網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)

網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為社會(huì)普遍關(guān)注的熱點(diǎn)問(wèn)題，而解決網(wǎng)絡(luò)安全漏洞也成為當(dāng)前緊要任務(wù)?；诖?，本文就網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)進(jìn)行研究，首先就網(wǎng)絡(luò)安全披露中的不披露類(lèi)型、完全披露類(lèi)型和有限披露類(lèi)型進(jìn)行分析，然后闡述傳統(tǒng)網(wǎng)絡(luò)安全漏洞披露政策和現(xiàn)代網(wǎng)絡(luò)安全漏洞披露政策，最后從披露主體、披露對(duì)象和披露方式的角度分析其體系設(shè)計(jì)。標(biāo)簽：網(wǎng)絡(luò)安全；披露規(guī)則；體系設(shè)計(jì)引言：當(dāng)前互聯(lián)網(wǎng)已經(jīng)在人們生活和工作中得到普遍應(yīng)用，這使得社會(huì)運(yùn)行的效率得到極大的提升，但同時(shí)也暴露出諸多網(wǎng)絡(luò)安全問(wèn)題。作為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控的一種關(guān)鍵措施，網(wǎng)絡(luò)安全漏洞披露具有至關(guān)重要的作用，不僅能夠分化網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，還能夠通過(guò)各類(lèi)情報(bào)的收集和整合，構(gòu)建起行之有效的風(fēng)險(xiǎn)預(yù)警系統(tǒng)，從而提高網(wǎng)絡(luò)的安全程度，避免因網(wǎng)絡(luò)攻擊和病毒感染造成損失。一、網(wǎng)絡(luò)安全漏洞披露的類(lèi)型分析（一） 不披露在長(zhǎng)期的發(fā)展過(guò)程中，網(wǎng)絡(luò)安全漏洞披露問(wèn)題一直是社會(huì)關(guān)注的焦點(diǎn)，很多國(guó)家還針對(duì)這一問(wèn)題開(kāi)展多元化的實(shí)踐。在網(wǎng)絡(luò)安全漏洞披露的類(lèi)型中，不披露是典型的一種途徑。選擇不披露網(wǎng)絡(luò)安全風(fēng)險(xiǎn)漏洞的發(fā)現(xiàn)人員，其行為特征具有以下特點(diǎn)：一是阻礙社會(huì)公眾的知情權(quán)，不將消息公布給社會(huì)公眾；二是隱瞞廠商，不將網(wǎng)絡(luò)安全漏洞上報(bào)給廠商，從而實(shí)現(xiàn)及時(shí)處理；三是存在黑灰市交易，在危害用戶利益的基礎(chǔ)上，以違法交易的方式使網(wǎng)絡(luò)安全遭受攻擊，從而謀取利益。（二） 完全披露與不披露類(lèi)型的發(fā)現(xiàn)人員相比較，選擇完全披露網(wǎng)絡(luò)安全隱患的發(fā)現(xiàn)人員是在發(fā)現(xiàn)漏洞后的第一時(shí)間將信息公布給社會(huì)公眾，并且上報(bào)廠商進(jìn)行及時(shí)處理。針對(duì)這一披露類(lèi)型，社會(huì)有兩種不同的聲音。第一種聲音對(duì)這種行為持支持態(tài)度，認(rèn)為這種手段不僅能夠及時(shí)將漏洞反饋給廠商，使廠商做出及時(shí)正確的處理手段，同時(shí)告知公眾避免使用存在漏洞的軟件或系統(tǒng)，降低網(wǎng)絡(luò)安全危害的程度，而另一種聲音則認(rèn)為完全紙漏會(huì)給黑客可乘之機(jī)，在獲取所有漏洞消息的基礎(chǔ)上，黑客能夠更加便利的開(kāi)發(fā)漏洞、潛入系統(tǒng)，從而造成更大的網(wǎng)絡(luò)安全隱患。（三） 有限披露有限披露是介于不披露和完全披露兩種類(lèi)型中的一種中和方式，這種類(lèi)型也稱為負(fù)責(zé)任披露，指的是發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的人員在第一時(shí)間上報(bào)廠商對(duì)系統(tǒng)或軟件進(jìn)行改進(jìn)，然后制定完善的應(yīng)對(duì)方案，在此條件下，廠商向社會(huì)公布安全漏洞，同時(shí)將補(bǔ)丁方案發(fā)放給社會(huì)公眾，使社會(huì)公眾的網(wǎng)絡(luò)安全得到保障。