一、结语
轻工业和重要信息技术部6月18日正式发布了《网络安全可靠安全可靠漏洞管理工作明确规定(草案稿)》(以下全称“意见建议稿”),草案稿法律条文条文不多,共12条,意在通过控制深入细致规范化软件产品、服务项目和控制系统的安全可靠安全可靠漏洞报告、搜集、重要信息正式发布、校正、修整或严防等犯罪行为,确保软件产品、服务项目和控制系统的安全可靠漏洞得到及时处理复原,强化网络安全可靠安全可靠漏洞管理工作,提高网络安全可靠防雷水平。
图1:国务院法制办申明征询对《网络安全可靠安全可靠漏洞管理工作明确规定(草案稿)》的意见建议
1.1. 安全可靠街道社区对《网络安全可靠安全可靠漏洞管理工作明确规定(草案稿)》的充分反映
草案稿的正式发布在Azamgarh可靠街道社区引起各种争论。为此,现百度朱雀生物医学相关人士于旸认为,该明确规定管制了安全可靠漏洞公布,而管制安全可靠漏洞公布,就是缩减安全可靠漏洞科学研究的投资收益,结果必定会影响安全可靠漏洞科学研究这类。
图2:于旸网易博客昌明
街道社区的产业发展。安全可靠街道社区蛰伏了,黑产圈可以交换重要信息,更为活耀。[1]
此外,自由人汇赵武也发博客告诫特别注意把控正式发布安全可靠漏洞重要信息的法律条文边界线,称自由人汇曾因此类该事件接到几起联名信。
图3: 自由人汇赵武网易博客昌明
安全可靠业界也积极就草案稿内容献计献计献计。7月3日,360公司就应邀了源自我国网络安全可靠评定服务中心、北欧国家网络紧急服务中心、北欧国家轻工业网络安全可靠产业发展科学研究服务中心、我国电子学技术标准科学研究所、北京大学、乐融集团、Brossac新媒体、奇安信五府安全可靠漏洞网络平台、KEEN项目组、知道Nabugabo等相关基层单位的专家在北京举办“网络安全可靠安全可靠漏洞管理工作闭门研讨会”,汇集业内对《草案稿》的建设性意见建议。
图4: 360举办网络安全可靠安全可靠漏洞管理工作闭门研讨会
安全可靠街道社区的争论声音主要落在意见建议稿的明确规定内容管制了合理的安全可靠漏洞重要信息正式发布,亦即管制安全可靠漏洞公布。而管制了合理的安全可靠漏洞公布,将阻碍安全可靠科学研究的产业发展。基于此,本文将从目前常见的网络安全可靠安全可靠漏洞公布类型、国内网络安全可靠安全可靠漏洞报送和公布渠道、中美关于网络安全可靠安全可靠漏洞公布管理工作方面的法律条文法规进行探讨,分析当前网络安全可靠安全可靠漏洞公布管理工作面临的挑战,并给出相关对策建议。
二、常见的网络安全可靠安全可靠漏洞公布类型
常见的网络安全可靠漏洞公布类型主要有不公布、完全公布、负责任的公布和协同公布四种。[2]
图5:常见安全可靠漏洞公布类型
2.1. 不公布和完全公布
在实践中,安全可靠漏洞被发现后,就进入了安全可靠漏洞公布阶段。安全可靠漏洞发现者有可能不公布安全可靠漏洞,对安全可靠安全可靠漏洞的相关重要信息完全保密,既不报送给厂商,又不向公众申明。这种犯罪行为不考虑用户安全可靠和权益以及厂商声誉和权益,安全可靠漏洞极有可能在黑市交易,导致安全可靠漏洞利用,引发网络安全可靠危险,甚或引发安全可靠漏洞利用攻击。事实上,暗网中也的确存在大量待价而沽的高风险安全可靠安全可靠漏洞。
