赵精武:网络安全漏洞挖掘的法律规制研究 | 法宝专题
【作者】赵精武(1992-),男,河北黄骅人,北京航空航天大学法学院网络信息安全方向博士生(计算机学院联合培养),从事网络安全法,民商法研究。
【来源】北大法宝法学期刊库《暨南学报(哲学社会科学版)》2017年第5期,因篇幅较长,已将原文注释去掉,建议登录北大法宝法学期刊库阅读原文。
【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除
内容提要:网络安全漏洞的挖掘、披露、交易、修复日益成为各国网络安全治理的中心议题。“袁炜案”直接表明了我国现行法对网络安全漏洞挖掘行为的否定性态度,《刑法》第二百八十五条前两款对善意黑客的漏洞挖掘行为构成了不当限制,应当通过《网络安全法》第二十六条对其在漏洞挖掘领域的适用进行严格的限缩解释,并围绕《网络安全法》从立法论的角度重塑漏洞管理机制。在充分考虑网络安全漏洞自身动态性、复杂性、开放性的基础上,从国家安全的高度把握漏洞挖掘治理,健全漏洞挖掘立法体系;完善漏洞库并配套漏洞评级机制;明确公私合作框架,对挖掘主体进行备案;在遵循现有实践的基础上对挖掘行为分级授权,并进一步强化漏洞的跨境流动应对。
关键词: 网络安全漏洞;善意黑客;漏洞挖掘规制;挖掘主体备案
一、问题的提出
(一)网络安全漏洞挖掘关乎国家安全
互联网正在逐渐摆脱其最初的工具、渠道、平台属性,逐渐转变为异常复杂的网络空间。按照搜索引擎爬虫是否可以检索或通过超链接的形式访问,互联网分为表网(Surface Web)和暗网(Dark Web)两层,作为互联网“蛮荒地带”的暗网中充斥着大量待价而沽的高风险网络安全漏洞, 一些著名网络安全公司雇员甚至沦为“数据掮客”,以贩卖高风险漏洞给其他国家和极端组织作为营利手段。网络安全漏洞利用已经成为国家间网络安全攻击行为的暗战场。 在此背景下,“瓦森纳协定” 将漏洞视为一种“潜在武器”进行监管,其规定:“参与国不得随意进出口利用漏洞设计规避政府系统监测以及修改系统或用户信息的软件。”要知道,一个高风险的漏洞足以对国家安全造成毁灭性打击,典型的案例如 2003年微软公布的冲击波病毒;2010年伊朗核电站所遭遇的“震网”(Stuxnet)病毒袭击;2012年微软曝出的 0Day漏洞已经被黑客利用并实施恶意挂马攻击。
所谓网络安全是指“保护信息和信息系统不受未经授权的访问、使用、披露、破坏、修改或者销毁”,以确保信息的完整性、保密性和可用性。 网络安全包含信息系统权限获取和数据泄露两个层面,事实上,这主要来自于网络安全漏洞的发现与利用,不同类型的漏洞获取,意味着不同等级的系统控制权取得和风险数据攫取。以管窥豹,网络安全漏洞治理在网络安全保护中居于牵一发而动全身的核心地位,贯穿了国家、社会、个人多个层次法律利益,其泄露势必对国家安全、公共安全及社会稳定造成极大的破坏和挑战。因此,无论是出于对关键基础设施保护的目的,还是国家安全战略的需求,网络安全漏洞治理必将是各国网络安全治理与立法的核心命题。
(二)网络安全漏洞的概念分析
