查看原文
其他

【律师视点】史蕾:网络安全法下漏洞披露规制及美国立法借鉴

2018-04-25 史蕾 德衡律师集团
史  蕾

北京德和衡律师事务所律师


2017年6月1日开始施行的《网络安全法》从网络空间安全基本保障法的高度对网络安全规范提出了诸多具体要求,但是对于网络安全漏洞披露问题,仅仅做了“应当遵守国家有关规定”的原则性要求。


网络安全漏洞(下称“漏洞”)收集与披露活动存在已久,除厂商以维护产品安全目的自行或授权第三方开展的网络安全漏洞扫描测试活动外,安全信息服务机构(Security Information Provider)自行收集网络安全漏洞的,应该如何在合法合规的范围内开展,什么样的漏洞信息披露规则能在促进网络安全和避免漏洞黑色交易中取得平衡?本文拟在回顾现有立法框架和社会热点事件的基础上,分享美国的立法经验,对即将出台的国家有关规定如何细化安全信息服务机构的漏洞收集与披露规则提出畅想和建议。


一、漏洞收集与披露业务的现有法律和规则框架


漏洞 (Vulnerability)是信息安全风险的主要根源之一,是网络攻防对抗中的重要目标,漏洞的发现与利用在信息安全中处于十分重要的地位[1]。截至目前,我国现有立法对网络安全漏洞披露的法律还不完善,相关规定散见在《刑法》《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》等法律法规中。


《刑法》规定了未经授权访问计算机信息系统的刑事责任以及其他漏洞扫描行为可能侵犯其他利益导致的犯罪行为, 但是,出于发现和收集漏洞善意目的且未造成危害后果的行为在实践中公安部门做出了豁免的解释。2002年9月27日,公安部公共信息网络安全监察局在《关于对利用网络漏洞进行攻击但未造成危害后果的行为如何处罚的答复》中明确指出,“使用扫描软件对网络IP地址进行漏洞扫描,并对存在安全漏洞的网络端口进行攻击,属于一种网络攻击行为。如果攻击行为不影响信息网络的正常运行,并且未造成危害后果的,不属于《计算机信息网络国际联网安全保护管理办法》(以下简称《办法》)第六条第五款中‘其他危害计算机信息网络安全的 ’行为。因此,不能适用《办法》第二十一条的规定进行处罚。”


尽管如此,围绕漏洞扫描测试行为的争议从未停息。一段时间内,随着国内漏洞信息共享业务的兴起,一些安全信息服务机构,以“半公益”的漏洞共享经营模式和促进网络安全信息交流与保护的宗旨,发展成小有名气的漏洞收集和披露平台,进一步升级了厂商与漏洞信息披露方围绕第三方自发进行的漏洞扫描测试及漏洞信息共享行为的合规性之间的争议。


2015年6月19日,为规范漏洞信息披露和处置工作,工信部网络安全管理局指导,中国互联网协会网络与信息安全工作委员组织了32家单位 ,签署了《中国互联网协会漏洞信息披露和处置自律公约》,公约倡议国内外漏洞平台、相关厂商、信息系统管理方和CNCERT加入本公约,提出了漏洞信息披露原则、处置流程等,呼吁不公开漏洞细节、入口地址等信息、涉及知识产权等敏感信息,避免漏洞被不法之徒利用。


2016年初,“袁炜事件”第一次让以白帽子为主体的漏洞信息共享业务进入大众视野,鉴于法律并未明确界定白帽子的漏洞信息挖掘和共享行为与黑客攻击行为的法律边界,一时间在网络安全和互联网法律领域掀起了各方对漏洞信息挖掘、披露行为合规性的思考、探讨和热议。随后,2017年相继发生网易向未经授权擅自公开披露漏洞细节的某“白帽子”发公开声明、国家信息安全漏洞共享平台CNVD公告称因漏洞的不当披露引发党政机关和重要行业网站受到大规模攻击威胁等事件,这些事件进一步引起漏洞披露主体体、披露程序及不当披露法律后果的探讨,特别是安全服务机构在漏洞披露活动中的行为合法界限到底是什么?


