网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求,可借鉴域外经验,以协同披露为导向,围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系,为安全漏洞披露行为提供明确指引。
引 言
近年来,利用网络安全漏洞实施攻击的安全事件在全球范围内频发,给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节,对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。
国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。2016年我国某“白帽子”披露世纪佳缘网站漏洞引发刑事立案,2017年相继发生的WannaCry勒索病毒全球攻击事件引发微软等厂商对美国政府机构未披露漏洞行为的严厉批评、网易向未经授权擅自公开披露漏洞细节的某“白帽子”发公开声明、国家信息安全漏洞共享平台CNVD公告称因漏洞的不当披露引发党政机关和重要行业网站受到大规模攻击威胁等事件则进一步彰显了网络安全漏洞不规范或非法披露的现实冲击,安全漏洞合法披露主体、合法披露程序、不当披露法律后果等问题成为法律和行业界共同关注的焦点。
向不特定的社会公众披露网络安全漏洞可以提升网络安全防护的实时性和有效性,但恶意或非法的网络安全漏洞披露同样为攻击者提供了可利用的攻击武器。漏洞发现之后应该由谁披露,怎样披露,何时披露等问题变得日益复杂且重要,漏洞披露制度不同,不仅对用户、提供商、协调者等利益相关方造成的影响有很大差异,更会对国家安全、企业利益及个人隐私产生深远影响。出于国家安全和公共利益的现实考虑,网络安全漏洞披露应当遵循特定规则,至少在“由谁披露”和“如何披露”这两个核心问题上满足国家立法的强制性规定。我国《网络安全法》第22条、26条和51条和国家互联网信息办公室2017年7月10日发布的《关键信息基础设施安全保护条例(征求意见稿)》第35条已提出网络安全漏洞合法披露的规则框架和基本要求,但仍然缺乏对于规则实现的具体设计,无法为安全漏洞披露行为提供明确指引。
网络安全漏洞披露的概念与类型
1、网络安全漏洞及其披露的相关概念
漏洞(Vulnerability),又称脆弱性,这一概念的出现已有30多年历史,技术、学术和产业界从不同角度给出了不同的定义。目前普遍接受的定义是:漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的网络安全风险,各界基本将漏洞和网络安全漏洞的概念混用不加区分,漏洞称之为内在的脆弱性,与之相对的是外部安全威胁,内部脆弱性和外部安全威胁结合起来共同构成安全风险。
针对网络安全漏洞本身,尽管国内外立法缺少明确的概念界定,但均延续了传统信息安全的内外两分法,将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。在安全风险层面,《网络安全法》第25条规定将系统漏洞(内部脆弱性)和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险,强调了网络运营者的风险控制和应急处置责任。美国《网络安全信息共享法》(CISA)强调网络安全的目的是“保护信息系统或者使在信息系统存储、处理、传输的信息免于网络安全威胁或网络安全漏洞的侵害”,也将网络安全威胁和网络安全漏洞并列,作为安全风险予以共同防范和控制。其中,更是指明了安全漏洞包括显示存在安全漏洞的异常活动。相比之下,《关键信息基础设施安全保护条例(征求意见稿)》第35条规定将漏洞纳入“安全威胁信息”范畴,则存在定义使用上缩小化的误区。在网络安全信息层面,《网络安全法》第26条通过列举方式界定了网络安全信息的一般范围,包括系统漏洞、计算机病毒、网络攻击、网络侵入等,将漏洞作为第一位的网络安全信息,也体现了网络安全信息承载网络安全风险的基本功能。
一般来说,漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第26条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。
2、网络安全漏洞披露的类型