這種類(lèi)型的披露方式不僅能夠有效維護(hù)網(wǎng)絡(luò)安全，還能夠保障公眾和廠商的利益，因此在實(shí)踐中得到廣泛的應(yīng)用，但是在具體操作中仍然具有完全披露的風(fēng)險(xiǎn)。二、網(wǎng)絡(luò)安全漏洞的披露規(guī)則分析（一） 傳統(tǒng)漏洞披露政策傳統(tǒng)的漏洞披露政策以負(fù)責(zé)任披露類(lèi)型為依據(jù)，對(duì)網(wǎng)絡(luò)安全漏洞事件進(jìn)行政策引導(dǎo)。例如美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心主要偏重于負(fù)責(zé)任披露這一類(lèi)型，在網(wǎng)絡(luò)安全漏洞防護(hù)中充當(dāng)?shù)谌秸畽C(jī)構(gòu)的角色，一方面將發(fā)現(xiàn)的安全漏洞及時(shí)反饋給廠商，督促?gòu)S商對(duì)安全漏洞進(jìn)行及時(shí)測(cè)試修補(bǔ)，另一方面保障公眾的知情權(quán)利，在45天后將安全漏洞信息公布給社會(huì)公眾，因此45天就是政策中規(guī)定的一個(gè)法定期限，但是在實(shí)際實(shí)施中仍然存在一些意外情況，例如為了使網(wǎng)絡(luò)安全得到更加可靠的保障，某些情況下小組工作人員還將社會(huì)公布的期限延遲，給予廠商更多修補(bǔ)漏洞、研發(fā)補(bǔ)丁的時(shí)間。（二） 現(xiàn)代漏洞披露政策網(wǎng)絡(luò)安全信息共享網(wǎng)絡(luò)安全信息共享是美國(guó)政府在近年來(lái)推出的典型的有關(guān)網(wǎng)絡(luò)安全的綜合性法律，這一法律明確規(guī)定，當(dāng)存在網(wǎng)絡(luò)安全漏洞時(shí)，社會(huì)公眾和企業(yè)可以在法定的情況下與政府機(jī)構(gòu)共享相關(guān)信息，并且構(gòu)建起一條先授權(quán)、再發(fā)現(xiàn)、最后共享的披露路徑，使網(wǎng)絡(luò)安全得到維護(hù)。VEP政策VEP政策就是政府機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行發(fā)現(xiàn)、采購(gòu)和整合，然后通過(guò)評(píng)估漏洞風(fēng)險(xiǎn)等級(jí)的方式，使網(wǎng)絡(luò)安全漏洞得到兩種途徑的應(yīng)用，一種途徑是在漏洞風(fēng)險(xiǎn)等級(jí)較低的情況下，將漏洞信息作為國(guó)防、執(zhí)法和情報(bào)等信息的一部分進(jìn)行收集，然后歸屬于國(guó)際秘密，另一種途徑是在漏洞風(fēng)險(xiǎn)等級(jí)較高的情況下，以有限披露的原則，對(duì)漏洞信息進(jìn)行公布［1］。3.補(bǔ)丁法案補(bǔ)丁法案是對(duì)VEP政策的進(jìn)一步改進(jìn)和優(yōu)化，結(jié)合披露類(lèi)型和披露方式的實(shí)踐結(jié)果，補(bǔ)丁法案著重加強(qiáng)網(wǎng)絡(luò)安全漏洞裁決審查的環(huán)節(jié)，以建立裁決審查委員會(huì)的形式，對(duì)網(wǎng)絡(luò)安全漏洞的披露程序進(jìn)行進(jìn)一步的完善，例如網(wǎng)絡(luò)安全漏洞在經(jīng)過(guò)裁決審查后決定進(jìn)行有限紙漏，那么國(guó)土安全部也作為披露對(duì)象中的一個(gè)。（一） 披露主體結(jié)合我國(guó)網(wǎng)絡(luò)安全保護(hù)的現(xiàn)狀，對(duì)網(wǎng)絡(luò)安全漏洞的披露主體進(jìn)行研究。當(dāng)前我國(guó)網(wǎng)絡(luò)安全漏洞的披露主體主要為以下幾種類(lèi)型，分別是廠商、政府機(jī)構(gòu)和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。就廠商而言，著重發(fā)揮自身的安全保障責(zé)任和義務(wù)。由于廠商與存在漏洞的網(wǎng)絡(luò)系統(tǒng)或軟件之間具有直接關(guān)系，因此廠商是最不懼社會(huì)爭(zhēng)議的披露主體；就政府機(jī)構(gòu)而言，主要以法律為基礎(chǔ)，對(duì)網(wǎng)絡(luò)安全漏洞保持權(quán)利和義務(wù)。政府機(jī)構(gòu)主要分為國(guó)際級(jí)安全漏洞披露平臺(tái)和安全漏洞披露協(xié)調(diào)及決策部門(mén)。