网络安全漏洞(Computer vulnerability)指的是存在于计算机网络系统中、可能对系统组成部分和数据造成损害的一切因素,其存在于硬件、软件、协议的具体实现或系统安全策略多个维度。当前学术界、产业界并未对其概念达成共识,学界多有从系统安全、主体安全、物理缺陷的角度分析漏洞的属性,笔者认为,网络安全漏洞本质是通过软件或者系统的逻辑缺陷所导致的错误,从而可以使攻击者在未经授权的情形下访问或者破坏,网络安全漏洞应以软件漏洞的防范为核心,网络安全漏洞不同于病毒,以“震网”(Stuxnet)病毒为例,每一次网络安全漏洞的发现就意味着被病毒恶意攻击的可能,可以说,网络安全漏洞的发现是计算机病毒入侵的直接原因,计算机病毒的传播和复制往往以网络安全漏洞存在为前提,二者存在时间节点上的差异。
作为网络安全治理核心命题的网络安全漏洞具有内生动态性、聚焦性、潜伏性的特点。当前漏洞的威胁阶段不断提前,从应用污染、系统污染逐渐向作为源头的供应链污染转移(如Xcode Ghost污染事件)。网络漏洞安全也在伴随着网络安全发展不断迭代升级,现在已经并非囿于技术条件限制和系统缺陷的软件或者系统的逻辑错误,随着云计算、物联网、移动互联网技术的风起云涌,开始呈现多种新型错误类型,已经逐渐形成了逻辑错误、环境错误、配置错误的多元发展模式,今后还要不断应对频发的新型漏洞问题。从利用方式上来看,其具有动态性、潜伏性的特点。网络安全漏洞正在从静态的被动攻击向主动攻击转化,从传统的网络钓鱼,拒绝服务攻击(DDOS)使得目标瘫痪转变为高风险持续性攻击(Advanced Persistent Threat),大量的高风险漏洞不易发现,具有潜伏性的特点,微软打印机和文档打印漏洞 Windows Print Spooler潜伏长达二十年之久。
(三)我国现行法对网络安全漏洞挖掘的否定性态度——以袁炜案为例
网络安全漏洞主要通过渗透测试的方式获取,1980年美国密执安大学的 B.Hebbard小组第一次采用“渗透分析”(Penetration Analysis)方式,运用漏洞检测软件成功发现了系统程序中的大量逻辑错误漏洞。
当前世界范围内,漏洞挖掘以黑客群体为主,黑客分为善意黑客(Certified Ethical Hacker)和恶意黑客。善意黑客又被称为“白帽子”,指识别计算机系统或者应用安全漏洞的网络安全技术人员。其由来自社会不同背景的黑客技术网络安全精英组成。“白帽子”采取渗透技术手段和黑客攻击方法寻找系统中存在的漏洞,在发现漏洞后向平台和被测主体反馈并发布,敦促被测主体尽快修补漏洞,维护网络安全。“白帽子”群体正在逐渐成为我国网络安全漏洞挖掘的主力军,据《2016年中国互联网安全报告》,民间“白帽子”黑客的组织所挖掘的漏洞比高达45%。
通过“白帽子”袁炜挖掘漏洞被抓、乌云平台被关闭可窥知,我国现行法对漏洞规制尤其是作为关键环节的漏洞挖掘持否定性评价,对民间善意黑客(白帽子)自发组织的漏洞挖掘行为呈现出一种重刑主义的倾向,这一事件引发了激烈的讨论,“白帽子”挖掘安全漏洞的法律界限在哪里,如何免责?
