随着信息技术的发展,网络安全问题已经成为社会普遍关注的热点问题,而解决网络安全漏洞也成为当前紧要任务。基于此,本文就网络安全漏洞披露规则及其体系设计进行研究,首先就网络安全披露中的不披露类型、完全披露类型和有限披露类型进行分析,然后阐述传统网络安全漏洞披露政策和现代网络安全漏洞披露政策,最后从披露主体、披露对象和披露方式的角度分析其体系设计。 标签:网络安全;披露规则;体系设计
引言:
当前互联网已经在人们生活和工作中得到普遍应用,这使得社会运行的效率得到极大的提升,但同时也暴露出诸多网络安全问题。作为网络安全风险防控的一种关键措施,网络安全漏洞披露具有至关重要的作用,不仅能够分化网络中存在的风险,还能够通过各类情报的收集和整合,构建起行之有效的风险预警系统,从而提高网络的安全程度,避免因网络攻击和病毒感染造成损失。
一、网络安全漏洞披露的类型分析
(一)不披露
在长期的发展过程中,网络安全漏洞披露问题一直是社会关注的焦点,很多国家还针对这一问题开展多元化的实践。在网络安全漏洞披露的类型中,不披露是典型的一种途径。选择不披露网络安全风险漏洞的发现人员,其行为特征具有以下特点:一是阻碍社会公众的知情权,不将消息公布给社会公众;二是隐瞒厂商,不将网络安全漏洞上报给厂商,从而实现及时处理;三是存在黑灰市交易,在危害用户利益的基础上,以违法交易的方式使网络安全遭受攻击,从而谋取利益。 (二)完全披露
与不披露类型的发现人员相比较,选择完全披露网络安全隐患的发现人员是在发现漏洞后的第一时间将信息公布给社会公众,并且上报厂商进行及时处理。针对这一披露类型,社会有两种不同的声音。第一种声音对这种行为持支持态度,认为这种手段不仅能够及时将漏洞反馈给厂商,使厂商做出及时正确的处理手段,同时告知公众避免使用存在漏洞的软
件或系统,降低网络安全危害的程度,而另一种声音则认为完全纰漏会给黑客可乘之机,在获取所有漏洞消息的基础上,黑客能够更加便利的开发漏洞、潜入系统,从而造成更大的网络安全隐患。
(三)有限披露
有限披露是介于不披露和完全披露两种类型中的一种中和方式,这种类型也称为负责任披露,指的是发现网络安全漏洞的人员在第一时间上报厂商对系统或软件进行改进,然后制定完善的应对方案,在此条件下,厂商向社会公布安全漏洞,同时将补丁方案发放给社会公众,使社会公众的网络安全得到保障。这种类型的披露方式不仅能够有效维护网络安全,还能够保障公众和厂商的利益,因此在实践中得到广泛的应用,但是在具体操作中仍然具有完全披露的风险。
二、网络安全漏洞的披露规则分析
(一)传统漏洞披露政策
传统的漏洞披露政策以负责任披露类型为依据,对网络安全漏洞事件进行政策引导。例如
美国计算机紧急事件响应小组协调中心主要偏重于负责任披露这一类型,在网络安全漏洞防护中充当第三方政府机构的角,一方面将发现的安全漏洞及时反馈给厂商,督促厂商对安全漏洞进行及时测试修补,另一方面保障公众的知情权利,在45天后将安全漏洞信息公布给社会公众,因此45天就是政策中规定的一个法定期限,但是在实际实施中仍然存在一些意外情况,例如为了使网络安全得到更加可靠的保障,某些情况下小组工作人员还将社会公布的期限延迟,给予厂商更多修补漏洞、研发补丁的时间。歼8t
(二)现代漏洞披露政策
1.网络安全信息共享
网络安全信息共享是美国政府在近年来推出的典型的有关网络安全的综合性法律,这一法律明确规定,当存在网络安全漏洞时,社会公众和企业可以在法定的情况下与政府机构共享相关信息,并且构建起一条先授权、再发现、最后共享的披露路径,使网络安全得到维护。
2.VEP政策
