• 关于我们 联系我们
当前位置:安全行业动态 → 正文

“白帽子”挖掘漏洞行为亟待法律规范

责任编辑:editor004 作者:李含 唐梦君 |来源:企业网D1Net  2016-08-24 11:54:33 本文摘自:法治周末

目前,我国法律尚未涉及到安全漏洞、“白帽子”、众测平台等一些新兴概念,也缺少对漏洞挖掘行为和漏洞挖掘报告的交易和利用等方面的直接规定

乌云网停摆状态还在持续,“白帽子”这一群体的的罪与罚话题,依旧是网络安全界讨论的热点。

“对‘白帽子’的身份要给予正确说法,在我看来,‘白帽子’是网络安全领域不可或缺的补充力量。”在8月16日第四届中国互联网安全大会的网络安全与法治论坛上,西安交通大学信息安全法律研究中心主任马民虎给出了如此看法。

然而,马民虎也指出,为了使“白帽子”在网络社会中能够更多地发挥积极价值,而不是走上歧途,需要社会为其成长提供一个畅通渠道,并且从法律和政策上提供保障与支持。

“白帽子”成解决漏洞问题重要环节

《中国互联网站发展状况及其安全报告(2016)》的统计数据显示:截至2015年12月底,中国网站总量达到426.7万余个;而由于各种各样安全漏洞的存在,网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁,公共互联网环境仍面临较为严峻的安全态势。

“可以说,所有网络安全问题的产生,以及网络安全威胁的存在,都和漏洞有紧密关系。”国家互联网应急中心运行部副主任严寒冰介绍,近些年来,随着人们对安全漏洞的越发重视,尤其从2009年以后多家漏洞报告平台的陆续成立,如补天平台、乌云网、漏洞盒子,以及各大互联网企业内部成立的安全应急响应中心等,让解决网络安全问题有了越来越多民间力量的参与;而“白帽子”发现并上报漏洞,已经成为整个漏洞发现处置体系中的重要环节。

法治周末记者了解到,如家酒店等开房信息遭泄露、12306铁路售票网用户数据遭泄露等曾经轰动一时的网络安全事件,最早都是由民间“白帽子”提交给漏洞报告平台,才引起社会广泛关注的。

严寒冰介绍,“白帽子”会去挖掘相关单位的漏洞,并上报到漏洞报告平台;这些漏洞报告平台担负着搜集漏洞、处置漏洞的相关任务,“白帽子”发现的这些漏洞会经由分发体系发到各个设施单位去,然后由设施单位对漏洞进行修复处理。

“漏洞报告平台的存在,是整个漏洞发现处置体系的一个核心。”严寒冰说。

漏洞挖掘易触犯法律

尽管“白帽子”在发现漏洞方面的作用有目共睹,但由于其身份和行为在合法性上尚模糊,也因此面临着不可忽视的法律风险。

4月12日,“白帽子”袁炜因其检测世纪佳缘网系统漏洞的相关行为,而被警方以涉嫌非法获取计算机信息系统数据罪逮捕;7月19日至20日,漏洞盒子、乌云网等多家漏洞报告平台陷入无法正常访问的状态,网上有媒体报道称因白帽子模式游走在法律边界,相关漏洞报告平台被介入调查,目前处于停业整顿的状态。

“白帽子”和漏洞报告平台的行为准则和边界问题,日益成为业界关注的重点领域。在论坛上,公安部第三研究所网络安全法律研究中心主任、副研究员黄道丽发布了西安交通大学信息安全法研究中心和360法务团队共同编制的《白帽子安全漏洞挖掘法律风险分析报告》(以下简称“《报告》”),指出目前我国法律尚未涉及到安全漏洞、“白帽子”、漏洞众测平台等一些新兴概念,也缺少对漏洞挖掘行为和漏洞挖掘报告的交易和利用等方面的直接规定。

“我国并没有建立与‘白帽子’相关的系统法律制度,相应的规范只是零散地在法律法规中得以体现。从现有规范角度来看,由于自身定义的不明确和相关行为规范的缺失,加上一些‘白帽子’的法律意识淡薄,他们的漏洞挖掘行为很容易触犯法律。”黄道丽说。