袁炜是乌云漏洞平台的一名“白帽子”,2015年 12月 3日,其通过 SQLmap软件对世纪佳缘网站缓存区溢出安全漏洞进行扫描检测,发现该网站存在造成数据泄露的高危漏洞。袁炜检测确认后,将此网络安全漏洞通过乌云平台提交给世纪佳缘网站。世纪佳缘网站在进行了确认、修复漏洞后,依循惯例向漏洞提交者致谢并给付了一定报酬。 不久后,世纪佳缘网站向北京市公安局朝阳分局报案称其大量数据被窃取,据查花千树公司运营的世纪佳缘网站收到11个同一IP地址的SQL注入攻击,持续时间长达8小时40分钟,932条实名注册信息被窃取。2016年 3月,袁炜因涉嫌“非法获取计算机信息系统数据罪”,被北京市公安局朝阳分局依法逮捕。
双方各执一词,公安部门认为,袁炜进行测试所使用的 SQLmap软件属于黑客软件,袁炜所涉嫌的“非法获取计算机信息系统数据罪”指违反国家规定侵入国家事务国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重,本案属于情节犯,本罪的犯罪构成的认定标准为“获取身份认证信息 500组以上”,袁炜获取的 932条信息显然已经远远超过了500组。
在本案中,11个IP是否包含932条身份信息有赖于司法鉴定部门进一步确认。根据技术中立理念,SQLmap属于常用的漏洞测试软件,其本质为自动化软件,一经设定,该软件将自动重复进行注入行为,自动化软件进行攻防测试是否可以成为入罪理由暂且不论,本案中最为核心的是,袁炜并未试图隐去测试的IP地址,而是以该地址持续进行SQL注入测试,在测试后主动将该漏洞报告给世纪佳缘网,毫无疑问表明了袁炜的善意测试目的,这样一种并无社会危害性的行为直接入刑是否妥当值得深思。
二、网络安全漏洞挖掘的规制路径反思
(一)对既有挖掘规范的适用分析
我国《网络安全法》对漏洞问题的专门配套立法尚付阙如,当前我国漏洞挖掘的法律规制体系不健全,从表面来看已经形成了以《治安管理处罚法》与《刑法》为核心的二元制裁体系,但事实上仅有《网络安全法》
《国家安全法》《刑法》《治安管理处罚法》寥寥数个条文而已,体系零散,且对作为漏洞治理核心的漏洞挖掘行为规制的操作性不强,实践中多通过《刑法》第二百八十五条适用加以规制。
我国《刑法》第二百八十五条与《刑法》第二百八十六条分别规定破坏计算机信息系统罪和拒不履行信息网络管理义务罪两款罪名,“白帽子”袁炜不同于传统黑客,传统黑客往往会基于其特殊的打击目的对计算机系统及内容进行修改和破坏,“白帽子”多以检测并获取漏洞为目标,一般不会对计算机系统造成致命打击,因此其行为多不涉及第二百八十六条。所以可以将视野聚焦,对善意漏洞挖掘行为直接相关刑事法律规定为《刑法》第二百八十五条前两款。
事实上,我国对于漏洞挖掘的规制有一个变化过程。 1994年颁布了公安部牵头制定的《计算机信息系统安全保护条例》,笼统概括了对信息系统安全破坏的行政责任,责任较为轻微,侵害对象主要集中在与国家或者事业单位密切相关的计算机信息系统安全(第七条上)。
在吸收该条例思想的基础上,1997年颁布并实施的《刑法》第二百八十五条规定了非法侵入计算机信息系统罪。经过司法实践的检验与助推证明,该罪的保护对象和范围显得过于狭窄,明显与社会发展要求和计算机应用现状不相适应,且不利于有效遏制和惩处计算机犯罪。2009年2月28日,全国人大常委会发布的《刑法修正案(七)》对该条规定作出了必要修正,分别将侵入特定计算机信息系统以外的计算机信息系统“采用或者其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为”,以及“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为”,作为该条的第二款、第三款规定一并入罪,从而扩大了《刑法》的保护对象和范围。2012年《治安管理处罚法》对侵入计算机系统行为加以明确。至此,我国漏洞挖掘规制二元格局正式形成。
