安基网 首页 资讯 安全报 查看内容

网络安全漏洞挖掘的法律规制研究(下)

2018-12-22 00:13| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 完善我国网络安全漏洞挖掘制度的建议我国网络空间安全战略再次重申“建立完善国家网络安全技术支撑体系,加强网络安全基础理论和重大问题研究,加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。 ...

完善我国网络安全漏洞挖掘制度的建议


我国网络空间安全战略再次重申“建立完善国家网络安全技术支撑体系,加强网络安全基础理论和重大问题研究,加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。”有鉴于此,应当从国家战略的高度把握网络安全漏洞制度构造,在配套规章或者修改相关法律时,以《网络安全法》26条为中心展开,采用公私合作的治理框架,进一步完善漏洞数据库,明确网络安全漏洞评级机制,对进行漏洞挖掘“白帽子”、漏洞测试平台的主体地位加以明确,在遵循现有实践的基础上区分授权挖掘行为,并进一步强化漏洞的跨境流动应对。

(一)构建网络安全漏洞挖掘立法体系

当前我国《网络安全法》规定仍较为粗放,在强调国家安全优先、政府主导与企业配合、保障网络公共秩序的基础上,一部《网络安全法(实施细则)》实有必要。实施细则可以考虑将较为成熟的实践经验予以法律化,将《信息安全等级保护管理办法》、《CNVD漏洞安全响应指导规范》、《信息安全等级保护管理办法》的部分内容上升为法律规范。

完善利用漏洞跨国网络攻击的国际法应对。当前利用漏洞进行的跨国网络攻击日益频繁,针对我国关键基础设施和重要信息系统的漏洞攻击呈逐年上升的趋势,对于利用网络安全漏洞发起的恶意攻击除了技术防范路径之外,也应当着重考量法律上反制措施。

(二)完善国家安全信息漏洞库,配套漏洞评级机制

当前世界各国均建立漏洞库作为其网络战争的核心战略资源储备,2006年,美国政府建立了美国国家安全漏洞库(National Vulnerability Database,NVD),专门针对漏洞的名称、来源、CVE(Common Vulnerabilities & Exposures)标号,CVSS分数(Common Vulnerability Scoring System)等信息进行描述。

2009年10月18日,国家互联网应急中心牵头成立中国信息安全评测中心,联合其他安全厂商和用户成立的民间组织,负责建设运营维护国家安全漏洞资源管理库平台“国家网络安全漏洞库”(China National Vulnerability Database of Information Security,CNVID)对外提供漏洞分析、通报服务。目前,CNNVD通过社会提交、协作共享、网络搜集以及技术检测等方式,已积累信息技术产品漏洞8万余条,信息系统相关漏洞4万余条,相关补丁和修复措施2万余条。

笔者认为,由于CNVID拥有较为成熟的经验处理漏洞治理工作和快速响应能力,应当优先考虑由信息安全测评中心牵头完善漏洞数据库,并负责网络安全漏洞信息共享、评级、发布工作。对于漏洞评级机制的建立,可以将《CNVD漏洞安全响应指导规范》中较为成熟的经验转化为法律规范。当前我国漏洞的分类方法过于繁多,按照危险系数和处置类型的分类方法值得借鉴。

(三)明确挖掘公私合作框架,建立挖掘主体备案制度

在完善漏洞库的基础上,网络漏洞安全挖掘应当坚持安全与发展并重,政府与企业应当加强联动协作,强化网络安全漏洞信息共享,并进一步完善平台监管责任、个人责任豁免。

首先,应当明确网络安全漏洞测试平台的法律地位,需对漏洞挖掘平台资质进行审批,明确平台仅为网络安全漏洞的收集、报送、测试主体备案平台,不得任意对漏洞进行披露,发现高危漏洞应尽快向国家有关部门报备。

其次,进一步完善网络安全漏洞挖掘 “白帽子”主体身份备案制度,采用漏洞挖掘平台资质审批制度与身份备案制度相配套,有助于监管部门更有效地防范“白帽子”私自贩卖漏洞等网络犯罪行为,应当充分考虑“白帽子”身份信息的匿名化保护。

最后,为了使“白帽子”明确自身行为边界之所在,避免袁炜式悲剧再次上演,应当重新把握获取漏洞的方式并充分考虑挖掘工具手段合法性问题,需进一步明确“白帽子”在漏洞挖掘过程中的“最小伤害原则”和挖掘过程报告义务,其挖掘行为应将数据泄露和系统破坏程度降至最低,并且“白帽子”应对漏洞挖掘行为及其附带损害进行全过程记录,及时向权力机关报告。

(四)借鉴《信息安全等级保护管理办法》,区分漏洞挖掘分级授权

对于挖掘行为授权机制的建立,可以考虑结合《信息安全等级保护管理办法》的既有实践,以等级保护作为切入点区分网络安全漏洞挖掘授权机制。根据信息系统受到破坏后所造成的损害范围不同,将挖掘行为分为禁止挖掘、许可挖掘和一般挖掘三种,进一步廓清“白帽子”漏洞挖掘行为的边界。

禁止挖掘指涉密的国家关键基础设施,指符合《信息安全等级保护管理办法》第7条第5级的情形。主要涉及《刑法》第285条第一款、《国家安全法》、《保守国家秘密法》第24条和48条规定的涉密信息系统,

许可挖掘是指符合《信息安全等级保护管理办法》第7条,第3、4级情形。

一般挖掘主要指的是符合《信息安全等级保护管理办法》第7条,第1、2级情形,对于关键基础设施之外的一些商业用途的网站和系统可以允许经过备案的白帽子进行普遍挖掘。

(五)强化网络安全漏洞的跨境流动应对,建立漏洞传输评估规则

网络安全漏洞与跨境数据流动密切相关,数据安全问题会因为各国数据空间主权观念的差别,或者数据法制、数据利益、数据安全保护观念的差异,导致相互之间在数据流动和国际合作的复杂性。作为网络安全重要战略资源的漏洞,不同于一般数据,应当严格限制漏洞数据的跨境流动,参照《网络安全法》第37条确立了跨境数据流动评估规则,在制定安全评估办法时候充分考虑网络安全漏洞的特殊性,可以参照网络安全漏洞的危险系数和处置类型双重评级标准,对于高危、事件型漏洞应当禁止跨境流动,对于一般性、通用的漏洞可以在评估后允许其跨境传输。

作者简介:赵精武:1992年,北京航空航天大学法学院网络信息安全方向博士研究生(计算机学院联合培养),研究方向为网络安全法,民商法。

感谢作者授权推送!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6637435094141288974/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部