泰和泰研析丨从“阿里云Apache Log4j2事件”看企业网络安全之漏洞管理合规
网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。……要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。
——2016年4月19日习近平
在网络安全和信息化工作座谈会上的讲话
目 录
第一部分 事件的过程
第二部分 与漏洞管理相关的法律、法规梳理
第三部分 事件简评
第四部分 企业网络安全——漏洞管理合规建议
结 语
2021年绝对算是网络安全、数据安全、个人信息保护历史上浓墨重彩的一年,但正如习总书记所说,网络安全、数据安全天然的隐蔽性,大量的安全事件并不被公众所知悉,公众更为熟知或更为关心的是个人信息、个人隐私的保护。因此,虽然今年通过了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》,但相关的新闻报道也多聚焦在个人信息、个人隐私保护方面,对网络安全、数据安全其它方面知识的介绍仍然少见。
2021年12月22日,据澎湃新闻报道,阿里云作为工信部网络安全威胁信息共享合作平台的合作单位,在发现该漏洞后并未及时向工信部上报,被暂停合作6个月。在暂停期满后,根据阿里云的实际整改情况研究是否恢复合作。
笔者认为,这次事件能很好的向相关行业企业、及其负责人、公众普及“安全漏洞”相关的知识。
第一部分
事件的过程
本次事件的时间线如下:
➯ 11月24日,阿里云的程序员发现在Web服务器软件阿帕奇下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
➯ 12月7日,阿帕奇(Apache)官方发布安全补丁,但效果并不好。
➯ 12月9日,中国工信部收到有关网络安全专业机构报告,发现阿帕奇Apache Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工信部报送相关漏洞信息,而此时距阿里云首次发现已经过去15天。同日,阿帕奇(Apache)官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的阿帕奇(Apache)Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。
➯ 12月10日,中国国家信息安全漏洞共享平台收录阿帕奇(Apache)Log4j2远程代码执行漏洞;阿帕奇(Apache)官方再度发布Log4j-2.15.0-rc2版本修复漏洞。斗鱼、京东、网易等企业相继发出了公告。同日,阿里云在官网公告披露,安全团队发现阿帕奇(Apache)Log4j 2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
➯ 12月11日,美联社报道,中国阿里云安全团队在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现一个漏洞Log4Shell。
➯ 12月14日,中国国家信息安全漏洞共享平台(CNVD)发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
➯ 12月17日,工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》,其中提到,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。
➯ 12月22日,工信部通报,由于阿里云发现阿帕奇(Apache)严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。
➯ 12月23日,阿里云对此做出回应,表示是当时没有意识到漏洞的严重性,才导致最终未及时上报。
第二部分
与漏洞管理相关的法律、法规梳理
一、《网络安全法》
《网络安全法》是我国网络空间领域的基本法律,要求相关机构或个人在处置网络安全漏洞时:
➯ 第22条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
➯ 第25条 制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
➯ 第26条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞等网络安全信息,应当遵守国家有关规定。
➯ 第39条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
二、《数据安全法》
2021年9月1日生效的《数据安全法》中与漏洞管理相关的法条有:
➯ 第22条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
➯ 第29条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。
三、《关键信息基础设施安全保护条例》
《关键信息基础设施安全保护条例》是根据《中华人民共和国网络安全法》,制定的条例。旨在建立专门保护制度,明确各方责任,提出保障促进措施,保障关键信息基础设施安全及维护网络安全。该条例自2021年9月1日生效。其中与漏洞管理相关的法条有:
➯ 第23条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
➯ 第31条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
四、《公共互联网网络安全威胁监测与处置办法》
工信部在2017年8月印发了《公共互联网网络安全威胁监测与处置办法》,并建立了网络安全威胁信息共享平台(https://www.cstis.cn/),负责统一汇集、存储、分析、通报、发布网络安全威胁信息,平台还有会通知存在漏洞、后门的网络服务和产品的提供者,要求采取整改措施,消除安全隐患。相关的法条有:
➯ 第2条 本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件,包括:
(一)被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息,包括木马和僵尸网络控制端,钓鱼网站,钓鱼电子邮件、短信/彩信、即时通信等;
(二)被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等;
(三)网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;
(四)网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等;
(五)其他威胁网络安全或存在安全隐患的情形。
➯ 第6条 相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。
工业和信息化部建立网络安全威胁信息共享平台,统一汇集、存储、分析、通报、发布网络安全威胁信息;制定相关接口规范,与相关单位网络安全监测平台实现对接。国家计算机网络应急技术处理协调中心负责平台建设和运行维护工作。
五、《公安机关互联网安全监督检查规定》
《公安机关互联网安全监督检查规定》是公安部发布,自2018年11月1日起生效的规定,其与漏洞管理相关的法条有:
➯第12条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;
(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。
对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。
➯ 第16条 公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。
公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。
六、《网络产品安全漏洞管理规定》
《网络产品安全漏洞管理规定》(以下简称《规定》)是工业和信息化部、国家互联网信息办公室、公安部共同发布的《网络安全法》的重要配套规范,于2021年9月1日同《数据安全法》一同生效。此规定与漏洞管理息息相关,可以说是我国漏洞管理制度的基础,但相关的报道并不多,因此笔者在此详细介绍其内容。
《规定》虽然条文不多,仅16个条文。但对网络产品安全漏洞发现、报告、修补和发布等行为进行了全面的规范。
1、立法目的及依据:(第1条)
●立法目的:规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。
●立法依据:《网络安全法》
2、适用对象:(第2条)
●网络产品(含硬件、软件)提供者:主要指网络产品的生产商,涉及的条款主要包括第五条、第七条、第十二条。
●网络运营者:沿用了网络安全法的定义,“是指网络的所有者、管理者和网络服务提供者”,规定中出现的产品用户(第七条提到),一般情况下也应属于网络运营者的范畴。涉及的条款主要包括第五条、第七条(部分)、第八条、第十三条。
●从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人:该类对象系相较《网络安全法》《数据安全法》,新列入的管理对象;其涵盖面比较广,包括不限于:各类众测平台、各类非官方的漏洞库、各类与漏洞相关的论坛网站、各类网络安全攻防竞赛或大会等,一定程度上也包括网络运营者内部建立的漏洞管理平台。
3、三个主管部门的职责及分工:(第3条)
●国家互联网信息办公室:负责统筹协调网络产品安全漏洞管理工作。
●工业和信息化部:负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。
●公安部:负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
●跨部门协同配合:实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
4、三项禁止行为:(第4条)任何组织和人
●不得利用网络产品安全漏洞从事危害网络安全的活动;
●不得非法收集、出售、发布网络产品安全漏洞信息;
●明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
5、各个对象的管理责任与义务:
(1)网络产品提供者(第5、7条)
●建立信息接收渠道的义务:应当建立健全网络产品安全 漏洞信息接收渠道,留存网络产品安全漏洞信息接收日志不少于6个月(第5条);该规定与《网安法》第21条第(3)项[1]规定的日志存留时间一致。