可通过适当衡量标准纳入安全产业

“我国急需从管理、技术和法律层面,来综合提高应对网络攻击的防御能力。一方面,要最大限度地减少安全漏洞可能产生的危害;而另一方面,我们也需要引导安全漏洞合法挖掘、报告、披露、应用。”黄道丽指出,法律应当将“白帽子”和漏洞报告平台,通过适当的衡量标准纳入到安全产业当中,确实给予合法地位;通过明确的规范,将“白帽子”的漏洞挖掘行为纳入法律框架中。

北京邮电大学互联网治理与法律研究中心常务副主任谢永江对此表示认同。他认为,网络漏洞具有双重性,网络漏洞被发掘后,不法分子可能会利用漏洞给用户带来损失,但从另一个角度来说,网络漏洞只有被发掘才能得到修复,管理部门不能用禁止挖掘漏洞的方式来维护网络安全。

“但确实应禁止‘白帽子’挖掘国家事务、国防建设和尖端科技领域的计算机信息系统漏洞。”谢永江表示,涉及到公众利益的漏洞是不能任意披露的,“白帽子”若要向研究机构披露漏洞,需要基于授权。

“网络漏洞既然是客观存在的,就应当正确地培育这个市场,构建公开有序的漏洞发现、修复机制,促进网络安全产业的健康发展,而不能任由这个市场朝着不规范的方向发展。”谢永江表示。

严寒冰建议,在规范网络漏洞挖掘的问题上,要完善互联网设施单位、漏洞报告平台以及“白帽子”之间的协商披露机制。

《报告》对此也提出了建议:政府应实现由行政监管为主、向法治监管为主的转型,强化以法治为基础的市场监管体系,建立评估监测机制,监督众测平台对漏洞合法挖掘、报告、披露、应用的商业管理模式,定期进行透明度审查,并向社会发布报告;督促企业健康发展,鼓励行业实施合法的漏洞奖励计划,适当提高奖励金额,为企业、漏洞众测平台和“白帽子”群体创造利益平衡的支点和纽带。

《报告》还提出,由于目前漏洞报告、披露机制的流程和制度不规范,民间漏洞众测平台不能够为企业和“白帽子”之间创造有效的信任环境,因而民间漏洞众测平台要加强协调作用,监督“白帽子”依法进行漏洞挖掘工作,严格遵守信息保密原则并规范披露行为,及时通知“白帽子”可能的违法犯罪行为。

关键字:白帽子

本文摘自:法治周末

x “白帽子”挖掘漏洞行为亟待法律规范 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

“白帽子”挖掘漏洞行为亟待法律规范

责任编辑:editor004 作者:李含 唐梦君 |来源:企业网D1Net  2016-08-24 11:54:33 本文摘自:法治周末

目前,我国法律尚未涉及到安全漏洞、“白帽子”、众测平台等一些新兴概念,也缺少对漏洞挖掘行为和漏洞挖掘报告的交易和利用等方面的直接规定

乌云网停摆状态还在持续,“白帽子”这一群体的的罪与罚话题,依旧是网络安全界讨论的热点。

“对‘白帽子’的身份要给予正确说法,在我看来,‘白帽子’是网络安全领域不可或缺的补充力量。”在8月16日第四届中国互联网安全大会的网络安全与法治论坛上,西安交通大学信息安全法律研究中心主任马民虎给出了如此看法。

然而,马民虎也指出,为了使“白帽子”在网络社会中能够更多地发挥积极价值,而不是走上歧途,需要社会为其成长提供一个畅通渠道,并且从法律和政策上提供保障与支持。

“白帽子”成解决漏洞问题重要环节

《中国互联网站发展状况及其安全报告(2016)》的统计数据显示:截至2015年12月底,中国网站总量达到426.7万余个;而由于各种各样安全漏洞的存在,网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁,公共互联网环境仍面临较为严峻的安全态势。

“可以说,所有网络安全问题的产生,以及网络安全威胁的存在,都和漏洞有紧密关系。”国家互联网应急中心运行部副主任严寒冰介绍,近些年来,随着人们对安全漏洞的越发重视,尤其从2009年以后多家漏洞报告平台的陆续成立,如补天平台、乌云网、漏洞盒子,以及各大互联网企业内部成立的安全应急响应中心等,让解决网络安全问题有了越来越多民间力量的参与;而“白帽子”发现并上报漏洞,已经成为整个漏洞发现处置体系中的重要环节。

法治周末记者了解到,如家酒店等开房信息遭泄露、12306铁路售票网用户数据遭泄露等曾经轰动一时的网络安全事件,最早都是由民间“白帽子”提交给漏洞报告平台,才引起社会广泛关注的。

