網(wǎng)絡安全漏洞披露規(guī)則及其體系設計

高晨 馬廷剛 郝哲

摘要：隨著信息技術的發(fā)展，網(wǎng)絡安全問題已經(jīng)成為社會普遍關注的熱點問題，而解決網(wǎng)絡安全漏洞也成為當前緊要任務?；诖?，本文就網(wǎng)絡安全漏洞披露規(guī)則及其體系設計進行研究，首先就網(wǎng)絡安全披露中的不披露類型、完全披露類型和有限披露類型進行分析，然后闡述傳統(tǒng)網(wǎng)絡安全漏洞披露政策和現(xiàn)代網(wǎng)絡安全漏洞披露政策，最后從披露主體、披露對象和披露方式的角度分析其體系設計。

關鍵詞：網(wǎng)絡安全；披露規(guī)則；體系設計

引言：

當前互聯(lián)網(wǎng)已經(jīng)在人們生活和工作中得到普遍應用，這使得社會運行的效率得到極大的提升，但同時也暴露出諸多網(wǎng)絡安全問題。作為網(wǎng)絡安全風險防控的一種關鍵措施，網(wǎng)絡安全漏洞披露具有至關重要的作用，不僅能夠分化網(wǎng)絡中存在的風險，還能夠通過各類情報的收集和整合，構建起行之有效的風險預警系統(tǒng)，從而提高網(wǎng)絡的安全程度，避免因網(wǎng)絡攻擊和病毒感染造成損失。

一、網(wǎng)絡安全漏洞披露的類型分析

（一）不披露

在長期的發(fā)展過程中，網(wǎng)絡安全漏洞披露問題一直是社會關注的焦點，很多國家還針對這一問題開展多元化的實踐。在網(wǎng)絡安全漏洞披露的類型中，不披露是典型的一種途徑。選擇不披露網(wǎng)絡安全風險漏洞的發(fā)現(xiàn)人員，其行為特征具有以下特點：一是阻礙社會公眾的知情權，不將消息公布給社會公眾；二是隱瞞廠商，不將網(wǎng)絡安全漏洞上報給廠商，從而實現(xiàn)及時處理；三是存在黑灰市交易，在危害用戶利益的基礎上，以違法交易的方式使網(wǎng)絡安全遭受攻擊，從而謀取利益。

（二）完全披露

與不披露類型的發(fā)現(xiàn)人員相比較，選擇完全披露網(wǎng)絡安全隱患的發(fā)現(xiàn)人員是在發(fā)現(xiàn)漏洞后的第一時間將信息公布給社會公眾，并且上報廠商進行及時處理。針對這一披露類型，社會有兩種不同的聲音。第一種聲音對這種行為持支持態(tài)度，認為這種手段不僅能夠及時將漏洞反饋給廠商，使廠商做出及時正確的處理手段，同時告知公眾避免使用存在漏洞的軟件或系統(tǒng)，降低網(wǎng)絡安全危害的程度，而另一種聲音則認為完全紕漏會給黑客可乘之機，在獲取所有漏洞消息的基礎上，黑客能夠更加便利的開發(fā)漏洞、潛入系統(tǒng)，從而造成更大的網(wǎng)絡安全隱患。

（三）有限披露

有限披露是介于不披露和完全披露兩種類型中的一種中和方式，這種類型也稱為負責任披露，指的是發(fā)現(xiàn)網(wǎng)絡安全漏洞的人員在第一時間上報廠商對系統(tǒng)或軟件進行改進，然后制定完善的應對方案，在此條件下，廠商向社會公布安全漏洞，同時將補丁方案發(fā)放給社會公眾，使社會公眾的網(wǎng)絡安全得到保障。這種類型的披露方式不僅能夠有效維護網(wǎng)絡安全，還能夠保障公眾和廠商的利益，因此在實踐中得到廣泛的應用，但是在具體操作中仍然具有完全披露的風險。

二、網(wǎng)絡安全漏洞的披露規(guī)則分析

（一）傳統(tǒng)漏洞披露政策

傳統(tǒng)的漏洞披露政策以負責任披露類型為依據(jù)，對網(wǎng)絡安全漏洞事件進行政策引導。例如美國計算機緊急事件響應小組協(xié)調(diào)中心主要偏重于負責任披露這一類型，在網(wǎng)絡安全漏洞防護中充當?shù)谌秸畽C構的角色，一方面將發(fā)現(xiàn)的安全漏洞及時反饋給廠商，督促廠商對安全漏洞進行及時測試修補，另一方面保障公眾的知情權利，在45天后將安全漏洞信息公布給社會公眾，因此45天就是政策中規(guī)定的一個法定期限，但是在實際實施中仍然存在一些意外情況，例如為了使網(wǎng)絡安全得到更加可靠的保障，某些情況下小組工作人員還將社會公布的期限延遲，給予廠商更多修補漏洞、研發(fā)補丁的時間。

（二）現(xiàn)代漏洞披露政策

1.網(wǎng)絡安全信息共享

網(wǎng)絡安全信息共享是美國政府在近年來推出的典型的有關網(wǎng)絡安全的綜合性法律，這一法律明確規(guī)定，當存在網(wǎng)絡安全漏洞時，社會公眾和企業(yè)可以在法定的情況下與政府機構共享相關信息，并且構建起一條先授權、再發(fā)現(xiàn)、最后共享的披露路徑，使網(wǎng)絡安全得到維護。