其中第一款为非法侵入计算机信息系统罪:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”本款表述意味着一旦侵入国家系统,无论是否具有主观恶意,直接认定构成本罪,本条行为犯的立场进一步强化了对国家关键基础设施的强保护理念。第二款为非法获取计算机信息系统数据罪和非法控制计算机信息系统罪置于一条进行规定,旨在表明对非国家系统的保护立场。
表面上来看,对《刑法》第二百八十五条,第二百八十六条的适用逻辑非常清晰,但司法实践中的态度却令人匪夷所思,笔者在检索裁判文书网后分析了自2008-2016年383个相关案例后发现,绝大部分黑客专门利用网络安全漏洞从事系统破坏行为,司法实践多直接适用《刑法》第二百八十六条加以规制,但部分黑客仅将漏洞利用行为作为其他犯罪的手段行为,触犯《刑法》第二百八十五条第一二款的同时触犯其他罪名,多构成择一重罪处罚的牵连犯。这导致了在漏洞利用规制问题上,直接适用第二百八十五条的案例数量相对较少,吊诡的是,《刑法》第二百八十五条在规制类似袁炜一样的善意漏洞挖掘行为却无任何法律障碍。易言之,本条变为了针对善意漏洞挖掘行为的口袋罪。
《刑法》第二百八十五条第二款的两款罪名不同于第一款的行为犯,需要侵入计算机系统并获得数据或者控制计算机系统两个行为,并且要达到情节严重,方可构成本罪,对于情节严重的判断标准主要依据2011年出台的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的司法解释加以明确。
经过前文对袁炜案的评析,可以考虑将问题聚焦:一个没有社会危害性的漏洞挖掘行为通过《刑法》第二百八十五条第二款进行规制是否具有合理性?笔者认为,当前我国与漏洞挖掘相关的法律规范太过强调事后救济,多以禁止性规定为中心,将情节和后果作为认定犯罪的依据,并不考虑袁炜漏洞挖掘行为人的社会危害性,这显然并不符合《刑法》的谦抑性特点。需要在考虑漏洞挖掘特殊目的的基础之上,对白帽子的身份属性、漏洞挖掘行为的边界加以明确。
(二)漏洞挖掘行为规制的域外经验
他山之石,可以攻玉,域外多采用“合同授权,法律保障”的模式对“白帽子”的挖掘行为进行治理。欧盟对“白帽子”漏洞挖掘行为同样表示支持和肯定,2013年通过《欧盟议会和理事会第 40号指令》规定,认为“白帽子”对于网络攻击以及与此相关的信息系统所造成的威胁和风险进行识别和报告的行为非常有助于有效应对网络攻击并提高信息系统安全。
与我国对“漏洞挖掘行为”一刀切的立法模式不同,域外国家多采用公私合作框架模式,漏洞挖掘平台与被测试系统软件所有者的互联网公司之间签订合同,较为细致地就挖掘方法、目标、漏洞报告进行授权。与此同时,采用法律许可的方式对白帽子的漏洞挖掘行为予以规范,比较典型的例子是Heacker one平台与美国国防部合作发起的“Hack the Pentagon”漏洞奖励计划。 事实上,美国绝大部分互联网公司均在Heacker one 平台注册,授权“白帽子”对其公司的安全系统进行渗透测试。相应地,配套立法对这样的挖掘渗透行为予以明确,赋予”白帽子”黑客漏洞挖掘权限,豁免”白帽子”的善意挖掘行为,将漏洞挖掘人造成破坏的社会危害性纳入是否入罪的判断标准。