●发现、验证和通知义务:发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。(第7条第1项)【发现漏洞-采取措施-组织验证-评估影响-通知上游产品提供者】
●信息报送义务:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。(第7条第2项)
●修补、告知义务:应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。(第7条第3项)【修补漏洞-告知用户升级】
●鼓励建立漏洞奖励机制:鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
(2)网络运营者
●建立信息接收渠道的义务(第5条):应当建立健全网络产品安全漏洞信息接收渠道,留存网络产品安全漏洞信息接收日志不少于6个月;
●发现、验证和修补义务(第8条):网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
(3)从事网络产品安全漏洞发现、收集的组织或者个人
●鼓励向官方平台的报送行为(第10条):鼓励发现网络产品安全漏洞的组织或者个人向以下4个平台报送网络产品安全漏洞信息:
➢工业和信息化部网络安全威胁和漏洞信息共享平台
➢国家网络与信息安全信息通报中心漏洞平台
➢国家计算机网络应急技术处理协调中心漏洞平台
➢中国信息安全测评中心漏洞库
●组织和个人发布漏洞信息的要求(第9条):
➢总原则(必要、真实、客观原则):遵循必要、真实、客观以及有利于防范网络安全风险的原则;
➢没有修补措施前不得发布:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
➢不发布细节:不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
➢不得利用漏洞违法犯罪:不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
➢不得发布相关犯罪工具:不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
➢漏洞信息和修补措施必须同时发布:在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
➢重大活动期间不可擅自发布:在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
➢漏洞信息不得出境:不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
●漏洞收集平台备案义务(第10条):任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
●相关组织内部管理义务(第11条):从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
6、相关处罚
●网络产品提供者的处罚(第12条):
➢未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;
➢构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
●网络运营者的处罚(第13条):网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
●任何违规收集、发布漏洞信息的组织和个人的处罚(第14条):违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
●任何利用漏洞违法犯罪的组织和个人的处罚(第15条):利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
七、网络安全漏洞有关的国家标准
现行的与网络安全漏洞相关的国家标准有以下这些:
●GB/T 28458-2020 《信息安全技术 网络安全漏洞标识与描述规范》
●GB/T 30276-2020 《信息安全技术 网络安全漏洞管理规范》
●GB/T 30279-2020 《信息安全技术 网络安全漏洞分类分级指南》
●GB/T 37954-2019 《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》
第三部分
事件简评
根据工信部的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》、国家信息安全漏洞共享平台(CNVD)《Apache Log4j2远程代码执行漏洞排查及修复手册》、及阿里云《关于开源社区Apache Log4j2漏洞情况的说明》基本可以判定以下事实:
1、阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
2、此次阿帕奇Apache Log4j2组件属于严重安全漏洞隐患,被业界称为“过去十年内最大也是最关键的单一漏洞”。国家信息安全漏洞共享平台(CNVD)对该漏洞综合评级为“高危”。
3、阿里云未意识到该漏洞的严重性,未及时共享漏洞信息。