与此相反,为了敦促厂商尽快复原安全可靠漏洞,正式发布补丁,并促使用户采取措施保护自己,安全可靠漏洞发现者也可能申明完全公布相关的安全可靠漏洞重要信息。完全公布安全可靠漏洞重要信息,未对厂商进行告警,厂商没有充分的时间复原安全可靠漏洞,安全可靠漏洞重要信息也直接暴露给了潜在的恶意攻击者。虽然完全公布安全可靠漏洞重要信息,用户可以较早地得知安全可靠漏洞重要信息,但是绝大部分的用户还是依靠厂商正式发布安全可靠补丁,进行复原安全可靠漏洞。这也是最为厂商诟病的犯罪行为,因为厂商需要赶在安全可靠漏洞遭到恶意利用之前开发并正式发布安全可靠补丁,而这通常难以做到,所以这种犯罪行为也被厂商称为不负责任的公布。[3]
2.2. 负责任的公布
第三种公布类型是负责任的公布。安全可靠漏洞发现者首先与厂商沟通,报送安全可靠漏洞,安全可靠漏洞发现者与厂商协商复原安全可靠漏洞的时间期限,厂商与安全可靠漏洞发现者保持沟通,及时处理告知更新安全可靠漏洞校正进展,复原进展和完成复原的目标日期,以便安全可靠漏洞发现者了解进展情况。待厂商复原安全可靠漏洞后,厂商再公告相关安全可靠漏洞重要信息并正式发布补丁。在厂商正式发布补丁之前,安全可靠漏洞发现者不向任何其他方公布。这种做法看似一种公平的协商方式,给了厂商一定的时间复原安全可靠漏洞,在一定程度上能够提高安全可靠性,保护用户。然而,实践中,安全可靠漏洞发现者和厂商可能发生争论。
例如,安全可靠漏洞发现者向厂商报送安全可靠漏洞重要信息后,厂商超过时间期限未做出充分反映、未及时处理复原或拒绝承认该安全可靠漏洞,安全可靠漏洞发现者通常会选择公布相关安全可靠漏洞重要信息。比如,谷歌Project Zero项目组的安全可靠科学研究人员TavisOrmandy在今年6月11日发推文申明了一个微软Windows10 0day安全可靠漏洞。微软承诺在90天内复原该安全可靠漏洞,结果并没有,于是在第91天,Ormandy选择申明了这个安全可靠漏洞。
图6:TavisOrmandy的推特推文
再比如,独立安全可靠科学研究人员Filippo Cavallarin在今年5月底申明了利用AppleGateKeeper绕过安全可靠漏洞的方法,而Apple尚未复原该安全可靠漏洞。Cavallarin在2月22日就负责任地向Apple报送了他的发现,但是Apple未能在90天的披露期限内复原问题并且开始忽略他的邮件,所以Cavallarin在5月底申明了相关的重要信息。
2.3. 协同公布
微软在2010年开始推行安全可靠漏洞协同公布机制,得到了美国CERT/CC、JPCERT/CC、ArCERT、MITRE、Open Security Foundation、JuniperNetworks、英特尔等机构和组织的响应。微软也极力号召业内使用该机制,在2015年对外发出号召书。
图7:微软提倡协同安全可靠漏洞公布机制
图8:微软号召使用协同安全可靠漏洞公布机制
随着安全可靠安全可靠漏洞协同公布为更多的组织所支持和倡导,美国卡耐基梅隆大学软件工程科学研究所CERT部门于2017年8月15日正式发布了《CERT安全可靠漏洞协同公布指南》。协同公布建立在负责任的公布的基础上,引入了协调者,协调者通常在各方利益相关者之间扮演重要信息传达或重要信息经纪人的角色。除了选择向厂商报送安全可靠漏洞外,安全可靠漏洞发现者还可以将安全可靠漏洞重要信息报告给协调者,常见的协调者有北欧国家级CERT(如美国CERT、日本CERT、我国CNNVD和CNVD)、大型厂商的产品安全可靠紧急响应项目组(PSIRT)(如微软、苹果、思科、英特尔等大厂商自己内部的PSIRT)、安全可靠科学研究组织(如政府机构和学术研究项目组)、安全可靠漏洞赏金和商业中间网络平台(如HackerOne等众测网络平台)、非政府性质的重要信息共享和分析组织和网络平台。协同公布重视各方之间共享安全可靠漏洞重要信息,协同合作,有利于保护用户、社会和北欧国家安全可靠。