2017年6月1日,《网络安全法》正式实施并明确规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。否则,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。


在国家标准化层面, 2013年的国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)对漏洞发布的主体仅限定在“漏洞管理组织”和“厂商”两者,但缺乏对漏洞发现与报告的管理规范,目前更详细的《信息安全技术 网络安全漏洞发现与报告管理制度》正在制定中。


二、安全信息服务机构及其运营模式和合规风险


(一)安全信息服务机构及其运营模式


本文所讨论的与漏洞相关的安全信息服务机构,包括典型的从事漏洞检测及其他服务的漏洞平台企业、还有通常由政府机构建设的政府漏洞库管理机构,如CERT 等,以及相当多的从事安全评估的专业机构等。


其中,从事漏洞检测及相关服务的漏洞平台企业,比如漏洞盒子,360补天漏洞相响应平台,知道创宇,Seebug漏洞平台等,它们一方面是漏洞信息平台的经营者,会建立自己的向用户和厂商进行漏洞检测、收集、披露的规则,同时它们也是政府机构建立的漏洞信息共享平台的参与者,如CNNVD:中国国家漏洞库(中国国家信息安全漏洞库)和CNVD:中国国家信息安全漏洞共享平台(国家信息安全漏洞共享平台),是漏洞信息的报告者,所以,这类企业是漏洞产业中最为关键和重要的环节,对他们的管理涉及到漏洞信息收集和披露的责任、权利和义务等方面。


安全服务机构有关漏洞收集与信息披露业务的运营模式主要可以分为两类,一类是经漏洞所在计算机信息系统所属方(即企业)授权同意,由安全信息服务机构召集旗下专职或兼职的安全研究人员(俗称“白帽子”)来对该企业可能存在的潜在安全风险进行测试,发现、测试和/或修复漏洞;一类为由安全研究人员自发发现并测试漏洞,并直接将相关信息提交该安全服务机构的漏洞平台后,由漏洞平台根据规则认领或发布,或者联系企业最终完成修复。


(二)企业授权模式


企业授权模式下,企业会明确授权安全研究人员对其计算机信息系统进行测试并对所发现的漏洞予以验证,在正式开始测试前,企业或企业委托的第三方漏洞平台通常会与安全研究人员以签署相关书面协议等形式来明确双方的权利义务、漏洞发现测试的要求、范围、相关保密事项及有关奖励等;部分企业或第三方漏洞平台还可能会限定安全研究人员的测试环境以避免测试活动危及企业计算机信息系统的正常运转。在此种模式下,因为已经明确获得了企业的授权,因此,安全研究人员通常只需要注意遵从相关协议、规则及企业/第三方漏洞平台的有关要求即可,除此之外基本没有合规风险。


例如 360补天漏洞响应平台明确规定,安全研究人员仅能通过企业授权的“VPN出口的IP对其进行测试,其余IP的渗透行为都会被企业视为攻击”,“企业的测试授权具有时效性,需严格按照项目时间开展测试。”并明确要求安全研究人员“测试过程中不可影响企业业务的正常运营,禁止以下几种测试行为:a.自动化扫描;b.系统用户提权;c.DDOS攻击;d.社会工程学(钓鱼邮件等) ;e.企业明确禁止的其他测试行为”等等。


漏洞盒子也明确要求安全研究人员严格按照每个漏洞测试项目的测试范围和测试规范,不影响正常业务情况下进行测试,不得以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为等。


(三)安全研究人员自发模式


通常企业与安全研究人员/漏洞测试平台产生较大争议的业务模式,即是安全研究人员在未获取企业授权情况下自发发现并测试漏洞的模式。尽管,《关于对利用网络漏洞进行攻击但未造成危害后果的行为如何处罚的答复》中明确指出,使用扫描软件测试漏洞的行为在不影响计算机信息网络正常运营且未造成危害后果的情况下,不属于危害计算机信息网络安全的行为。而经验较为丰富的安全研究人员在测试过程中也会尽可能的避免读取涉及个人信息、商业秘密等敏感内容的数据,避免影响所测试的计算机信息系统的正常运行。但仍有很多新手安全研究人员或因自身技术所限或因使用的软件测试工具不当等原因会触及主要如下法律底线:

‐涉嫌构成非法获取计算机信息系统数据、非法控制计算机信息系统罪;


‐涉嫌构成侵入计算机系统或影响计算机信息系统正常运行的违法行为;


‐涉嫌构成破坏计算机信息系统罪;


‐若漏洞信息共享平台/从业人员为他人提供检测工具的,还可能涉嫌构成提供侵入、非法控制计算机信息系统程序、工具罪;


‐在漏洞测试和/或信息披露过程中,如不小心访问、复制、存储或传输含有个人信息内容的有关数据,还会涉嫌侵犯自然人个人信息;


‐若在漏洞测试和信息披露过程中,如不小心访问、复制、存储或传输含有商业秘密内容的有关数据,则涉嫌侵犯商业秘密;


‐若在漏洞测试和信息披露过程中,如不小心访问、复制、存储或传输含有国家秘密内容的有关数据涉嫌侵犯国家秘密。


另一方面,漏洞平台如无适当的漏洞发布规则和免责声明,会否与涉嫌非法行为的安全研究人员个人承担连带责任?在收集到这些漏洞信息后,如何联系企业认领和修复漏洞,如何向安全研究人员发放平台奖励或要求企业发放适当现金奖励?对于哪些分类或危险级别的漏洞,漏洞平台负有向主管部门或政府漏洞共享平台报告的法定义务?目前也还缺乏必要完善的规则指导,各漏洞平台企业均是在参考国际上行业内的惯例操作,小心谨慎地制定各项规则,在国家网络安全大方针下,平衡厂家的安全需求和安全研究人员的利益。而这些规则和实践经验,也将逐渐形成业内可具操作性的规则,为相关制度的完善打下实践基础。


三、美国漏洞披露制度及其借鉴意义


(一)DOD漏洞披露政策


2016年11月,美国国防部(DOD)公布“漏洞披露政策”(下称“DOD披露政策”),该政策适用于任何由美国国防部拥有、运营或者控制的面向公众之网站,包括托管于此类网站之上的Web应用(统称“信息系统”)当中的安全漏洞,旨在为安全研究人员的漏洞发现活动提供明确的指导方针,契合美国国防部的网络属性并将所发现的漏洞结论提交至国防部。 


美国国防部要求发现、测试并提交安全漏洞或者漏洞指标的安全研究人员在测试以检测安全漏洞或者发现与安全漏洞相关的指标或与美国国防部共享或者接收来自国防部的安全漏洞信息,或者与安全漏洞相关的指标时,应遵守安全研究人员所在地联邦、州及当地法律的规定及如下指导意见:1)不得危害亦不会在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞;2)除非信息与安全漏洞直接相关,并且验证安全漏洞必须访问该等信息,否则应避免访问任何存储在信息系统内的通讯、数据或者信息内容;3)不得在任何情况下泄露任何数据;不得故意侵害美国国防部人员(例如文职人员或者军事人员)或者第三方相关者的隐私及人身安全;4)不得故意危害与任何国防部人员、职能实体或者其它第三方相关的知识产权或者其它商业或财务利益;5)不得针对国防部人员或者承包商执行社交工程攻击,包括鱼叉式钓鱼攻击;6)未经美国国防部书面同意,不得公开披露有关漏洞的任何细节信息、安全漏洞指标或者提供与特定漏洞内容相关的信息;7)不得进行拒绝服务测试等等[2]


安全研究人员在提交漏洞信息报告时,应提供包括漏洞问题类型,包含该bug的软件产品、版本与配置,可重现此问题的分步指令,概念验证(POC)说明, 问题影响,以及安全研究人员据此给出的适当缓解或者补救措施等详尽信息;并应查阅、了解并同意DOD披露政策当中描述的各项适用于对国防部信息系统内漏洞或者安全研究发布指标相关的指导意见,且同意将当前及后续通信内容存储于美国政府信息系统当中。美国国防部将在三个工作日内确认收到报告,确认安全漏洞的存在并向相关安全研究人员提供后续信息以及当前的漏洞修复工作进度。而根据DOD披露政策提交至国防部的信息将被用于缓解或者修复存在于信息系统中的安全漏洞。