国内外网络安全漏洞披露实践已开展多年,网络安全漏洞的披露类型一直是安全漏洞披露政策争议的焦点。在学者研究及行业发展中,网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客也能够轻松的开发和编写漏洞。
负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。国际上比较有代表性的国家级协调者包括美国应急响应小组(US-CERT)、日本国家计算机应急响应协调中心(JPCERT/CC)、韩国国家网络安全中心等,我国中国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)、国家计算机网络入侵防范中心漏洞库(NCNIPC)等。
近年来,随着信息共享理念应对风险的有效性逐渐显现,网络安全漏洞披露的方式以更易于降低威胁的方式演化,网络安全漏洞发现与修复之间所需的时间差和平衡各方需求成为网络安全漏洞披露的基本考量,厂商、政府、安全研究人员等主体之间的漏洞安全信息共享成为漏洞披露的重要内容。业界普遍开始用“协同披露”代替“负责任披露”的说法。协同披露强调漏洞发现者、厂商、协调者和政府机构等利益相关方应共享安全漏洞信息、协同工作,积极协作处置风险,共同保障用户安全、社会公共利益和国家安全。2015年《中国互联网协会漏洞信息披露和处置自律公约》也体现协同披露这一理念,其第7条规定,“漏洞平台、相关厂商、信息系统管理方和国家应急处置协调机构应协同一致做好漏洞信息的接收、处置和发布等环节工作,做好漏洞信息披露和处置风险管理,避免因漏洞信息披露不当和处置不及时而危害到国家安全、社会安全、企业安全和用户安全”。
安全漏洞协同披露强调用户安全至上,要求面临同一风险的利益相关方分享安全信息、协同共治,实现降低整个群体所面临的网络安全风险。在高危安全漏洞日益增多,补丁修复耗费时间更长的后信息化时代,以信息共享和维护用户利益为导向的协同披露成为一些大型跨国厂商推行的解决方案,例如微软安全研究中心高级研究总监克里斯-贝斯就极力号召协同披露,类似观点也在2017年5月WannaCry勒索病毒攻击事件爆发后多次重提。在微软等跨国厂商的推动下,ISO等国际组织发展了ISO/IEC 29147: Vulnerability disclosure、ISO/IEC 30111: Vulnerability handling processes等若干标准体系,以“最佳实践”的形式指导厂商构建并实施安全漏洞披露制度。
可以看出,从不披露、完全披露、负责任披露到协同披露,安全漏洞披露类型涉及到的利益相关方侧重点各有不同,显示了漏洞披露过程的复杂性,也表明调动各利益相关方共同治理安全漏洞观念的逐渐成熟和体系化。总体来说,以上披露类型在国内外目前的披露实践中均有出现,且往往交织在一起。近年来,虽然在一定程度上更多的协同披露动向正在显现,但漏洞披露环境在很多方面仍然是割裂的,相关问题依然有待解决。鉴于利益相关方的侧重点有所差异,漏洞披露目前仍然没有统一的标准,但都应以最大限度减少损害的方式进行。
网络安全漏洞披露规则的域外考察:以美国为例
只要不存在完美的安全软件,漏洞信息的优化配置对于网络社会的稳定性仍是重要要素。在网络安全立法和实践始终处于领先地位的美国,网络安全漏洞披露作为整个网络安全生态系统的关键一环,早已引起法律和政策上的广泛关注。美国涉及安全漏洞信息的直接规定体现在《计算机欺诈与滥用法》、《数字千年版权法》(DMCA)、《爱国者法》、《2002年关键基础设施信息保护法》和《网络安全信息共享法》(CISA)等法律和《关于提升关键基础设施网络安全的行政命令》等行政文件中,这些法律文件在未经授权披露的法律责任、强化关键基础设施漏洞安全保护、信息共享和例外情况下披露的责任豁免等方面做了统一规定。对法律框架下的网络安全漏洞披露规则,美国采取了以政策先行为导向的规范措施,早期政策主要体现在“以负责任披露为核心”的CERT/CC 漏洞披露机制、国家基础设施委员会(NIAC)披露政策和OIS漏洞披露指引中;随着网络安全漏洞的资源性和武器化趋势成为国际组织和国家政府层面的普遍共识,美国的网络安全漏洞披露规则正在经历以协同披露为趋势的现代变革,主要体现在《网络安全信息共享法》(CISA)、《商业与政府信息技术和工业控制产品或系统的漏洞裁决政策和程序》(Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process,简称“VEP”)、《2017补丁法案》和落实《瓦森纳协定》的漏洞出口管控等相关规定中。