VEP政策就是政府机构对网络安全漏洞进行发现、采购和整合,然后通过评估漏洞风险等级的方式,使网络安全漏洞得到两种途径的应用,一种途径是在漏洞风险等级较低的情况下,将漏洞信息作为国防、执法和情报等信息的一部分进行收集,然后归属于国际秘密,另一种途径是在漏洞风险等级较高的情况下,以有限披露的原则,对漏洞信息进行公布[1]。
3.补丁法案
补丁法案是对VEP政策的进一步改进和优化,结合披露类型和披露方式的实践结果,补丁法案着重加强网络安全漏洞裁决审查的环节,以建立裁决审查委员会的形式,对网络安全漏洞的披露程序进行进一步的完善,例如网络安全漏洞在经过裁决审查后决定进行有限纰漏,那么国土安全部也作为披露对象中的一个。
三、网络安全漏洞的披露體系设计
(一)披露主体
结合我国网络安全保护的现状,对网络安全漏洞的披露主体进行研究。当前我国网络安全
漏洞的披露主体主要为以下几种类型,分别是厂商、政府机构和网络安全服务机构。就厂商而言,着重发挥自身的安全保障责任和义务。由于厂商与存在漏洞的网络系统或软件之间具有直接关系,因此厂商是最不惧社会争议的披露主体;就政府机构而言,主要以法律为基础,对网络安全漏洞保持权利和义务。政府机构主要分为国际级安全漏洞披露平台和安全漏洞披露协调及决策部门。就前者来看,主要对网络安全漏洞进行获取、收集、验证、发布、通报、分析、修补等,是典型的国家级披露主体;就后者来看,主要以跨部门协调的方式,对安全漏洞进行决策披露;就网络安全服务机构而言,主要以社会第三方机构的角度,对安全风险进行专业评估和认证,着重为政府机构提供第三方技术支持。
全国政法队伍建设工作会议(二)披露对象
披露对象主要分为两个部分,一部分为用户,另一部分为政府机构。用户指的是存在安全漏洞产品的购买者和使用者,由于直接受到安全漏洞的侵害,因此用户依法享有知情权,而用户利益至上理念一直是披露体系设计的核心原则,无论从《消费者权益法》、《合同法》还是《网络安全法》,都明确规定用户为披露的法定对象;政府机构主要指的是国务院公安、网信部门、保密行政管理部门、密码管理部门、安全管理部门等,根据《网络安全法》规定,政府机构依法享有知情权,从而发挥监测预警的作用[2]。
(三)披露方式
其一,用户依法享有知情权,因此网络安全信息漏洞应该由披露主体告知用户,使用户明确系统存在的安全风险和隐患,同时享有追究责任的权利。告知用户的信息既要包括网络安全漏洞,同时包括安全风险、防控措施、补丁方案、追求权利等内容;其二,政府机构必须发挥网络监测预警的作用,因此必须依法获知信息,为此公安部门、网信部门和工信部门应该发挥协调作用,将披露信息上报给主管部门,其中应包括检测报告、验证报告、风险评估报告、安全事件应急报告等;其三,要严格遵循国家法律规范,在保障网络信息共享的基础上,充分考虑和评估信息发布后的风险,并对发布程序进行全面的监督和审核[3]。
结论:
综上所述,针对网络安全漏洞披露规则及其体系设计的探究是非常必要的。在互联网时代,必须对网络安全进行全面维护,对各方利益进行协调,建立法制而规范的网络社会。为此我国应该完善对网络安全漏洞纰漏的规则设计,结合实践特点和国外先进经验,构建科学的网络安全漏洞披露体系,使各方协同作用得到充分发挥。希望本文能够为研究网络
工程资料库安全漏洞披露规则及其体系设计的相关人员提供参考。
参考文献:李京姬>地域网
[1]黄道丽.网络安全漏洞披露规则及其体系设计[J].暨南学报(哲学社会科学版),2018,40(01):94-106.
生殖器官
[2]于成丽.我国漏洞披露平台安全问题分析及对策建议[J].保密科学技术,2017(01):56-59.
[3]李小武.披露还是隐匿,这确实是个问题——软件安全漏洞的披露及法律责任[J].中国信息安全,2016(07):51-56.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议