基于这些事实及本文第二部分对我国现行的与漏洞管理相关的法律、法规的梳理,与此次事件相关的条款主要是《公共互联网网络安全威胁监测与处置办法》第6条、《网络产品安全漏洞管理规定》第7、8、9条。
根据2017年的《公共互联网网络安全威胁监测与处置办法》中第6条的规定,阿里云作为发现漏洞者有义务向工业和信息化部和相关省、自治区、直辖市通信管理局报送该漏洞;但该条并没有明确“及时”的具体时间。
根据今年9月1日刚生效的《网络产品安全漏洞管理规定》中第7、8、9条的规定,阿里云可能涉及以下几种身份:
1、作为网络安全产品提供者:发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。——阿里云是否违反了本条,要看阿里云自身的产品是否使用了该组件;若其使用了该组件,则属于本条的网络产品提供者,有报告的义务,则违反了本条的规定;若其未使用该组件,则不属于本条的网络产品提供者,没有报告的义务。
2、作为网络运营者:网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。——阿里云并未违反此条规定。
3、作为从事网络产品安全漏洞发现、收集的组织或者个人:不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。——阿帕奇软件基金会虽然是境外组织,但其属于上游网络产品(组件)提供者,阿里云将漏洞情况告知阿帕奇软件基金会的行为并未违反此条规定。
由于公开信息较少,很难判断出阿里云此次到底是违反了哪条规定被有关部门通报;新闻爆出以后,网络安全业内人士、网友更是众说纷纭纷云。有人说是因为阿里云的开发人员安全意识淡薄,有人说是阿里云内部管理混乱,有人说此次事件与滴滴安全审查属于同一性质。
其中,有网友从阿里云自己的说明“阿里云未意识到该漏洞的严重性,未及时共享漏洞信息”,推测阿里云最有可能违反的是《网络产品安全漏洞管理规定》中第7条的规定。因为,若阿里云违反的是《公共互联网网络安全威胁监测与处置办法》中第6条的规定,该条并未规定具体的上报时间,严格来讲阿里云并没有违反该条的规定。那么,根据“及时”来看,只能是《网络产品安全漏洞管理规定》中第7条的规定。
笔者认为,阿里云作为国内顶尖的云厂商,在我国近年来日益加强的网络安全和数据安全监管环境下,不可能是没有安全意识,其内部管理也应是国内一流;事件发生后,阿里云仅受到有关部门通报,并未受到行政处罚,可能并不是违反了《网络产品安全漏洞管理规定》第7条的规定。理由如下:
1、相关部门官网并未有对阿里云的行政处罚决定,仅是从媒体报道中得知暂停了阿里云的合作单位资格。
从媒体对工信部网络安全管理局对此次事件的通报中看出,只是暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月,其不属于行政处罚,更像是一种警示。若此次事件阿里云违反了相关规定,有关部门需按《网络安全法》的规定进行处罚。因此,有关部门认为阿里云此次并未违反有关规定,但违反了共享平台的有关义务。
2、《网络产品安全漏洞管理规定》中第7条的规定可能与安全行业漏洞挖掘者的行业惯例冲突。
根据行业惯例,漏洞挖掘者发现漏洞后,需按以下流程处理:第一步验证漏洞后,立即上报给相应的开发商;第二步,在开发商给出公告前,尽可能保密;第三步,开发商发布公告和感谢后,才可帮助有关第三方,为其提供技术支持。[2]
《规定》第7条没有明确“漏洞”判定主体是谁,以漏洞挖掘者的判定为准?还是以开发商的判定为准?还是相关部门的判定为准?
根据上述行业惯例来看,漏洞的判定主体应为开发商(即网络产品提供者),但在立法部门未进行进一步解释的情况来看,《规定》第7条规定的“漏洞”判定主体可能与行业惯例冲突。
3、《网络产品安全漏洞管理规定》第7条的规定不够具体,需要进一步的解释。
除了上文提到的“漏洞”判定者存在歧义外,《规定》第7条中的“应2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”中的“2日”的起算日是从什么时间开始起算也未明确。在采用行业惯例,漏洞挖掘者发现漏洞后,由开发商来判定其是否是“漏洞”的情况下;“2日”的起算日,是从漏洞挖掘者发现漏洞之日开始起算,还是从开发商确定为漏洞之日开始起算?
具体到此次事件中,若采用从漏洞挖掘者发现漏洞之日,即阿里云向Apache报告之日(11月24日)起算;若采用从开发商确定为漏洞之日开始起算,即Apache官方发布安全补丁之日(12月7日)起算。若采用前者,11月24日到12月9日肯定超过了“2日”,阿里云违规;若采用后者,12月9日工信部收到相关报告在2日之内,阿里云并不违规。那么阿里云到底是否违规,关键在于立法部门对上述疑问的进一步解释。
综上,从此次事件官方对阿里云的处罚、业内人士和网友的观点暴露出,我国对漏洞管理的现行法律法规还不够完善、不够清晰,需要立法部门进一步作出解释,给予漏洞发现者更为明确的规范指引。笔者除了上述对《规定》第7条的疑惑,还有以下问题,有待相关部门明确:
《公共互联网网络安全威胁监测与处置办法》第6条,与《网络产品安全漏洞管理规定》第7、8、9条之间,是什么关系?几个条款之间是需要同时适用,还是排斥适用?若为排斥适用,每个条款适用的条件是什么?若为同时适用,几个条款之间的义务是否有优先级顺序?
《公共互联网网络安全威胁监测与处置办法》第6条的规定,有上报义务,但“及时”的具体时间是多久?《规定》第8条,发现安全漏洞,除了采取措施外,有没有漏洞报送义务?
