发现网络安全漏洞是否应该披露?
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。
国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。
一、网络安全漏洞披露的概念与类型
1、概念
漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。
漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第26条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。
2、类型
网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。
不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。
完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客也能够轻松的开发和编写漏洞。
负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。
二、美国的网络安全漏洞披露规则
1、以负责任披露为核心的传统漏洞披露政策及实践
2015年前,美国行业界广泛承认和支持的是负责任披露,当时的披露政策也偏重该种类型。CERT/CC 2000年发布的披露机制属于负责任披露中较为开放的,偏重于保护用户的知情权。CERT/CC起到的作用类似于第三方政府机构,负责将漏洞发现者报告的漏洞反馈给厂商,督促其测试、研发补丁,披露期限为收到该漏洞后的45天之后。例外情况下可将45天期限延长至90天。
NIAC 2004年向总统提交的漏洞披露政策是在调查、研究实践基础上,提出的更全面的漏洞披露政策,包括根据危害性进行漏洞评分、鼓励公私部门信息共享、漏洞修复具有优先级等。
OIS 2004年发布的漏洞披露指引政策更侧重漏洞报告的响应机制,规定发现者向厂商发送漏洞报告之后,厂商应在7个工作日内进行回复。研究出补丁之后方可向社会发布漏洞,为加快研究速度以维护安全,相关部门30天内可向利益相关方分享漏洞的详细信息。
“以负责任披露为核心”的美国传统漏洞披露政策以保护用户知情权为出发点,在明确漏洞披露周期管理的基础上重视利益相关方的协调,开始鼓励公私部门信息共享,同时也注重保护漏洞发现者的合法利益和积极性。
2、以协同披露为趋势的现代漏洞披露政策及演化
以协同披露为核心的规则成为现行美国政策和立法的新趋势,2015年美国通过的《网络安全信息共享法》(CISA)、2016年公开的VEP政策、2017年《补丁法案》体现了这一趋势。
(1)《网络安全信息共享法》(CISA)
《网络安全信息共享法》(CISA)授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息。总体来说,CISA围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本框架。
尽管CISA并非专门针对安全漏洞信息披露而设计共享框架,但其相关举措仍然衍生出一条重要的安全漏洞信息披露原则,即合法披露原则。私人实体需要满足两个条件:合法目的和行为授权。
(2)VEP政策
奥巴马政府时期,美国联邦调查局、国家安全局等政府部门制定和施行VEP政策,依据VEP公开的规定,美国政府实体对于任何来源的网络安全漏洞信息裁决程序如下:第一,基于漏洞分级,在触发特定阈值时向国家安全局指定担任的执行秘书长通报;第二,执行秘书长通知政府相关的利益相关方,指定特定联络人,由各方反馈是否启动裁决程序;第三,提出裁决要求的所有利益相关方指派特定专家参与讨论,并向裁决审查委员会提供决策建议;第四,裁决审查委员会做出如何响应漏洞的倾向性决定,如有利益相关方异议,则该机构可向某特定内设机构提出申诉。
VEP规定体现出这一阶段美国网络安全漏洞披露政策的三大特点:第一,网络安全漏洞的来源十分广泛。第二,网络安全信息呈单向线性流动。第三,国家安全局具有多重身份和相当的自由裁量权。
(3)2017年补丁法案
2017年5月17日,美国国会提出了一项新法案《2017反黑客保护能力法案》,也被称为《2017补丁法案》。总体来说,2017年补丁法案在“是否披露”和“如何披露”两个核心问题上体现出美国政府对VEP政策的改进。