2.VEP政策

VEP政策就是政府機構對網(wǎng)絡安全漏洞進行發(fā)現(xiàn)、采購和整合，然后通過評估漏洞風險等級的方式，使網(wǎng)絡安全漏洞得到兩種途徑的應用，一種途徑是在漏洞風險等級較低的情況下，將漏洞信息作為國防、執(zhí)法和情報等信息的一部分進行收集，然后歸屬于國際秘密，另一種途徑是在漏洞風險等級較高的情況下，以有限披露的原則，對漏洞信息進行公布[1]。

3.補丁法案

補丁法案是對VEP政策的進一步改進和優(yōu)化，結合披露類型和披露方式的實踐結果，補丁法案著重加強網(wǎng)絡安全漏洞裁決審查的環(huán)節(jié)，以建立裁決審查委員會的形式，對網(wǎng)絡安全漏洞的披露程序進行進一步的完善，例如網(wǎng)絡安全漏洞在經(jīng)過裁決審查后決定進行有限紕漏，那么國土安全部也作為披露對象中的一個。

三、網(wǎng)絡安全漏洞的披露體系設計

（一）披露主體

結合我國網(wǎng)絡安全保護的現(xiàn)狀，對網(wǎng)絡安全漏洞的披露主體進行研究。當前我國網(wǎng)絡安全漏洞的披露主體主要為以下幾種類型，分別是廠商、政府機構和網(wǎng)絡安全服務機構。就廠商而言，著重發(fā)揮自身的安全保障責任和義務。由于廠商與存在漏洞的網(wǎng)絡系統(tǒng)或軟件之間具有直接關系，因此廠商是最不懼社會爭議的披露主體；就政府機構而言，主要以法律為基礎，對網(wǎng)絡安全漏洞保持權利和義務。政府機構主要分為國際級安全漏洞披露平臺和安全漏洞披露協(xié)調(diào)及決策部門。就前者來看，主要對網(wǎng)絡安全漏洞進行獲取、收集、驗證、發(fā)布、通報、分析、修補等，是典型的國家級披露主體；就后者來看，主要以跨部門協(xié)調(diào)的方式，對安全漏洞進行決策披露；就網(wǎng)絡安全服務機構而言，主要以社會第三方機構的角度，對安全風險進行專業(yè)評估和認證，著重為政府機構提供第三方技術支持。

（二）披露對象

披露對象主要分為兩個部分，一部分為用戶，另一部分為政府機構。用戶指的是存在安全漏洞產(chǎn)品的購買者和使用者，由于直接受到安全漏洞的侵害，因此用戶依法享有知情權，而用戶利益至上理念一直是披露體系設計的核心原則，無論從《消費者權益法》、《合同法》還是《網(wǎng)絡安全法》，都明確規(guī)定用戶為披露的法定對象；政府機構主要指的是國務院公安、網(wǎng)信部門、保密行政管理部門、密碼管理部門、安全管理部門等，根據(jù)《網(wǎng)絡安全法》規(guī)定，政府機構依法享有知情權，從而發(fā)揮監(jiān)測預警的作用[2]。

（三）披露方式

其一，用戶依法享有知情權，因此網(wǎng)絡安全信息漏洞應該由披露主體告知用戶，使用戶明確系統(tǒng)存在的安全風險和隱患，同時享有追究責任的權利。告知用戶的信息既要包括網(wǎng)絡安全漏洞，同時包括安全風險、防控措施、補丁方案、追求權利等內(nèi)容；其二，政府機構必須發(fā)揮網(wǎng)絡監(jiān)測預警的作用，因此必須依法獲知信息，為此公安部門、網(wǎng)信部門和工信部門應該發(fā)揮協(xié)調(diào)作用，將披露信息上報給主管部門，其中應包括檢測報告、驗證報告、風險評估報告、安全事件應急報告等；其三，要嚴格遵循國家法律規(guī)范，在保障網(wǎng)絡信息共享的基礎上，充分考慮和評估信息發(fā)布后的風險，并對發(fā)布程序進行全面的監(jiān)督和審核[3]。

結論：

綜上所述，針對網(wǎng)絡安全漏洞披露規(guī)則及其體系設計的探究是非常必要的。在互聯(lián)網(wǎng)時代，必須對網(wǎng)絡安全進行全面維護，對各方利益進行協(xié)調(diào)，建立法制而規(guī)范的網(wǎng)絡社會。為此我國應該完善對網(wǎng)絡安全漏洞紕漏的規(guī)則設計，結合實踐特點和國外先進經(jīng)驗，構建科學的網(wǎng)絡安全漏洞披露體系，使各方協(xié)同作用得到充分發(fā)揮。希望本文能夠為研究網(wǎng)絡安全漏洞披露規(guī)則及其體系設計的相關人員提供參考。

參考文獻：

[1]黃道麗.網(wǎng)絡安全漏洞披露規(guī)則及其體系設計[J].暨南學報（哲學社會科學版），2018，40（01）：94-106.

[2]于成麗.我國漏洞披露平臺安全問題分析及對策建議[J].保密科學技術，2017（01）：56-59.

[3]李小武.披露還是隱匿，這確實是個問題——軟件安全漏洞的披露及法律責任[J].中國信息安全，2016（07）：51-56.