第四部分
企业网络安全——漏洞管理合规建议
随着我国对网络安全、数据安全监管的不断加强,企业的相关合规义务也日益加强。正如此次事件中,阿里云发现了被业界称为“过去十年内最大也是最关键的单一漏洞”,本来是一件值得被称赞的事;然而最终结果不但没有得到业内的称赞,还受到了相关部门的通报处罚。其中原因,正如阿里云自己的说明,其在网络安全领域“合规意识”不强,需要加强。
此外,由于网络安全漏洞本身的性质,漏洞管理在网络安全行业业内,尤其是“白帽子”群体中一直是一个令人头疼的问题。
从漏洞管理者的角度来看,漏洞的发现离不开民间的漏洞发现者,这些漏洞发现者多数为民间的网络安全者;因此国家和民间的漏洞共享平台往往会给予漏洞发现者一定的奖励,以鼓励相关人员更多的发现漏洞、弥补漏洞。
从漏洞发现者的角度来看,作为民间的漏洞发现者,其进行漏洞发掘和报送都存在较高的法律风险,其稍有不慎即可触犯《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。例如2015年安全圈里“白帽”黑客袁炜将漏洞提交给“乌云网”后被捕,乌云网关闭事件。过去这种不够具体、不够清晰的漏洞管理制度,让漏洞发现者们往往不愿、甚至不敢报送安全漏洞。
但笔者认为,随着《网络产品安全漏洞管理规定》的生效,以及企业合规不起诉制度的推行,漏洞管理者想要将漏洞管理这个“烫手的山芋”变得不再“烫手”,可以从以下几方面入手:
1、 设置专门的合规管理负责人。
由专人负责相关合规工作,例如首席合规官,其可以是专门负责漏洞管理合规,亦可以是负责企业整体的合规工作。
2、 配备专门的合规管理人员。
合规管理人员应包括:信息安全部门、IT部门、法务部门等;由其在合规管理负责人的带领下,共同制定漏洞规则;围绕接收、响应、处置的流程,草拟漏洞接收后的反馈文本,指定的漏洞报送的格式,以及是否有奖励措施。
3、 梳理网络安全漏洞合规义务。
企业可根据《网络产品安全漏洞管理规定》,看自己属于网络产品提供者、网络运营者、还是网络产品安全漏洞收集平台,梳理对应的合规义务。其中,应注意无论什么角色,企业都应确保安全漏洞的接收日志留存期限不少于6个月。从事网络产品安全漏洞收集平台业务,应当尽快完成工信部备案。
4、 在网络产品、服务采购的合同中设置专门的条款。
若企业需要外购网络产品、服务,在采购合同中,应设置专门的条款对网络安全漏洞的处置责任、披露义务、免责情形、过错承担等内容进行明确约定。
5、 构建有效的网络安全漏洞响应机制。
企业根据自己的情况,可以选择设立安全运营中心,或在网站、App设立专门页面、专门的邮箱等接收漏洞报告;如果企业自身的技术能力有限,亦可以与专业的安全厂商合作建立企业的安全运营中心,以支撑起漏洞管理合规工作。
6、 明确企业内外部发现漏洞的报送程序。
由于安全漏洞的性质特殊,正如安全无小事,企业若想规避相应的风险,建议明确企业可对外报送漏洞的人员。在相关人员发现漏洞后报送给专门的负责人,由其向相关部门报送,建议取得相关部门同意后再将漏洞信息报送给境外组织和个人。
7、 定期对相关人员进行培训或教育。
由于漏洞管理主要靠企业的技术人员,但技术人员在日常工作中可能没有那么关注法律、法规、政策的变动,企业应该定期组织相关人员参加培训或教育。加强相关人员的安全意识,注意对新法的学习,切忌用行业惯例代替法律法规。