美国于20世纪70年代中期就启动了PA(Protection Analysis Project)专门针对计算机操作系统的安全漏洞及脆弱性进行研究及RISOS(Research in Security Operating System)计划。 近些年,美国部署了国家网络空间安全保护系统(The National Cyber security Protection System,简称NCPS,俗称“爱因斯坦计划”),旨在完善网络安全漏洞检测、入侵检测、入侵防御和安全信息共享。
2015年修订的美国《计算机欺诈和滥用法》第 1030条规定,与计算机有关的欺诈及类似威胁活动包含的若干情形均以故意、违法和超出授权为核心。同年美国最新通过的《网络安全信息共享法案》,在 “网络安全威胁指标”项下明确了网络安全漏洞的类型、利用方法以及诱导信息系统合法用户在不知情的情况下造成安全控制或者系统被利用的情形。
美国1998年的《数字千禧年版权法案》,第1201条第j项将安全测试规定为允许行为人绕过计算机系统访问控制的例外情形,规定了以善意研究为目的的责任豁免情形。 行为人的善意测试行为可免责,这对于我国漏洞法律体系的完善具有非常重要的借鉴意义。
2012年《网络安全法案》,更为详细地介绍了网络安全威胁合法披露的情形。第 701条规定,在获得第三方授权的情况下,私人主体可以对其信息系统或者信息系统的储存、处理和传输的信息进行监视,或者施加反制措施以保护该系统和上述信息的安全。 第702条允许私主体向其他主体披露其合法获取的大量网络安全威胁指标,但要求披露方及被告知方遵守相关主体所设定的合法限制。 包括但不限于:披露的目的仅限于保护目标系统及数据安全;在披露相关安全威胁时确保不泄露相关数据的个人隐私;不将披露的威胁用以获取不正当的竞争优势。
欧美国家采用的“合同授权,法律配套保障”的方案,主要是考虑到“白帽子”群体并无恶意破坏系统、获取数据的犯罪动机和社会危害性。不同于欧美国家公私合作模式,在我国,被测试系统软件所有者并未与测试平台之间签订合同授权“白帽子”的挖掘行为,这意味着只有当“白帽子”将漏洞提交给测试平台或者被测试系统所有者时,被测试主体方知晓该漏洞挖掘行为,此时被测主体享有是否追认的绝对权。若被测试主体拒绝追认,将直接导致挖掘行为人受制于《刑法》第二百八十五条的规制。吊诡的是,即便测试平台与被测试系统所有者签订挖掘授权合同,仍然存在违法的风险,因为该合同会因触犯《合同法》第五十四条第五款中的“违反法律、行政法规的强制性规定”特殊规定而归于无效。易言之,无论被测试系统软件所有者是否与平台签订合同,抑或事后是否追认该挖掘行为,均不影响“白帽子”受《刑法》第二百八十五条的规制,这使得双方处于极其不对等的法律关系中,这也正是袁炜案备受诟病的核心原因。
(三)网络漏洞挖掘的一种解释论方案
漏洞挖掘主体受到不当处罚,一方面是因为我国目前针对网络安全漏洞挖掘的规范并不考虑行为人的犯罪动机;另一方面有其特殊的历史原因,《刑法》第二百八十五条设立及完善初衷在于大力打击新型的互联网犯罪,现在看来,过分侧重打击反而会对“白帽子”的善意漏洞挖掘行为构成不当限制。
《网络安全法》第二十六条为漏洞挖掘行为的出罪提供了一种解释论可能,可以在不修改现有《刑法》的基础上限制《刑法》第二百八十五条对漏洞挖掘行为的适用。《刑法》第二百八十五条采用了空白罪状的立法技术:“违反国家规定……”,易言之,允许在违法性要件的判断识别过程中转介或参照适用其他法律规范。笔者认为,《网络安全法》第二十六条可以限制《刑法》第二百八十五条的不当适用,起到目的性限缩的功能,避免机械适用《刑法》对“白帽子”漏洞挖掘行为构成不当限制。