严寒冰介绍,“白帽子”会去挖掘相关单位的漏洞,并上报到漏洞报告平台;这些漏洞报告平台担负着搜集漏洞、处置漏洞的相关任务,“白帽子”发现的这些漏洞会经由分发体系发到各个设施单位去,然后由设施单位对漏洞进行修复处理。

“漏洞报告平台的存在,是整个漏洞发现处置体系的一个核心。”严寒冰说。

漏洞挖掘易触犯法律

尽管“白帽子”在发现漏洞方面的作用有目共睹,但由于其身份和行为在合法性上尚模糊,也因此面临着不可忽视的法律风险。

4月12日,“白帽子”袁炜因其检测世纪佳缘网系统漏洞的相关行为,而被警方以涉嫌非法获取计算机信息系统数据罪逮捕;7月19日至20日,漏洞盒子、乌云网等多家漏洞报告平台陷入无法正常访问的状态,网上有媒体报道称因白帽子模式游走在法律边界,相关漏洞报告平台被介入调查,目前处于停业整顿的状态。

“白帽子”和漏洞报告平台的行为准则和边界问题,日益成为业界关注的重点领域。在论坛上,公安部第三研究所网络安全法律研究中心主任、副研究员黄道丽发布了西安交通大学信息安全法研究中心和360法务团队共同编制的《白帽子安全漏洞挖掘法律风险分析报告》(以下简称“《报告》”),指出目前我国法律尚未涉及到安全漏洞、“白帽子”、漏洞众测平台等一些新兴概念,也缺少对漏洞挖掘行为和漏洞挖掘报告的交易和利用等方面的直接规定。

“我国并没有建立与‘白帽子’相关的系统法律制度,相应的规范只是零散地在法律法规中得以体现。从现有规范角度来看,由于自身定义的不明确和相关行为规范的缺失,加上一些‘白帽子’的法律意识淡薄,他们的漏洞挖掘行为很容易触犯法律。”黄道丽说。

可通过适当衡量标准纳入安全产业

“我国急需从管理、技术和法律层面,来综合提高应对网络攻击的防御能力。一方面,要最大限度地减少安全漏洞可能产生的危害;而另一方面,我们也需要引导安全漏洞合法挖掘、报告、披露、应用。”黄道丽指出,法律应当将“白帽子”和漏洞报告平台,通过适当的衡量标准纳入到安全产业当中,确实给予合法地位;通过明确的规范,将“白帽子”的漏洞挖掘行为纳入法律框架中。

北京邮电大学互联网治理与法律研究中心常务副主任谢永江对此表示认同。他认为,网络漏洞具有双重性,网络漏洞被发掘后,不法分子可能会利用漏洞给用户带来损失,但从另一个角度来说,网络漏洞只有被发掘才能得到修复,管理部门不能用禁止挖掘漏洞的方式来维护网络安全。

“但确实应禁止‘白帽子’挖掘国家事务、国防建设和尖端科技领域的计算机信息系统漏洞。”谢永江表示,涉及到公众利益的漏洞是不能任意披露的,“白帽子”若要向研究机构披露漏洞,需要基于授权。

“网络漏洞既然是客观存在的,就应当正确地培育这个市场,构建公开有序的漏洞发现、修复机制,促进网络安全产业的健康发展,而不能任由这个市场朝着不规范的方向发展。”谢永江表示。

严寒冰建议,在规范网络漏洞挖掘的问题上,要完善互联网设施单位、漏洞报告平台以及“白帽子”之间的协商披露机制。

《报告》对此也提出了建议:政府应实现由行政监管为主、向法治监管为主的转型,强化以法治为基础的市场监管体系,建立评估监测机制,监督众测平台对漏洞合法挖掘、报告、披露、应用的商业管理模式,定期进行透明度审查,并向社会发布报告;督促企业健康发展,鼓励行业实施合法的漏洞奖励计划,适当提高奖励金额,为企业、漏洞众测平台和“白帽子”群体创造利益平衡的支点和纽带。

《报告》还提出,由于目前漏洞报告、披露机制的流程和制度不规范,民间漏洞众测平台不能够为企业和“白帽子”之间创造有效的信任环境,因而民间漏洞众测平台要加强协调作用,监督“白帽子”依法进行漏洞挖掘工作,严格遵守信息保密原则并规范披露行为,及时通知“白帽子”可能的违法犯罪行为。

关键字:白帽子

本文摘自:法治周末

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^