8、 密切关注法律、政策新动向。
由于近年来,我国对网络安全、数据安全领域的重视程度不断加强,相关的法律、法规也在不断完善。企业需要密切关注其立法趋势。例如,此次事件之后,12月22日,工信部官网发布了《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》(以下简称《工作指引》),并面向社会公开征求意见。
按照《工作指引》,数据安全风险信息,是指通过检测、评估、信息搜集、授权监测等手段获取的,包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等数据安全风险:企业可根据自身情况提出相应的意见,等该指引正式生效即可及时更新企业相关的义务。
9、 条件允许可进行风险直报单位名录遴选。
根据《工作指引》的相关规定,工信部(网安局)鼓励部系统各单位、安全企业、数据处理者、科研院所、行业组织等单位开展风险信息报送,遴选支撑服务能力强、技术水平高、报送信息质量优的单位建立风险直报单位名录,并实施名录动态管理。地方工业和信息化主管部门、地方通信管理局应当组织开展本地区风险报送单位遴选、推荐等工作,建立本地区风险报送单位名录,并加强名录管理。企业若入选风险直报单位名录,即会建立起与监管部门的沟通机构,以便在工作中更好的合规。
10、一旦涉嫌违反《刑法》相关规定,尽早提出合规从宽申请。
由最高人民检察院发起的,正在我国火热进行的第二批企业合规改革试点工作,已经将企业合规不起诉制度发展到企业合规从宽制度。其适用对象除了涉罪企业外,也包括企业经营者、管理者和关键核心人员等;既包括单位犯罪,也包括个人犯罪。
企业合规不起诉制度一般适用于可能判处3年以下徒刑的轻微案件,但随着合规从宽制度的探索实践,不排除可作为部分重刑案件量刑的考量因素。根据辽宁省检察院等十机关制定的《关于建立涉罪企业合规考察制度的意见》(“《合规考察制度意见》”)规定,第六条第一款[3]、第三款的规定[4],同时针对可能判处3年以上10年以下有期徒刑的案件规定了适用条件。
该制度的推行,笔者认为,或可以为企业和“白帽子”群体带来更好的保障。
➣企业作为该制度的当然适用对象,当然可以适用该制度;
➣作为漏洞发现者的个人,即“白帽子”群体,多为企业的关键核心人员,亦属于该制度可能适用的对象;
➣《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪;仅在情节特别严重下,才适用3年以上7年以下有期徒刑,并处罚金;其余均为3年以下有期徒刑。虽然,有专家指出,在试点阶段,应严格将其使用范围限定在3年以下有期徒刑的犯罪;待将来修改法律时,再考虑将其扩展到7年有期徒刑以下的犯罪。但笔者认为,无论是试点阶段还是未来正式修法阶段,企业合规从宽制度肯定都适用于上述罪名。
【结 语】
综上所述,随着我国网络安全、数据安全领域法律法规的不断完善,以及合规从宽制度的不断发展,我国网络安全细分领域漏洞管理的相关工作将会向监管更严格、合规指引更明确的方向发展,相关企业、人员应加强合规意识,提前部署合规工作,以做到“有备无患”;立法部门亦应进一步落实有关配套法规的制定研究,以解除相关人员的疑惑,从而更好的激发网络安全从业人员的活力,更好的为建设“网络安全强国”作贡献。
特别鸣谢网络安全专家吴海民对本文的贡献!