就前者來(lái)看，主要對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行獲取、收集、驗(yàn)證、發(fā)布、通報(bào)、分析、修補(bǔ)等，是典型的國(guó)家級(jí)披露主體；就后者來(lái)看，主要以跨部門(mén)協(xié)調(diào)的方式，對(duì)安全漏洞進(jìn)行決策披露；就網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)而言，主要以社會(huì)第三方機(jī)構(gòu)的角度，對(duì)安全風(fēng)險(xiǎn)進(jìn)行專業(yè)評(píng)估和認(rèn)證，著重為政府機(jī)構(gòu)提供第三方技術(shù)支持。（二） 披露對(duì)象披露對(duì)象主要分為兩個(gè)部分，一部分為用戶，另一部分為政府機(jī)構(gòu)。用戶指的是存在安全漏洞產(chǎn)品的購(gòu)買(mǎi)者和使用者，由于直接受到安全漏洞的侵害，因此用戶依法享有知情權(quán)，而用戶利益至上理念一直是披露體系設(shè)計(jì)的核心原則，無(wú)論從《消費(fèi)者權(quán)益法》、《合同法》還是《網(wǎng)絡(luò)安全法》，都明確規(guī)定用戶為披露的法定對(duì)象；政府機(jī)構(gòu)主要指的是國(guó)務(wù)院公安、網(wǎng)信部門(mén)、保密行政管理部門(mén)、密碼管理部門(mén)、安全管理部門(mén)等，根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，政府機(jī)構(gòu)依法享有知情權(quán)，從而發(fā)揮監(jiān)測(cè)預(yù)警的作用［2］。（三） 披露方式其一，用戶依法享有知情權(quán)，因此網(wǎng)絡(luò)安全信息漏洞應(yīng)該由披露主體告知用戶，使用戶明確系統(tǒng)存在的安全風(fēng)險(xiǎn)和隱患，同時(shí)享有追究責(zé)任的權(quán)利。告知用戶的信息既要包括網(wǎng)絡(luò)安全漏洞，同時(shí)包括安全風(fēng)險(xiǎn)、防控措施、補(bǔ)丁方案、追求權(quán)利等內(nèi)容；其二，政府機(jī)構(gòu)必須發(fā)揮網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警的作用，因此必須依法獲知信息，為此公安部門(mén)、網(wǎng)信部門(mén)和工信部門(mén)應(yīng)該發(fā)揮協(xié)調(diào)作用，將披露信息上報(bào)給主管部門(mén)，其中應(yīng)包括檢測(cè)報(bào)告、驗(yàn)證報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告、安全事件應(yīng)急報(bào)告等；其三，要嚴(yán)格遵循國(guó)家法律規(guī)范，在保障網(wǎng)絡(luò)信息共享的基礎(chǔ)上，充分考慮和評(píng)估信息發(fā)布后的風(fēng)險(xiǎn)，并對(duì)發(fā)布程序進(jìn)行全面的監(jiān)督和審核［3］。結(jié)論：綜上所述，針對(duì)網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)的探究是非常必要的。在互聯(lián)網(wǎng)時(shí)代，必須對(duì)網(wǎng)絡(luò)安全進(jìn)行全面維護(hù)，對(duì)各方利益進(jìn)行協(xié)調(diào)，建立法制而規(guī)范的網(wǎng)絡(luò)社會(huì)。為此我國(guó)應(yīng)該完善對(duì)網(wǎng)絡(luò)安全漏洞紙漏的規(guī)則設(shè)計(jì)，結(jié)合實(shí)踐特點(diǎn)和國(guó)外先進(jìn)經(jīng)驗(yàn)，構(gòu)建科學(xué)的網(wǎng)絡(luò)安全漏洞披露體系，使各方協(xié)同作用得到充分發(fā)揮。希望本文能夠?yàn)檠芯烤W(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)的相關(guān)人員提供參考。參考文獻(xiàn):黃道麗.網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體