【世界司法信息化】美国联邦法院推进司法信息系统安全建设

最新版本的《美国联邦司法部门信息技术长期规划(2021-2025)》

10月13日，美国联邦法院对外公布了一项新的司法信息系统漏洞披露政策，以确保可在线访问数据的安全性。该政策为安全研究人员如何开展漏洞发现活动提供了明确的指导，以及在发现漏洞后如何将有关信息提交给美国联邦法院。

据悉，漏洞披露政策正在迅速成为安全实践中的行业标准，包括网络安全与基础设施安全局(CISA)、司法部(DOJ)、能源部(DOE)、联邦贸易委员会(FTC)在内的美国联邦政府机构都发布了类似的计划，以保护他们的网络免受黑客和其他不法分子的侵害。

根据美国联邦法院发布的这份政策，参与漏洞披露计划的研究人员必须在确定存在漏洞或遇到任何敏感数据后立即停止测试。这可能包括任何一方的个人身份信息、财务信息、专有信息或商业秘密。研究人员还必须立即通知联邦法院，不得将他们访问过的数据透露给其他任何人。

漏洞披露政策适用于三个联邦司法机构的系统和服务：www.uscourts.gov，美国联邦法院的官方网站;oscar.uscourts.gov，美国联邦法院文员和上诉工作人员律师招聘网站;ecf.cmsd.aocms.uscourts.gov，美国联邦法院电子案件档案和案件管理系统的测试站点。任何未在上面明确列出的系统网站都不在公开政策范围内，也没有被授权进行测试。类似地，包括拒绝服务攻击(DDoS)在内的大量特定活动也没有得到授权。

与此同时，这份政策也发出警告，任何未经授权的活动都可能被视为非法黑客行为：“如果您从事任何违反本政策或其他适用法律的活动，您可能会承担刑事和/或民事责任”。

作者：陈志宏

单位：中国司法大数据研究院