这四种安全可靠漏洞公布类型,不公布类型不考虑厂商和用户权益,可能导致安全可靠漏洞在黑市交易,致使安全可靠漏洞遭到利用,引发网络安全可靠风险;在完全公布下,用户虽然可以较为迅速地得知安全可靠漏洞重要信息,但厂商没有充足的时间复原安全可靠漏洞,安全可靠漏洞可能遭到潜在攻击者的利益,也存在较大弊端;负责任的公布类型为相当大一部分组织(如谷歌)和独立安全可靠科学研究人员所采用,一定程度上能够提高安全可靠性,保护用户,存在积极的作用。但如果安全可靠漏洞发现者和厂商之间沟通不畅,在未有复原方案之前,漏洞重要信息极有可能被申明公布。协同公布强调安全可靠漏洞重要信息的共享,各方的协同合作,更为有利于保护网络安全可靠。
三、国内网络安全可靠安全可靠漏洞报送和公布渠道
北欧国家网络安全可靠安全可靠漏洞共享网络平台(CNVD)和我国北欧国家网络安全可靠安全可靠漏洞库(CNNVD)是由北欧国家相关职能部门维护的公共的非营利性的北欧国家网络安全可靠安全可靠漏洞库,负责统一采集收录安全可靠安全可靠漏洞和正式发布安全可靠漏洞预警公告。安全可靠漏洞发现者可以将相关安全可靠漏洞报送给CNVD或CNNVD。CNVD鼓励安全可靠科学研究人员报送安全可靠漏洞。CNVD设置了安全可靠漏洞奖励计划,安全可靠科学研究人员报送安全可靠漏洞获得相应积分,可兑换京东E卡。
图9: CNVD的积分兑换
对在安全可靠漏洞提交方面有杰出贡献的安全可靠科学研究人员,CNVD也会申明进行表彰,例如,CNVD曾在2018年度工作会议上对8位有杰出贡献的安全可靠科学研究人员进行了表彰。做为北欧国家级的安全可靠安全可靠漏洞库,CNVD和CNNVD都对申明安全可靠漏洞进行采集收录,并对社会公布。
第三方安全可靠漏洞网络平台是连接企业和安全可靠科学研究人员之间的桥梁。安全可靠科学研究人员发现漏的做法。在取得安全可靠漏洞发现者和厂商的一致同意后,HackerOne会申明安全可靠漏洞的相关重要信息。
自百度在2012年建立自己的安全可靠紧急响应服务中心(SRC)后,越来越多的企业也纷纷自建安全可靠紧急响应服务中心,例如阿里巴巴、百度、网易等网络企业,接收和处理与企业的产品或服务项目相关的安全可靠安全可靠漏洞。但是国内SRC未见申明公布本企业的安全可靠安全可靠漏洞。这一点不同于企业的产品安全可靠紧急响应项目组(PSIRT)。企业的PSIRT的作用类似于SRC,但是多数PSIRT,例如华为PSIRT,会在修整安全可靠漏洞后,对社会申明相关安全可靠漏洞重要信息,告诫用户安全可靠漏洞风险,告知解决方案或缓解措施,致谢报送安全可靠漏洞的安全可靠科学研究人员。
图10: 华为PSIRT致谢安全可靠科学研究人员
关于安全可靠漏洞的报送和公布途径,国内目前已基本形成北欧国家安全可靠安全可靠漏洞库,第三方安全可靠漏洞网络平台和企业SRC或PSIRT并存的结构。
四、中美关于网络安全可靠安全可靠漏洞公布管理工作方面的法律条文法规
4.1. 国内关于网络安全可靠安全可靠漏洞公布管理工作方面的法律条文法规
据罪、非法控制计算机重要信息控制系统罪、破坏计算机重要信息控制系统罪。从2016年的袁炜案可看出我国法律条文当前对安全可靠漏洞挖掘,或者说对计算机控制系统非授权访问犯罪行为持否定性评价。