1、以负责任披露为核心的传统漏洞披露政策及实践
漏洞披露政策与漏洞披露类型密切相关,后者是前者的基础和铺垫,实践中适用最广的漏洞披露类型是制定漏洞披露政策考虑的主要因素。2015年前,美国行业界广泛承认和支持的是负责任披露,当时的披露政策也偏重该种类型。美国“以负责任披露为核心”的政策包括美国计算机紧急事件响应小组协调中心(CERT/CC)、国家基础设施委员会( NIAC)等政府机构制定的框架,以及由大型互联网企业组成的网络安全组织(OIS)主导的指引政策等。
CERT/CC 2000年发布的披露机制属于负责任披露中较为开放的,偏重于保护用户的知情权。CERT/CC起到的作用类似于第三方政府机构,负责将漏洞发现者报告的漏洞反馈给厂商,督促其测试、研发补丁,披露期限为收到该漏洞后的45天之后。这里包括一个例外情况,即有证据表明厂商具有积极的补救漏洞的作为,例如改变其系统组件以降低漏洞被利用的风险等,为鼓励厂商的积极行为可将45天期限延长至90天。该例外情况将厂商的技术限制、社会责任心、安全义务纳入考虑范围,表明了政府机构的中间立场和协调的监管职责,较为科学合理。
NIAC 2004年向总统提交的漏洞披露政策是在调查、研究实践基础上,提出的更全面的漏洞披露政策,包括根据危害性进行漏洞评分、鼓励公私部门信息共享、漏洞修复具有优先级等。该政策将漏洞信息规定为敏感机密的信息,要求对漏洞沟通的所有电子邮件都必须进行加密。若漏洞发现者提交的漏洞信息准确,则厂商应该在7天内响应并禁止其威胁发现者,以切实保护漏洞研究工作者的合法权益和积极性。
OIS 2004年发布的漏洞披露指引政策更侧重漏洞报告的响应机制,规定发现者向厂商发送漏洞报告之后,厂商应在7个工作日内进行回复。研究出补丁之后方可向社会发布漏洞,为加快研究速度以维护安全,相关部门30天内可向利益相关方分享漏洞的详细信息。在整个漏洞修补过程中,若发现者未得到厂商的回复,则可向厂商发送一个收到漏洞的确认请求,厂商若在3天内仍然不予回应,发现者可以寻求第三方协调机构的帮助,协调过程出现冲突还可进一步寻求仲裁,先决条件之一是发现者和厂商均同意且授权范围统一。
从以上典型的漏洞披露政策分析可知,“以负责任披露为核心”的美国传统漏洞披露政策以保护用户知情权为出发点,在明确漏洞披露周期管理的基础上重视利益相关方的协调,开始鼓励公私部门信息共享,同时也注重保护漏洞发现者的合法利益和积极性。实践中厂商也会对善意的漏洞发现者做出一定程度的让步,即使以牺牲自身经济利益为代价,也不愿意引起整个安全研究人员群体的排斥,以防止打压发现者寻求其漏洞、改善其软硬件安全性的主动性。“惠普起诉SnoSoft 公司研究者”一案即体现了这个思路。2002年,惠普公司起诉一家名为SnoSoft的安全研究机构(现更名为Netragard),认为其涉嫌发现和披露惠普Tru64(惠普的 Unix 操作系统)中的22项漏洞,依据《数字千年版权法》(DMCA),安全研究机构和相关人员可能面临高达50万美元的罚款和5年监禁。但惠普员工和其他相关人士都警告惠普公司时任CEO Carly Fiorina,公司如果采取强硬立场可能会打压漏洞研究,对未来惠普软件的安全不利,最终惠普公司选择了撤诉。
此外,“Tornado起诉员工Bret McDanel”一案也反映出对善意漏洞安全研究人员的承认。Tornado是美国一家提供网页邮件和语音邮件服务的公司,其员工Bret McDanel发现公司电子邮件系统存在严重网络安全漏洞,可导致客户隐私泄露,McDanel随即向上级反映,但该漏洞并未得到修复。McDanel离开Tornado公司6个月后得知该漏洞仍未被修复,其便向约5600个客户发送匿名邮件披露了该漏洞详情。2002年,美国法院根据解释《计算机欺诈与滥用法》的相关条款对McDanel定罪,判处16个月监禁。McDanel服刑结束后,美国法院判定此前对他的起诉存在错误并撤销了定罪,原因在于McDanel是在公司拒绝修复漏洞之后选择告知用户,其目的是为了确保用户采取安全措施。
2、以协同披露为趋势的现代漏洞披露政策及演化
随着安全漏洞协同披露为更多的组织所支持和倡导,政府机构在制定安全漏洞披露规则时也对其加以吸收,以协同披露为核心的规则成为现行美国政策和立法的新趋势,2015年美国通过的《网络安全信息共享法》(CISA)、2016年公开的VEP政策、2017年《补丁法案》体现了这一趋势。