相关术语
1、3个相关角色的介绍
• 安全应急响应中心(Security Response Center, SRC),主要职责:一是长期维持与外部白帽子的良好合作关系,二是组织安全众测活动和日常挖掘并收集组织存在的漏洞和其他安全隐患,三是发放漏洞赏金。
• 事件响应小组,(Incident Response Team,IRT),负责在事件生存周期中处理事件。IRT在不同的组织中,通常也被称为计算机应急响应小组(Computer Emergency Response Team,CERT)和计算机安全事件响应小组(Computer Security Incident Response Team ,CSIRT)。
• 产品安全与应急响应团队,(Product Security Incident Response Team, PSIRT),其主要职责是快速响应各类渠道获知的产品相关漏洞,同时遵守ISO/IEC 29147漏洞的披露规则,秉承负责任的态度,进行漏洞反馈、漏洞确认及验证、表示感谢、发布公告、产品安全漏洞修复计划、补丁信息等信息。
2、对《规定》第9条中“重大活动”的理解:
笔者认为,对该“重大活动”的理解可以分三类:
• 重大国际影响的国事活动,如:峰会、两会等;
• 国际交往活动,如:奥运会、亚运会、世锦赛、世博会等;
• 国家庆典,如:周年庆、宣传周、纪念日等
3、相关的官方平台:共享平台、漏洞平台、漏洞库
在《规定》的第7条、第10条中提到了相关的官方漏洞平台,主要有以下几个:
➣工业和信息化部网络安全威胁和漏洞信息共享平台,又称工业和信息化部网络安全威胁信息共享平台(MIIT Network Security Threat Information Sharing Platform,CSTIS平台),根据《公共互联网网络安全威胁监测与处置办法》建立,主办单位为中国信息通信研究院。
➣ 国家计算机网络应急技术处理协调中心漏洞平台:即由国家计算机网络应急技术处理协调中心(又称国家互联网应急中心,英文The National Computer Network Emergency Response Technical Team/Coordination Center of China,CNCERT/CC or CERT),负责管理和维护的国家信息安全漏洞共享平台(the China National Vulnerability Database, CNVD)。
➣中国信息安全测评中心漏洞库:即国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD),于2009年10月18日正式成立;由中国信息安全测评中心负责管理和维护。
《规定》中未提到的平台:
➣中国反网络病毒联盟(Anti Network-Virus Alliance of China,ANVA)主办,也有一个网络安全威胁信息共享平台,[share.anva.org.cn]
➣ 通用漏洞与披露(Common Vulnerabilities & Exposures,CVE),是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
➣通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)Ÿ 工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)
➣ 移动互联网APP产品安全漏洞专业库(https://cappvd.cstc.org.cn)
➣ 车联网产品安全漏洞专业库(https://cavd.org.cn)
4、Apache Log4j2是什么
Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具,是基于Java语言的开源日志框架,被广泛用于业务系统开发。
阿帕奇软件基金会(Apache)于1999年在美国成立,是专门为支持开源软件项目而办的一个非营利性组织,总部位于美国马里兰州。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。
5、白帽子
“白帽子”黑客,是相对于从事出于破坏信息系统、窃取机密数据等不法目的,未经授权入侵或攻击他人计算机系统的“黑帽”黑客所提出的概念,与之相反,“白帽”黑客虽然也会侵入与攻击计算机系统,但往往是出于检查系统漏洞、维护网络安全或磨练自身计算机技术等“正当”目的而进行网络攻击。
6、乌云网关闭事件
2015年12月,“白帽”黑客袁炜对世纪佳缘网站进行常规的安全检测后发现了该网站的漏洞,并将该漏洞提交给了专门从事厂商与研究者安全问题反馈沟通的第三方平台乌云网,世纪佳缘网也在确认后修复了该漏洞,并按乌云网的规则向漏洞提交者给付报酬致谢。
但不久后,世纪佳缘网以用户信息泄露为由向公安机关报案,称其数据被窃取。据查,世纪佳缘网站共计受到11个SQL注入攻击,全部来源于同一IP地址,网站内932条实名注册信息被窃取,随后北京市朝阳区检察院以涉嫌非法获取计算机信息系统数据犯罪逮捕了袁炜。2016年7月,乌云网贴出“服务升级”公告,网站无法访问。
相关报道
工信部:
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html
澎湃:
https://www.thepaper.cn/newsDetail_forward_15977704
阿里云:
https://help.aliyun.com/noticelist/articleid/1060977701.html?spm=a2c4g.789004748.n2.12.5cfd4c078RkLZC
Apache:
https://logging.apache.org/log4j/2.x/security.html?spm=a2c4g.11174386.n2.5.58904c07kZHdsT
参考文献及资料
[1]第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
[2] Caozsay:《关于所谓0day漏洞的一些科普》,
https://mp.weixin.qq.com/s/E9rVhv3imGYHVIw5eoc7YA
作者简介
兰珊 律师
专利代理师
业务领域:网络(数据)安全、知识产权、TMT、电商、金融科技等
近期文章推荐
ARTICAL
2021-12-21
2021-12-13
2021-12-02
2021-11-18