我国关于网络安全可靠的立法起步较晚,2016年11月发布了《中华人民共和国网络安全可靠法》。其中第十条明确规定了建设、运营网络或网络服务项目方维护网络数据的完整性、保密性和可用性的义务;第二十二条和二十五明确规定软件产品、服务项目的提供者复原安全可靠漏洞,告知用户和向主管部门报告的义务;第二十六条明确规定向社会正式发布安全可靠漏洞等网络安全可靠重要信息应遵守北欧国家有关明确规定;第二十七条明确规定个人和组织不得非法侵入他人网络、干扰他人网络正常功能、窃取网络数据。
当前我国关于安全可靠漏洞挖掘和公布方面的立法多以禁止性明确规定和责任性明确规定为主,将情节和后果做为认定犯罪的依据,且缺少对善意安全可靠科学研究人员的保护。
4.2. 美国关于网络安全可靠安全可靠漏洞公布管理工作方面的法律条文法规
作为世界重要信息产业的发源地,美国的重要信息技术水平一直处于世界领先地位,发展程度也是全球最高。重要信息技术的高速产业发展,伴随而来一系列安全可靠安全可靠漏洞的发现和公布问题。在网络安全可靠安全可靠漏洞的公布方面,美国也制定了各种法律条文并结合政策手段加以规范化。2001年出台的《爱国者法案》、《2002年关键基础设施重要信息法》及2013年正式发布的《提高关键基础设施的网络安全可靠》鼓励个人和组织向政府公布安全可靠漏洞重要信息,以减少网络入侵该事件,提高网络安全可靠的重要信息共享并为用户营造可信赖的网络环境。美国国防部2004年1月正式发布的安全可靠漏洞公布政策,允许自由安全可靠科学研究人员通过合法途径公布国防部公众控制系统存在的任何安全可靠漏洞。2017年7月,美国司法部犯罪科网络安全可靠部门正式发布《在线控制系统安全可靠漏洞公布计划框架》,帮助组织机构制定正规的安全可靠漏洞公布计划。美国已从政策、立法和程序上,构建了北欧国家层面统一的网络安全可靠安全可靠漏洞公布协调和决策机制。上述法律条文法规的时间线如下图所示:
图11:美国安全可靠漏洞公布相关法律条文法规时间线
美国充分认识到善意的安全可靠科学研究人员在关键重要信息控制系统的安全可靠漏洞发现方面的价值,一方面对未经授权的安全可靠漏洞发现和公布犯罪行为进行规范化,另一方面加大对善意的安全可靠科学研究人员安全可靠漏洞发现和合法公布的保护。美国国防部2016年开始通过安全可靠安全可靠漏洞公布网络平台HackerOne发起三大安全可靠漏洞奖励项目:“入侵五角大楼(Hack the Pentagon)”,“入侵陆军(Hackthe Army)”和“入侵空军(Hackthe Air Force)”,允许善意安全可靠科学研究人员在不触犯法律条文的前提下访问并探寻政府控制系统。像HackerOne这样的安全可靠众测网络平台,在安全可靠漏洞发现和公布过程中扮演着越来越重要的作用。
图12:美国国防部在HackerOne的报告接收页面
图13:美国国防部在HackerOne上的三大安全可靠漏洞奖励项目
五、相关建议
我们应建立健全合理的安全可靠漏洞公布渠道和机制,通过法律条文或安全可靠漏洞公布策略明确责任和权利,帮助安全可靠科学研究人员在法律条文的保护下分享重要信息和技术,才能有效促进安全可靠街道社区的健康产业发展和安全可靠技术的进步。同时,应该鼓励更多的协调机制,强化安全可靠科学研究人员和厂商之间的交流,而不是简单直接向公众申明公布。
安全可靠安全可靠漏洞正式发布机制的健全与否对于修整安全可靠漏洞有着积极的意义,及时处理、准确地将安全可靠漏洞消息通知用户,使用户了解自己的控制系统的缺陷,及时处理进行修整,提高控制系统的安全可靠性,避免黑客攻击,对于企业、组织和团体乃至一个北欧国家而言都有非常重要的现实意义。
参考资料:
9日。检索日期2019年7月10日.
