• 公司产品
  • 工控安全类
  • 安全实验室类
  • 安全监管类
  • 检测防御类
  • 安全评估类

您的位置: 首页  >  动态资讯  >  行业资讯

02-15   ———
发现网络安全漏洞是否应该披露?
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。

网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。


国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。


一、网络安全漏洞披露的概念与类型


1、概念


漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。


漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第26条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。


2、类型


网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。


不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。


完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客也能够轻松的开发和编写漏洞。


负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。


二、我国网络安全漏洞披露规则体系设计


1、我国网络安全漏洞披露立法现状


我国现有立法对网络安全漏洞披露的规定散见在《刑法》《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》等法律法规中。《刑法》第285 条和第286 条规定了未经授权访问计算机信息系统的刑事责任。学界普遍认为,恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类行为加以入罪化处置。


《关键信息基础设施安全保护条例(征求意见稿)》第16条进一步提出,“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”,第35条规定“面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求”,同时授权国家网信部门会同国务院有关部门制定相关规定。


《网络安全法》第22条规定了产品和服务提供者对自身漏洞的告知和报告义务,第26条对第三方未经授权发布他人系统漏洞行为进行了初步规定,第51条强调由国家统一发布网络安全监测预警信息。


2、网络安全披露规则的体系设计构想


本文建议,借鉴美国网络安全漏洞披露规则在内的设计和论证经验,结合我国执法的实践和特点,围绕安全漏洞披露主体、披露对象、披露程序和披露的责任豁免进行网络安全漏洞披露规则体系的设计。


(1)网络安全漏洞披露的主体


本文认为,安全漏洞合法披露主体包括以下几类:


厂商。即《网络安全法》中的产品和服务提供者。厂商是最初始意义上的安全漏洞发现者和最无争议的安全漏洞披露主体。


政府机构。政府机构作为合法漏洞披露主体,可包括两个层次:第一,国家级安全漏洞披露平台。第二,安全漏洞披露协调和决策机构。


网络安全服务机构。第三方漏洞披露平台应以成为专业的网络安全服务机构为发展方向,成为符合法律要求的责任主体。


(2)网络安全漏洞披露的对象


网络安全漏洞披露应当有具体的披露对象,具体包括两类:第一,网络安全产品和服务的用户。第二,政府机构。本文认为,政府机构不仅构成监测预警信息的重要组成部分,也可成为我国安全漏洞披露协调和决策机制工作的重要信息来源。


(3)网络安全漏洞披露的方式


《网络安全法》第22条、26条和51条提出了我国安全漏洞规制的四项基本要求,即告知、报告、发布和通报。本文认为,告知、报告、发布和通报构成了我国安全漏洞披露的四种基本方式,可对其规定内涵和具体实施进一步细化。


第一,《网络安全法》第22条规定的“告知”行为对象是用户,指网络产品、服务的提供者基于产品、服务的漏洞“缺陷”向用户承担的初始义务和追责依据。“告知”行为内容包括说明某个产品或服务存在安全漏洞这一事实、漏洞缺陷可能造成的后果及用户可以采取的降低风险的措施、补丁修复或者找到其他解决办法之后的事后信息等。值得注意的是,这里的用户对象应基于不同利益进行优先性划分,考量涉及国家秘密、关键信息基础设施等不同对象确定告知的范围与次序。


第二,《网络安全法》第22条规定的“报告”,明确和完整表述为“向有关主管部门报告”,根据网安法第8条的规定,目前我国形成了网信、工信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局,此处的“有关主管部门”也包括网信部门、工信部门和公安部门等。“报告”具有向主管部门提交的自下而上性质,报告的形式和内容上应包括对漏洞发现(含检测验证)的报告、漏洞网络安全风险的监测评估报告、漏洞引发的网络安全事件的处置/应急报告等。同样,应充分考虑与平衡向主管部门报告、向用户告知以及向社会发布三者的范围与次序。


第三,《网络安全法》第26条规定的“发布”,具有向社会不特定人公开的特性。此概念对应于传统漏洞披露的“完全披露”类型,向社会发布会引发不可逆的各种可能,一旦发布,将对“告知”与“报告”产生直接影响。因此,《网络安全法》要求无论网络产品、服务提供者,或网络安全服务机构“向社会发布”,均“应当遵守国家有关规定”,强调对前置程序的规范审核。


第四,《网络安全法》第51条规定的“通报”,具有网络安全信息共享的特性。其启动主体、指向对象都会因共享要素考虑的充分性、完备性与否而具有不同体现。


(4)网络安全漏洞披露的责任豁免规定


网络安全漏洞披露规则的设计应充分考虑漏洞发现者、用户、厂商、政府机构等相关主体的利益平衡,并以保障用户合法权益、社会公共安全、关键信息基础设施安全乃至国家安全为最终目的。总结美国CISA的规定可以看出,合法披露是安全漏洞披露的首要原则,其必要前提是目的合法和行为授权。我国安全漏洞披露同样应该限定在目的合法和行为授权的框架内。


安全漏洞披露的责任豁免是指在形式上符合漏洞披露禁止规定的行为,由于符合免除责任的规定而从安全漏洞披露规定的适用中排除,以豁免的形式授予相关主体和行为的合法性。安全漏洞责任豁免规定具有维护网络安全、推动网络安全产业的创新、实现多方利益平衡的重要价值。


安全漏洞披露的责任豁免主要包括两种情形:一是对披露主体的安全研究人员(如“白帽子”等)善意披露安全漏洞行为给予的责任免除规定。美国“惠普起诉SnoSoft 公司研究者”和“Tornado起诉员工Bret McDanel”案均表明,无论是厂商还是法院都开始注重安全研究人员的善意动机,即使厂商出于自身发展利益考虑,也无法否认安全研究人员对网络安全的正面影响。二是针对特定行为,视为授权或授权追认的责任免除规定。如美国国防部2016年11月发布的《安全漏洞披露政策》明确规定,“安全研究以及漏洞发现行为充分符合政策中的限制与指导规定,国防部不会发起或者支持任何指向的执法及民事诉讼活动,且如果除国防部之外的某方进行执法或者民事诉讼,国防部方面将采取措施以证明行为拥有依据且并不与政策相违背”。


以第一种豁免情形为例,《网络安全法》中未直接明确安全漏洞善意披露行为的责任豁免规定。本文认为,我国现阶段的安全漏洞披露立法仍处于探索阶段,如安全漏洞披露豁免缺乏针对性,将导致法律适用时的不明确,造成豁免规定滥用,产生与不规范披露或非法披露同样的安全风险,因此安全漏洞披露豁免规定应该审慎论证和制定,在立法和技术时机成熟时,可以考虑通过《网络安全法》配套制度设定安全研究人员(如“白帽子”等)安全漏洞善意披露的责任豁免规定。在具体确定豁免条件时,必须基于技术可控的整体判断,合理限制善意披露的界限,避免矫枉过正扩大适用范围,如至少应综合考虑安全研究人员的背景、所披露漏洞的危害级别、给厂商和用户带来的实际负面影响等因素。


三、结语


网络安全漏洞披露之上集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或“白帽子”等多方利益相关者及其协调关系,所有利益相关者均应肩负起应有的法律责任,共同推动网络社会的有序运行。


本文建议,借鉴美国网络安全漏洞披露规则设计及其实践经验,以协同披露为导向,完善我国《网络安全法》框架下的产品和服务提供者、第三方漏洞披露平台和政府机构的职责设置,围绕安全漏洞披露主体、披露对象、披露方式和披露的责任豁免规定进行网络安全漏洞披露规则体系的论证与设计。