首先,补丁法案改变了漏洞披露裁决的顶层决策机制,实现了从国家安全局到国土安全部主导的过渡。其次,补丁法案增加了推定披露程序。再次,补丁法案加大了向厂商的安全漏洞披露倾向。最后,补丁法案规定,对于裁决禁止披露、但因任何原因进入公众领域的网络安全漏洞,应按照CISA制定的程序实施。
(4)《瓦森纳协定》
2013年12月,《关于常规武器和两用物品及技术出口控制的瓦森纳安排》(简称《瓦森纳协定》)附加条款的修订,将一些特殊的入侵软件列入其两用物项清单中。2015年5月20日,美国商务部下属的工业与安全局(BIS)提出实施规则草案《2013年<瓦森纳协议>全会决议的执行:入侵和检测物项》,草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”,拟将入侵软件纳入美国《出口管理条例(EAR)》的管控范围。
《瓦森纳协定》和美国BIS的新规说明,网络安全漏洞的资源性和武器化趋势已成为国际和国家层面的普遍共识,网络安全漏洞披露规制的制定上升到与国家安全和政治利益密切相关的高度,VEP政策的秘密施行、2017年补丁法案的提出和改进进一步印证了这一点。
3、美国网络安全漏洞披露规则的主要特点
第一,高度重视网络安全漏洞披露问题;
第二,网络安全漏洞披露过程中注重充分保护用户知情权,强调多利益相关方的利益协调;
第三,基于刑法和知识产权法对未经授权的漏洞发现和披露行为予以规制,注重保护善意漏洞发现和披露者的合法利益;
第四,鼓励政府机构、企业和公众在法定条件和程序下实时共享网络安全信息,授权联邦政府披露合法共享的安全漏洞信息;
第五,将网络安全漏洞披露规则的制定上升到与国家安全和政治利益密切相关的高度;
第六,构建国家层面统一的网络安全漏洞披露协调和决策机制,并积极推动从政策到立法的转变。
三、我国网络安全漏洞披露规则体系设计
1、我国网络安全漏洞披露立法现状
我国现有立法对网络安全漏洞披露的规定散见在《刑法》《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》等法律法规中。《刑法》第285 条和第286 条规定了未经授权访问计算机信息系统的刑事责任。学界普遍认为,恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类行为加以入罪化处置。
《关键信息基础设施安全保护条例(征求意见稿)》第16条进一步提出,“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”,第35条规定“面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求”,同时授权国家网信部门会同国务院有关部门制定相关规定。
《网络安全法》第22条规定了产品和服务提供者对自身漏洞的告知和报告义务,第26条对第三方未经授权发布他人系统漏洞行为进行了初步规定,第51条强调由国家统一发布网络安全监测预警信息。
2、网络安全披露规则的体系设计构想
本文建议,借鉴美国网络安全漏洞披露规则在内的设计和论证经验,结合我国执法的实践和特点,围绕安全漏洞披露主体、披露对象、披露程序和披露的责任豁免进行网络安全漏洞披露规则体系的设计。
(1)网络安全漏洞披露的主体
本文认为,安全漏洞合法披露主体包括以下几类:
厂商。即《网络安全法》中的产品和服务提供者。厂商是最初始意义上的安全漏洞发现者和最无争议的安全漏洞披露主体。
政府机构。政府机构作为合法漏洞披露主体,可包括两个层次:第一,国家级安全漏洞披露平台。第二,安全漏洞披露协调和决策机构。
网络安全服务机构。第三方漏洞披露平台应以成为专业的网络安全服务机构为发展方向,成为符合法律要求的责任主体。
(2)网络安全漏洞披露的对象
网络安全漏洞披露应当有具体的披露对象,具体包括两类:第一,网络安全产品和服务的用户。第二,政府机构。本文认为,政府机构不仅构成监测预警信息的重要组成部分,也可成为我国安全漏洞披露协调和决策机制工作的重要信息来源。
(3)网络安全漏洞披露的方式
《网络安全法》第22条、26条和51条提出了我国安全漏洞规制的四项基本要求,即告知、报告、发布和通报。本文认为,告知、报告、发布和通报构成了我国安全漏洞披露的四种基本方式,可对其规定内涵和具体实施进一步细化。