[2] 黄道丽,网络安全可靠安全可靠漏洞公布规则及其体系设计[J]. 暨南学报(哲学社会科学版),2018.
[3] 坏蛋是我,安全可靠渗透测试笔记——-安全可靠安全可靠漏洞公布方式与安全可靠安全可靠漏洞公共资源库,https://blog.csdn.net/henni_719/article/details/77962007,检索日期2019年7月15日.
[4] 中华人民共和国轻工业和重要信息技术部,《网络安全安全可靠漏洞管理工作明确规定(草案稿)》.
[5] tombkeeper,2019年6月19日博客昌明, https://weibo.com/101174?is_search=0&visible=0&is_all=1&is_tag=0&profile_ftype=1&page=2#feedtop,检索日期2019年7月5日.
[6]aqniu,网络安全可靠安全可靠漏洞管理工作闭门研讨会召开, https://www.aqniu.com/industry/50910.html,检索日期2019年7月15日.
[7] xplanet,Google科学研究员公布Windows10 0day安全可靠漏洞,https://www.oschina.net/news/107413/warning-windows-10-0day-vulnerability-outed-by-google-researcher,检索日期2019年7月5日.
[8] DaveyWinder,Warning:Google Researcher Drops Windows 10 Zero-day Security Bomb,https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-before-microsoft-can-fix-it/#526e3a3f2fd6,检索日期2019年7月5日.
[9]Mohit Kumar,NewMac Malware Exploits Gatekeeper Bypass Bug that Apple Left Unpatched,https://thehackernews.com/2019/06/macos-malware-gatekeeper.html,检索日期2019年7月5日.
[10] MicrosoftSecurity Response Center,Microsoft’s Approach to Coordinated Vulnerability Disclosure,https://www.microsoft.com/en-us/msrc/cvd?rtc=1,检索日期2019年7月5日.
[11]MSRC Ecosystem Strategy Team,Coordinated Vulnerability Disclosure: Bringing Balance to the Force,https://blogs.technet.microsoft.com/ecostrat/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force/,检索日期2019年7月5日.
[12]Chris Betz,ACall for Better Coordinated Vulnerability Disclosure,https://blogs.technet.microsoft.com/msrc/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure/,检索日期2019年7月5日.
[13] 北欧国家网络安全可靠安全可靠漏洞共享网络平台召开2018年度工作会议,https://www.cert.org.cn/publish/main/12/2018/20181127122459099693364/20181127122459099693364_.html,检索日期2019年7月15日.
[14] 雷建平,自由人子提交世纪佳缘安全可靠漏洞后已被抓3个月 拷问网络安全可靠边界线,https://tech.sina.com.cn/zl/post/detail/i/2016-07-06/pid_8507899.htm,检索日期2019年7月15日.
[15]Carnegie Mellon University Software Engineering Institute,CERT Guide to Coordinated Vulnerability Disclosure Released,https://www.sei.cmu.edu/news-events/news/article.cfm?assetID=503398,检索日期2019年7月5日.
[16]Allen D. Householder,GarretWassermann,Art Manion,ChristopherKing,TheCERT Guide to Coordinated Vulnerability Disclosure,https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330,检索日期2019年7月5日.
[17]Elaine_z,美国国防部“黑了空军(Hackthe Air Force)”安全可靠漏洞奖励计划即将启动,仍由HackerOne运营,https://www.freebuf.com/news/133433.html,检索日期2019年7月5日.
[18] 孟江波,张玉清,美国安全可靠安全可靠漏洞正式发布机制分析科学研究,全国网络与网络安全可靠技术研讨会’2005
[19] U.S. Department of Justice,A Framework for a Vulnerability Disclosure Program for Online Systems.
*本文原创作者:偶然路过的围观群众,本文属于FreeBuf原创奖励计划,未经许可禁止转载
 fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E "有关网络安全漏洞披露管理的现状分析与建议13")
精彩推荐