借鉴意义:

国防部作为一个主权国家的最重要的国家安全部门,在公开放的漏洞披露政策指引下, 从而便于“迅速发现并修复漏洞。最终使国防部、服务人员以及公众会更为安全。”


美国国防部DOD披露政策所采取的专门性指导意见以及确定的披露程序和修复方式,对我国关键信息基础设施的保护具有借鉴意义。《关键信息基础设施安全保护条例(征求意见稿)》第16条规定,“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”,第35条进一步规定“面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求”,同时授权国家网信部门会同国务院有关部门制定相关规定。有关部门可以借鉴上述DOD披露政策,专门制定出一套符合中国关键信息基础设施保护需求的漏洞披露政策。


(二)司法部(DOJ)《在线系统漏洞披露计划框架》


2017年7月,美国司法部(DOJ)犯罪科网络安全部门发布《在线系统漏洞披露计划框架》(“框架”),以帮助组织机构设计制定正规的漏洞披露计划。框架指出,制定漏洞披露计划的主要步骤如下:


首要步骤是设计计划,包括决定计划涉及的网络组件和数据,决定要包含或排除的漏洞类型和安全实践,并确定是否应包含第三方组件或数据,以及是否需要获取额外授权。


第二个步骤是管理计划。具体而言,该步骤包括:确定如何报告漏洞,分配接收漏洞报告的联络人或部门,确定解答计划相关问题的工作人员,并确定如何处理意外和故意违反该漏洞政策的行为。


第三步是起草政策,准确无误地描述组织机构的意图。这部分工作包括:描述授权与非授权行为、计划覆盖的系统和数据,详细说明数据访问限制,解释违反此政策的后果,鼓励研究人员联系组织机构解答政策未解决的问题,并且有必要在披露过程中囊括协调中心(例如美国计算机紧急响应小组US-CERT,美国工控系统网络应急响应小组ICS-CERT)。


最后一步为实施计划。框架建议组织机构使披露政策易于获取、广泛可用,并鼓励寻找系统漏洞的用户通过该计划披露任何漏洞。


借鉴意义:

美国司法部制定的框架可以帮助公共和私有部门的组织机构设计漏洞披露计划。此框架不会规定漏洞披露计划的形式或目标,而是侧重描述授权发现与披露行为,以减少在民事或刑事上违反《计算机欺诈与滥用法》(CFAA)的可能性。


本文第二部分曾讨论了安全研究人员甚至漏洞平台可能涉嫌的诸多刑事犯罪风险。 如果中国司法主管部门能发布诸如此类漏洞披露计划的合法框架或免责条件,描述说明合法的授权发现与披露行为应满足的行为特点,让企业和个人均能有法可依,推动网络安全产业的创新、实现多方利益平衡。


(三)“负责任披露”的漏洞披露政策


在国内外网络安全漏洞披露实践发展中,网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,一直争议较大。


负责任的披露是前两种类型的折中和衍生,也被称为有限披露,这种披露需要一个协调者参与的协调程序,通常协调者是中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力。美国“以负责任披露为核心”的政策包括美国计算机紧急事件响应小组协调中心(CERT/CC)、国家基础设施委员会( NIAC)等政府机构制定的框架,以及由大型互联网企业组成的网络安全组织(OIS)主导的指引政策等[3]


借鉴意义:

我国中国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)、国家计算机网络入侵防范中心漏洞库(NCNIPC)其本质也是一个中立且独立的机构,具有协调各方利益的能力,该等机构经过多年的工作积累,也已形成自己的漏洞管理规范,如中国国家信息安全漏洞库(CNNVD)形成《CNNVD漏洞编码规范》、《CNNVD漏洞命名规范》、《CNNVD漏洞内容描述规范》、《CNNVD漏洞分类描述规范》、《CNNVD漏洞分级规范》和《CNNVD漏洞影响实体描述规范》,但在漏洞评级、响应时间、分级管理,法律框架等方面,可以借鉴美国CERT/CC、 NIAC以及OIS的指引政策,完善规则,更主动发挥协调者角色。


(四)《网络安全信息共享法》(CISA)