在此基础上,《网络安全法》第二十六条为网络安全漏洞治理提供了一种立法论思考的可能,对于漏洞挖掘的法律规制应当围绕该条款展开。漏洞治理包含漏洞挖掘、漏洞交易、漏洞评估预警、漏洞信息共享发布等多个环节,需要在未来制定《关键设施配套规章》或者《网络安全法(实施条例)》时,予以具体化、清晰化、制度化,重新塑造我国体系化的漏洞挖掘法律机制。
三、对完善我国网络安全漏洞挖掘制度的建议
我国网络空间安全战略再次重申“建立完善国家网络安全技术支撑体系,加强网络安全基础理论和重大问题研究,加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。”有鉴于此,应当从国家战略的高度把握网络安全漏洞制度构造,在配套规章或者修改相关法律时,以《网络安全法》第二十六条为中心展开,采用公私合作的治理框架,进一步完善漏洞数据库,明确网络安全漏洞评级机制,对进行漏洞挖掘“白帽子”、漏洞测试平台的主体地位加以明确,在遵循现有实践的基础上区分授权挖掘行为,并进一步强化漏洞的跨境流动应对。
(一)构建网络安全漏洞挖掘立法体系
网络安全漏洞挖掘治理,体现了一种技术治理的理念,其自身具有预防性治理的特点。具体表现为运用技术手段先于法律对互联网安全问题进行治理,以弥补纯粹法律适用所带来的滞后性问题。在网络安全漏洞立法过程中,应当把握“技术先导,法律配合”的理念,为漏洞挖掘治理预留一定的赋权空间,使得作为“源头治理”的技术治理与法律手段共同配合、双管齐下,实现网络安全有序治理。
当前我国《网络安全法》规定仍较为粗放,在强调国家安全优先、政府主导与企业配合、保障网络公共秩序的基础上,一部《网络安全法(实施细则)》实有必要。实施细则可以考虑将较为成熟的实践经验予以法律化,将《信息安全等级保护管理办法》、《CNVD漏洞安全响应指导规范》、《信息安全等级保护管理办法》的部分内容上升为法律规范。
同时应当把握修法契机,在《治安管理处罚法(草案)》中,为“白帽子”的漏洞挖掘行为设置相应的免责条款,在草案第三十一条后增加第(六)款:“对于经过当事人授权或在国家机关指导下的系统检测或软件测试行为,无需承担行政责任或刑事责任。”
完善利用漏洞跨国网络攻击的国际法应对。当前利用漏洞进行的跨国网络攻击日益频繁,针对我国关键基础设施和重要信息系统的漏洞攻击呈逐年上升的趋势,美国已经有专门针对恶意网络活动的制裁的法律规范,奥巴马政府于2015年4月颁行《第13694号行政命令》(Executive Order13694),宣布将针对美国实施恶意网络活动的主体予以制裁。所谓的恶意网络活动包括以下情形:显著破坏了美国关键基础设施;盗窃美国经济资源、商业秘密、个人身份信息或者金融信息以获得商业竞争优势、个人经济利益;破坏美国计算机网络或者为上述活动提供物质支持。 对于利用网络安全漏洞发起的恶意攻击除了技术防范路径之外,也应当着重考量反制措施。
(二)完善国家安全信息漏洞库,配套漏洞评级机制
当前世界各国均建立漏洞库作为其网络战争的核心战略资源储备,2006年,美国政府建立了美国国家安全漏洞库(National Vulnerability Database,NVD),专门针对漏洞的名称、来源、CVE(Common Vulnerabilities&Exposures)标号,CVSS分数(Common Vulnerability Scoring System)等信息进行描述。美国将软件漏洞和操作系统的漏洞视为一种重要的战略资源,由联邦政府负责收集和管理,该漏洞库由国土安全部部署并提供建设资金,美国国家标准与技术研究院负责技术开发和运维管理,在全仿真的环境下进行实战操作,实时掌握网军的对抗打击能力,以便更新其防御措施。