第一,《网络安全法》第22条规定的“告知”行为对象是用户,指网络产品、服务的提供者基于产品、服务的漏洞“缺陷”向用户承担的初始义务和追责依据。“告知”行为内容包括说明某个产品或服务存在安全漏洞这一事实、漏洞缺陷可能造成的后果及用户可以采取的降低风险的措施、补丁修复或者找到其他解决办法之后的事后信息等。值得注意的是,这里的用户对象应基于不同利益进行优先性划分,考量涉及国家秘密、关键信息基础设施等不同对象确定告知的范围与次序。
第二,《网络安全法》第22条规定的“报告”,明确和完整表述为“向有关主管部门报告”,根据网安法第8条的规定,目前我国形成了网信、工信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局,此处的“有关主管部门”也包括网信部门、工信部门和公安部门等。“报告”具有向主管部门提交的自下而上性质,报告的形式和内容上应包括对漏洞发现(含检测验证)的报告、漏洞网络安全风险的监测评估报告、漏洞引发的网络安全事件的处置/应急报告等。同样,应充分考虑与平衡向主管部门报告、向用户告知以及向社会发布三者的范围与次序。
第三,《网络安全法》第26条规定的“发布”,具有向社会不特定人公开的特性。此概念对应于传统漏洞披露的“完全披露”类型,向社会发布会引发不可逆的各种可能,一旦发布,将对“告知”与“报告”产生直接影响。因此,《网络安全法》要求无论网络产品、服务提供者,或网络安全服务机构“向社会发布”,均“应当遵守国家有关规定”,强调对前置程序的规范审核。
第四,《网络安全法》第51条规定的“通报”,具有网络安全信息共享的特性。其启动主体、指向对象都会因共享要素考虑的充分性、完备性与否而具有不同体现。
(4)网络安全漏洞披露的责任豁免规定
网络安全漏洞披露规则的设计应充分考虑漏洞发现者、用户、厂商、政府机构等相关主体的利益平衡,并以保障用户合法权益、社会公共安全、关键信息基础设施安全乃至国家安全为最终目的。总结美国CISA的规定可以看出,合法披露是安全漏洞披露的首要原则,其必要前提是目的合法和行为授权。我国安全漏洞披露同样应该限定在目的合法和行为授权的框架内。
安全漏洞披露的责任豁免是指在形式上符合漏洞披露禁止规定的行为,由于符合免除责任的规定而从安全漏洞披露规定的适用中排除,以豁免的形式授予相关主体和行为的合法性。安全漏洞责任豁免规定具有维护网络安全、推动网络安全产业的创新、实现多方利益平衡的重要价值。
安全漏洞披露的责任豁免主要包括两种情形:一是对披露主体的安全研究人员(如“白帽子”等)善意披露安全漏洞行为给予的责任免除规定。美国“惠普起诉SnoSoft 公司研究者”和“Tornado起诉员工Bret McDanel”案均表明,无论是厂商还是法院都开始注重安全研究人员的善意动机,即使厂商出于自身发展利益考虑,也无法否认安全研究人员对网络安全的正面影响。二是针对特定行为,视为授权或授权追认的责任免除规定。如美国国防部2016年11月发布的《安全漏洞披露政策》明确规定,“安全研究以及漏洞发现行为充分符合政策中的限制与指导规定,国防部不会发起或者支持任何指向的执法及民事诉讼活动,且如果除国防部之外的某方进行执法或者民事诉讼,国防部方面将采取措施以证明行为拥有依据且并不与政策相违背”。
以第一种豁免情形为例,《网络安全法》中未直接明确安全漏洞善意披露行为的责任豁免规定。本文认为,我国现阶段的安全漏洞披露立法仍处于探索阶段,如安全漏洞披露豁免缺乏针对性,将导致法律适用时的不明确,造成豁免规定滥用,产生与不规范披露或非法披露同样的安全风险,因此安全漏洞披露豁免规定应该审慎论证和制定,在立法和技术时机成熟时,可以考虑通过《网络安全法》配套制度设定安全研究人员(如“白帽子”等)安全漏洞善意披露的责任豁免规定。在具体确定豁免条件时,必须基于技术可控的整体判断,合理限制善意披露的界限,避免矫枉过正扩大适用范围,如至少应综合考虑安全研究人员的背景、所披露漏洞的危害级别、给厂商和用户带来的实际负面影响等因素。
四、结语
网络安全漏洞披露之上集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或“白帽子”等多方利益相关者及其协调关系,所有利益相关者均应肩负起应有的法律责任,共同推动网络社会的有序运行。
本文建议,借鉴美国网络安全漏洞披露规则设计及其实践经验,以协同披露为导向,完善我国《网络安全法》框架下的产品和服务提供者、第三方漏洞披露平台和政府机构的职责设置,围绕安全漏洞披露主体、披露对象、披露方式和披露的责任豁免规定进行网络安全漏洞披露规则体系的论证与设计。
微信公众号:计算机与网络安全
ID:Computer-network