业用才”之间的壁垒，以此实现“人尽其才、才尽其用”，为我国基础软硬件产品漏洞治理筑牢人才根基。

（四）打造一个生态治理的体系，让漏洞资源“管得住、用得好”

基础软硬件产品漏洞既是“风险点”，也是“创新点”。规范有序的漏洞治理不仅能防范安全风险，还能推动技术创新和产业发展；而野蛮无序的漏洞流转可能导致漏洞被黑灰产利用，甚至引发国家安全风险。联盟将以国家漏洞管理相关法规、政策、制度为依据，构建一个“科学规范、透明有序”的国产基础软硬件产品漏洞治理体系。

一是完善漏洞管理规范。联盟将组织行业专家、企业代表、法律人士，共同制定《国产基础软硬件漏洞披露指南》《漏洞资源管理办法》《漏洞黑灰产打击规范》等一系列行业标准和规范，明确漏洞发现者、漏洞所属企业、漏洞平台等各方的权利和义务，规定漏洞发现者应在合理期限内将漏洞信息告知漏洞所属企业，不得擅自向第三方泄露；漏洞所属企业应在规定时间内开展漏洞修复，并及时向用户推送修复方案；漏洞平台应严格审核漏洞信息，确保信息的真实性和时效性。通过这些规范，让漏洞治理工作有章可循、有规可依。

二是建立激励机制。联盟将设立“国产基础软硬件产品漏洞研究杰出贡献奖”“漏洞修复先进单位奖”“漏洞治理优秀个人奖”等多个奖项，对在漏洞研究、漏洞修复、漏洞治理等工作中表现突出的单位和个人进行表彰和奖励。同时，为科研人员提供学术交流和成果展示的平台，引导鼓励更多有技术能力的研究者投身于国产基础软硬件产品漏洞研究事业中。

三是倡导漏洞资源负责任披露和有序消控。联盟将建立漏洞资源科学研判和消控机制，对涉及国家关键信息基础设施、核心技术的漏洞资源进行统筹分析、披露和预警消控。同时，联盟将对漏洞研究成果的发布进行规范和促进，引导科研人员在参与国际学术交流时，既赋能全球漏洞研究能力提升，又符合国际规则，避免漏洞流入黑灰产和非法应用到网络武器中。

（五）打造一个国际合作的典范，让中国方案“利长远、惠全球”

在全球化背景下，网络安全没有“孤岛”，基础软硬件产品漏洞治理需要国际社会的共同参与。联盟将以CNNVD为依托，联合国内领先企业积极开展国际交流与合作，向世界展示中国在漏洞治理领域的责任与担当，提升我国基础软硬件产业的国际声誉，树立大国形象，打造强国品牌。

一是及时披露基础软硬件产品漏洞信息。联盟将建立“中国基础软硬件产品漏洞国际披露平台”，将按照国际通用标准，及时向全球公开披露，包括漏洞的技术描述、影响范围、修复建议等，帮助全球用户共同防范漏洞风险。同时，联盟也欢迎国际基础软硬件企业积极参与和加入，共建标准、共同研究、互通资源、共享发展成果。

二是积极参与国际网络安全规则制定。联盟将组织国内外专家、企业代表参与联合国、国际电信联盟（ITU）、国际标准化组织（ISO）等国际组织开展的网络安全规则和技术标准制定工作，倡导多方协同和互利互惠的漏洞治理基本原则，推行国际社会广泛认可的漏洞负责任披露准则，为构建全球网络空间命运共同体贡献中国智慧和中国方案。

三是组织开展国际技术交流与合作。联盟将举办全球基础软硬件产品漏洞治理论坛，邀请全球知名的安全企业、科研机构、国际组织代表参会，围绕漏洞技术研究、漏洞治理经验、网络安全合作等主题开展深入交流；同时，联盟将支持国内企业、科研机构与国际同行开展联合研究，共同应对全球共性的漏洞安全挑战，针对人工智能、物联网、区块链等新兴技术领域的漏洞研究，推动形成“互利共赢、共同发展”的国际合作新格局。

网络安全之路，道阻且长，但行则将至；漏洞治理之业，独行虽快，但众行更远。联盟的成立不仅是一个新的起点，更是一份沉甸甸的责任。我们将以联盟为平台，携手构建自主可控的基础软硬件产品漏洞治理体系，坚定不移贯彻总体国家安全观，以科技自立自强守护国家网络安全，以协同创新推动数字经济发展，为网络强国建设和中华民族伟大复兴保驾护航。

（本文刊登于《中国信息安全》杂志2025年第11期）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号