《网络安全法》第三十九条规定:“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。”网络安全信息共享制度核心内容为漏洞信息共享,一个完善、健全的漏洞库确有必要。2009年10月18日,国家互联网应急中心牵头成立中国信息安全评测中心,联合其他安全厂商和用户成立的民间组织,负责建设运营维护国家安全漏洞资源管理库平台“国家网络安全漏洞库”(China National Vulnerability Database of Information Security,CNNVD)对外提供漏洞分析、通报服务。目前,CNNVD通过社会提交、协作共享、网络搜集以及技术检测等方式,已积累信息技术产品漏洞8万余条,信息系统相关漏洞4万余条,相关补丁和修复措施2万余条。
笔者认为,由于CNNVD拥有较为成熟的经验处理漏洞治理工作和快速响应能力,因此应当优先考虑由信息安全测评中心牵头完善漏洞数据库,并负责网络安全漏洞信息共享、评级、发布工作。对于漏洞评级机制的建立,可以将《CNVD漏洞安全响应指导规范》中较为成熟的经验转化为法律规范。当前我国漏洞的分类方法过于繁多,按照危险系数和处置类型的分类方法值得借鉴。危险系数方法主要指按照漏洞的危险系数将其分为高危、中危、低危三等。按照漏洞的处置类型分类是指针对漏洞适用范围,将其分为事件型漏洞和通用漏洞两种。笔者认为,采用危险系数和处置类型双重标准评级比较妥当,可以保证涉事主体对漏洞安全有较为清晰的认知。具体来说,对于事件型漏洞仅公布涉事信息系统和涉事单位名称及危险系数即可,不必公布细节。对于通用软件漏洞应附期限公开,必要时将漏洞名称、等级、描述、评分、影响产品、参考链接等予以公布。且所有的漏洞评级工作务必在1~2天完成,并通知被测主体,充分保证时效性。评级过后,应要求网络服务提供商配套“漏洞威胁响应机制”,制定完善的漏洞预警机制,确保网络安全漏洞的发现、评级、漏洞修复做到无缝衔接,全面维护网络安全。
(三)明确挖掘公私合作框架,建立挖掘主体备案制度
在完善漏洞库的基础上,网络漏洞安全挖掘应当坚持安全与发展并重,政府与企业应当加强联动协作,强化网络安全漏洞信息共享,并进一步完善平台监管责任、个人责任豁免。
我国《网络安全法》第二十二条和第二十五条分别规定了互联网企业的网络产品缺陷、漏洞报告义务和网络安全应急预案义务,当前,我国漏洞库的网络安全漏洞数量较少,依靠服务商群体显然难以支撑整个漏洞库平台,“白帽子”的价值正是体现了多方参与的优势。其通过测试软件系统后告知被测试系统潜在风险,并模拟漏洞被恶意利用时的各种危害情形。我国《网络安全法》第二十六条规定的网络安全漏洞挖掘主体并不明确,若依据《网络安全法》第六十二条责任条款进行体系解释可推知,漏洞挖掘参与主体并不局限于互联网企业,政府部门与个人同样包含在内,这在一定程度上为漏洞挖掘行为民间主体提供了合法性依据。
较为遗憾的是,《网络安全法》并未明确网络安全漏洞治理的负责机构和实现机制,对企业的激励也不够充分,建议在配套立法中增加授权政府与企业建立漏洞信息挖掘协作机制的规定,并完善网络安全漏洞信息共享机制,可以考虑参照域外Hacker one相关合作机制。漏洞挖掘测试和发布行为需要企业主导,政府监管,并且赋予“白帽子”挖掘行为豁免机制。
具体来说,首先,应当明确网络安全漏洞测试平台的法律地位,需对漏洞挖掘平台资质进行审批,明确平台仅为网络安全漏洞的收集、报送、测试主体备案平台,不得任意对漏洞进行披露,发现高危漏洞应尽快向国家有关部门报备。