1. 《网络安全信息共享法》(CISA)
《网络安全信息共享法》(CISA)是美国关于网络安全信息共享的第一部综合性立法,也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息。CISA将共享的网络安全信息分为“网络威胁指标”和“防御措施”两大类。网络威胁指标实质即为直接的漏洞威胁和与漏洞相关的其他威胁,防御措施则是针对网络威胁指标做出的技术和其他措施的回应。总体来说,CISA围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本框架。CISA鼓励私企与美国政府实时共享网络安全威胁信息,特别规定了私主体共享信息的责任豁免;对于通过合法共享而获得的网络威胁指标和防御措施,联邦政府基于识别网络安全威胁或者安全漏洞的需要可以披露。
具体而言,如果将披露视为共享的一种特殊方式,那么CISA建立的网络安全威胁信息共享框架事实上可以延及漏洞披露的规范体系,目标在于确保相关机构具备并保持与信息安全相协调的实时共享网络安全威胁指标的能力。CISA规定私人实体享有监控和获取网络安全威胁信息,当然也包括安全漏洞信息的权利,但除其自身信息系统外,对其他信息系统中网络安全威胁信息的监控、获取、使用和共享均以事先授权为基础,并且该授权需要获得书面同意。可以认为,CISA建立一套“授权——发现——共享”的网络安全威胁信息共享的合规路径,在赋予私人主体发现和共享网络安全威胁信息权利的同时,将其行为的合法性边界限制在法律规定和授权基础的范围内。根据CISA的规定,向联邦政府提供网络安全威胁指标和防御措施必须基于特定的目的,包括维护网络安全,识别网络安全威胁或安全漏洞来源,识别外国敌对人员或恐怖分子使用信息系统造成的网络安全威胁,应对、制止或缓解由恐怖行为或使用大规模杀伤性武器产生的威胁,预防、调查和起诉犯罪等等。
尽管CISA并非专门针对安全漏洞信息披露而设计共享框架,但其相关举措仍然衍生出一条重要的安全漏洞信息披露原则,即合法披露原则。虽然私人实体被赋予了广泛的网络安全威胁信息的发现和共享权利,但这一权利的实现需要满足两个必要的前提,即合法目的和行为授权,这对于建立我国安全漏洞信息披露的相关制度具有重要的指导意义。
2. VEP政策
奥巴马政府时期,美国联邦调查局、国家安全局等政府机构一方面通过采购、收集等方式进行网络安全漏洞的攻击性研究和储备,另一方面制定和施行VEP政策,评判收集到的漏洞对网络安全、信息保障、情报、执法、国防和关键基础设施保护的影响,裁决是披露已经获得或发现的安全漏洞,还是保留安全漏洞用于情报、执法或者其他目的。VEP整体内容在美国现行制度下仍属于“国家秘密”信息,直至2016年才向公众公布其中一部分。
依据VEP公开的规定,美国政府实体对于任何来源的网络安全漏洞信息裁决程序如下:第一,基于漏洞分级,在触发特定阈值时向国家安全局指定担任的执行秘书长通报;第二,执行秘书长通知政府相关的利益相关方,指定特定联络人,由各方反馈是否启动裁决程序;第三,提出裁决要求的所有利益相关方指派特定专家参与讨论,并向裁决审查委员会(Equities Review Board)提供决策建议;第四,裁决审查委员会做出如何响应漏洞的倾向性决定,如有利益相关方异议,则该机构可向某特定内设机构提出申诉。
VEP规定体现出这一阶段美国网络安全漏洞披露政策的三大特点:第一,网络安全漏洞的来源十分广泛。VEP政策下的漏洞来自政府软硬件、商用软硬件、工控系统、国家安全系统等任何可能存在网络安全漏洞的场景,包括开源软件等;第二,网络安全信息呈单向线性流动。由于政府在政策制定和执行中的主导作用,任何来源的网络安全漏洞信息只限于在政府及相关实体中共享和决策,在VEP裁决之前,限制向政府之外的实体披露网络安全漏洞,政府(包括关键基础设施)的利益保障具有绝对的优先性;第三,国家安全局具有多重身份和相当的自由裁量权。VEP规定,“国家安全局对其认证或批准的或具有密码功能的设备、系统等中漏洞附有前置性安全审查义务,因此亦应当尽快向其报告,并由其履行适当的VEP程序”,由于密码应用的普遍性、政府软硬件认证或批准的强制性、接受报告的优先性,此规定实际上赋予了国家安全局决断和裁量网络安全漏洞的绝对垄断权力。