2015年通过的CISA是美国关于网络安全信息共享的第一部综合性立法,也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息。尽管CISA并非专门针对安全漏洞信息披露而设计共享框架,但其相关举措仍然衍生出一条重要的安全漏洞信息披露原则,即合法披露原则。虽然私人实体被赋予了广泛的网络安全威胁信息的发现和共享权利,但这一权利的实现需要满足两个必要的前提,即合法目的和行为授权。


借鉴意义:

“合法披露原则”这对于建立我国安全漏洞信息披露的相关制度具有重要的指导意义。《网络安全法》第26条规定的“发布”,具有向社会不特定人公开的特性,也包含了向社会公众“合法披露”应遵守国家有关政策之意,而什么样的政策才能构成合法披露,CISA确定的合法目的和行为授权两大原则值得借鉴。


(五)安全漏洞公平裁决程序(VEP)


美国早在2010年就开始实行一套安全漏洞公平裁决程序(Vulnerability Equities Process,VEP),但至2016年才公开披露VEP内容。VEP规定了政府官员判断是否将漏洞披露给软件制造商的具体方法,以提醒制造商打补丁,确保所有用户安全,或秘密存储并用来监视美国对手。


2017年11月,美国白宫发布《未分类漏洞权益VEP宪章》,表示将增加零日漏洞审查及披露透明度。


根据该宪章,国防部(包含NSA)、中央情报局、司法部(包含FBI)、国务院国土安全部、国家情报总监办公室、财务部、能源部、商务部及管理与预算办公室等十大部门组成VEP审查委员会;其中,NSA作为VEP执行秘书处,将负责协调所有事宜。


VEP审查委员会就威胁因素、影响力因素、缓解因素以及安全漏洞因素几个角度进行讨论以确认是否披露相应新发现的漏洞, 该审查过程应在5天内进行完毕。如果已有利用该漏洞的攻击发生,则审查过程会加快。讨论过后,委员会将就是否向受影响公司公开漏洞达成共识。


如果审查委员会决定公开漏洞,就会在7个工作日内通告受影响公司企业。如果委员会选择保密漏洞,那该漏洞将会每年被审查一次,直到委员会改变主意,或者该零日漏洞被公开。


借鉴意义:

公平裁决程序构建了美国最高决策层面统一的网络安全漏洞披露协调和决策机制。并基于此美国的漏洞披露政策从负责任披露向协调披露进行转化。 有学者认为, 中国《中国互联网协会漏洞信息披露和处置自律公约》在本质上也建立了协调披露的原则,但尚缺少具体的披露协调和决策机制。《网络安全法》第51条明确了我国网络安全监测预警和信息通报的工作机制,网信部门统筹协调有关部门统一发布网络安全监测预警信息。可考虑依据此条建立我国国家层面统一的跨部门、多机构网络安全漏洞披露协调与共同决策机制,赋予网信部门类似VEP政策中国国防部的职责,充分发挥“国家网络与信息安全信息通报中心”,主导我国网络安全漏洞披露协调与决策工作。


注释:

[1] 韦韬, 王贵驷, 邹维. 软件漏洞产业: 现状与发展[J]. 中国信息安全,2010(01):2087-2096

[2]https://www.cnbeta.com/articles/tech/560473.htm

[3]《何治乐、黄道丽、雷云婷:美国软件漏洞信息披露制度分析与借鉴》


作者简介:

史蕾,北京德和衡律师事务所互联网合规团队律师,曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。主要业绩:为某大数据公司提供用户隐私保护项目提供专项合规筛查服务,并提供整改建议和员工培训;为多家科技类创业公司提供股权激励方案制定;为互联网公司搭建海外融资架构;互联网教育科技企业新三板挂牌项目;代表多家挂牌公司完成新三板定向增发;担任多家公司日常法律顾问。


联系方式:

电话:15810040811

邮箱:shilei@deheng.com


本文仅代表作者观点,如需转载、节选,请在文首注明作者及来源。


更多内容,敬请关注:德衡商法网

www.deheng.com(英文)

www.deheng.com.cn(中文)


德衡律师集团全国免费服务热线:

手机拨打:4001191080

座机拨打:8008600880




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存