其次,进一步完善网络安全漏洞挖掘 “白帽子”主体身份备案制度,采用漏洞挖掘平台资质审批制度与身份备案制度相配套,有助于监管部门更有效地防范“白帽子”私自贩卖漏洞等网络犯罪行为,应当充分考虑“白帽子”身份信息的匿名化保护。暴露挖掘主体的身份就意味着该“白帽子”存在被恶意攻击者监控或者窃听的风险,不符合漏洞挖掘实践需求,应将身份信息纳入国家保密体系,适用《中华人民共和国保守国家秘密法》的保密标准。
最后,为了使“白帽子”明确自身行为边界之所在,避免袁炜式悲剧再次上演,应当重新把握获取漏洞的方式并充分考虑挖掘工具手段合法性问题,需进一步明确“白帽子”在漏洞挖掘过程中的“最小伤害原则”和挖掘过程报告义务,其挖掘行为应将数据泄露和系统破坏程度降至最低,并且“白帽子”应对漏洞挖掘行为及其附带损害进行全过程记录,及时向权力机关报告。
(四)借鉴《信息安全等级保护管理办法》,区分漏洞挖掘分级授权
《网络安全法》第三十八条规定了关键基础设施运营者以年为单位的安全检测义务。 实现关键基础设施安全可控的核心在于网络安全漏洞的挖掘和发现,当前网络安全漏洞呈现出井喷之势,每年一次的评估显然并不符合网络安全的实践需求,有必要对挖掘行为授权机制加以明确,确保多方参与网络安全维护工作。
对于挖掘行为授权机制的建立,可以考虑结合《信息安全等级保护管理办法》的既有实践,以等级保护作为切入点区分网络安全漏洞挖掘授权机制。根据信息系统受到破坏后所造成的损害范围不同,将挖掘行为分为禁止挖掘、许可挖掘和一般挖掘三种,进一步廓清“白帽子”漏洞挖掘行为的边界。
禁止挖掘指涉密的国家关键基础设施,指符合《信息安全等级保护管理办法》第七条第5级的情形。主要涉及《刑法》第二百八十五条第一款、《国家安全法》、《保守国家秘密法》第二十四条和四十八条规定的涉密信息系统,例如一些涉及国家机密的大型服务器,对此类关键基础设施漏洞挖掘,应当以声明禁止挖掘为原则,许可挖掘为例外。
许可挖掘是指符合《信息安全等级保护管理办法》第七条第 3、4级的情形。经国家机关授权,备案的“白帽子”可进行关键基础设施漏洞挖掘测试,许可挖掘的主体多集中于大型互联网公司的民用设施和部分非涉密关键基础设施,其挖掘有助于在系统安全性提升与被恶意追踪之间寻求平衡,许可挖掘不同于传统定向委托网络安全公司所进行的漏洞挖掘测试。
一般挖掘主要指的是符合《信息安全等级保护管理办法》第七条第1、2级的情形,对于关键基础设施之外的一些商业用途的网站和系统可以允许经过备案的白帽子进行普遍挖掘。
(五)强化网络安全漏洞的跨境流动应对,建立漏洞传输评估规则
《国家安全法》第二十五条将“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密”作为一项国家安全义务加以确认。网络安全漏洞正在成为一种重要的国家战略资源,《瓦森纳协定》补充协定更是将零日漏洞等视为一种潜在的武器进行监管。 以“震网攻击”为例,网络安全漏洞发现意味着一种攻击的可能性,其恶意利用足以对国家安全造成毁灭性打击,需要从法律制度上予以正视和回应。
网络安全漏洞与跨境数据流动密切相关,数据安全问题会因为各国数据空间主权观念的差别,或者数据法制、数据利益、数据安全保护观念的差异,导致相互之间在数据流动和国际合作方面的复杂性。作为网络安全重要战略资源的漏洞,不同于一般数据,应当严格限制漏洞数据的跨境流动,参照《网络安全法》第三十七条确立了跨境数据流动评估规则,在制定安全评估办法的时候充分考虑网络安全漏洞的特殊性,可以参照网络安全漏洞的危险系数和处置类型双重评级标准,对于高危、事件型漏洞应当禁止跨境流动,对于一般性、通用的漏洞可以在评估后允许其跨境传输。
(本文成稿得益于刘金瑞助理研究员、丁海俊副教授、周学峰副教授的帮助,在此一并致谢!)