综合CISA和VEP政策可以发现,VEP政策赋予了美国国家安全局裁决网络安全漏洞的绝对权力,供其决断的安全漏洞来源广泛且信息共享更多限于政府实体范围,与CISA所倡导的公私实时共享威胁信息理念存在一定的冲突。2017年5月全球勒索软件攻击事件发生后,美国国家安全局因其披露或保留漏洞用于情报收集目的的行为饱受争议,也引发美国政府对国家安全局主导的VEP政策的审查与反思。
3. 2017年补丁法案
为将VEP政策正式纳入立法范畴,进一步规范政府、厂商等披露主体的行为,同时解决CISA法案和VEP政策在安全漏洞信息共享和披露实施方面的衔接问题,2017年5月17日,美国国会提出了一项新法案—《2017反黑客保护能力法案》(Protecting Our Ability to Counter Hacking Act of 2017) ,该法案也被称为《2017补丁法案》(PATCH Act of 2017)。
总体来说,2017年补丁法案在“是否披露”和“如何披露”两个核心问题上体现出美国政府对VEP政策的改进。首先,补丁法案改变了漏洞披露裁决的顶层决策机制,实现了从国家安全局到国土安全部主导的过渡。补丁法案规定,由国土安全部长(或其指定人员)担任的“漏洞裁决审查委员会”主席代替VEP政策中国家安全局指定的执行秘书长,“漏洞裁决审查委员会”主席与联邦调查局、国家情报总监、中央情报局、国家安全局,以及商务部、国务院、财政部、能源部和联邦贸易委员会的指定人员等共同组成漏洞裁决审查委员会。这一决策主体的变化用意在于增加透明度,规避公众对国家安全局的敏感性;其次,补丁法案增加了推定披露程序。法案规定将通过制定标准,指引对推定披露程序的适用,以此弥合常规披露与“黑市披露”之间的时间差。但由于最终由国土安全部长代表联邦政府实施披露,因此其有效性仍有待观察和评估;再次,补丁法案加大了向厂商的安全漏洞披露倾向。法案规定,如果漏洞裁决审查委员会决定向特定厂商披露,则应当国土安全部长实施披露。此种情形属于向特定人的有限披露;最后,补丁法案规定,对于裁决禁止披露、但因任何原因进入公众领域的网络安全漏洞,应按照CISA制定的程序实施。
4.《瓦森纳协定》
在美国VEP政策制定和实施的同一时期,国际层面正式开始将网络安全漏洞纳入网络武器范畴管理。2013年12月,41个成员国参与的多边出口管控体制《关于常规武器和两用物品及技术出口控制的瓦森纳安排》(简称《瓦森纳协定》)修订附加条款,将一些特殊的入侵软件列入其两用物项清单中。为落实《瓦森纳协定》的附加条款,2015年5月20日,美国商务部下属的工业与安全局(BIS)提出实施规则草案《2013年<瓦森纳协议>全会决议的执行:入侵和检测物项》,草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”,拟将入侵软件纳入美国《出口管理条例(EAR)》的管控范围。如果草案施行,美国企业或个人向境外厂商披露安全漏洞是一种出口行为,需预先申请政府许可,否则将被视为非法,美国厂商举办的安全漏洞悬赏计划也不例外。
《瓦森纳协定》和美国BIS的新规说明,网络安全漏洞的资源性和武器化趋势已成为国际和国家层面的普遍共识,网络安全漏洞披露规制的制定上升到与国家安全和政治利益密切相关的高度,VEP政策的秘密施行、2017年补丁法案的提出和改进进一步印证了这一点。
3、美国网络安全漏洞披露规则的主要特点
考察美国网络安全漏洞披露规则的具体设计、实践情况和演变趋势,本文认为,可概括出以下特点:
第一,高度重视网络安全漏洞披露问题,很早在法律和政策中分别对网络安全漏洞披露问题进行规定,并根据形势变化不断做出调整,总体呈现从负责任披露到协同披露变革的趋势;第二,网络安全漏洞披露过程中注重充分保护用户知情权,强调政府机构主导下厂商、安全研究人员、用户等利益相关方的利益协调;第三,基于刑法和知识产权法对未经授权的漏洞发现和披露行为予以规制,实践中也注重保护善意漏洞发现和披露者的合法利益和积极性;第四,鼓励政府机构、企业和公众在法定条件和程序下实时共享网络安全信息,授权联邦政府披露合法共享的安全漏洞信息;第五,将安全漏洞作为网络空间战的战略资源和博弈资本,网络安全漏洞披露规则的制定上升到与国家安全和政治利益密切相关的高度;第六,构建国家层面统一的网络安全漏洞披露协调和决策机制,并积极推动从政策到立法的转变。
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。