[中图分类号]D9 [文献标识码]A [文章编号]1000-5072(2018)01-0094-13 近年来,利用网络安全漏洞实施攻击的安全事件在全球范围内频发,给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节,对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。① 国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。2016年我国某“白帽子”②披露世纪佳缘网站漏洞引发刑事立案,2017年相继发生的WannaCry勒索病毒全球攻击事件引发微软等厂商对美国政府机构未披露漏洞行为的严厉批评③、网易向未经授权擅自公开披露漏洞细节的某“白帽子”发公开声明④、国家信息安全漏洞共享平台CNVD公告称因漏洞的不当披露引发党政机关和重要行业网站受到大规模攻击威胁等事件⑤则进一步彰显了网络安全漏洞不规范或非法披露的现实冲击,安全漏洞合法披露主体、合法披露程序、不当披露法律后果等问题成为法律和行业界共同关注的焦点。 向不特定的社会公众披露网络安全漏洞可以提升网络安全防护的实时性和有效性,但恶意或非法的网络安全漏洞披露同样为攻击者提供了可利用的攻击武器。漏洞发现之后应该由谁披露,怎样披露,何时披露等问题变得日益复杂且重要,漏洞披露制度不同,不仅对用户、提供商、协调者等利益相关方造成的影响有很大差异,更会对国家安全、企业利益及个人隐私产生深远影响。出于国家安全和公共利益的现实考虑,网络安全漏洞披露应当遵循特定规则,至少在“由谁披露”和“如何披露”这两个核心问题上满足国家立法的强制性规定。我国《网络安全法》第二十二条⑥、二十六条⑦、五十一条⑧和国家互联网信息办公室2017年7月10日发布的《关键信息基础设施安全保护条例(征求意见稿)》第三十五条⑨已提出网络安全漏洞合法披露的规则框架和基本要求,但仍然缺乏对于规则实现的具体设计,无法为安全漏洞披露行为提供明确指引。 一、网络安全漏洞披露的概念与类型 (一)网络安全漏洞及其披露的相关概念 漏洞(Vulnerability),又称脆弱性,这一概念的出现已有30多年历史,技术、学术和产业界从不同角度给出了不同的定义。目前普遍接受的定义是:漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。⑩这些缺陷或弱点可被外部安全威胁(11)利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性(12)、难以避免性(13)、普遍性(14)和长存性等(15)技术特征。为强调漏洞可能导致的网络安全风险,各界基本将漏洞和网络安全漏洞的概念混用不加区分,漏洞称之为内在的脆弱性,与之相对的是外部安全威胁,内部脆弱性和外部安全威胁结合起来共同构成安全风险。 针对网络安全漏洞本身,尽管国内外立法缺少明确的概念界定,但均延续了传统信息安全的内外两分法,将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。在安全风险层面,《网络安全法》第二十五条(16)规定将系统漏洞(内部脆弱性)和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险,强调了网络运营者的风险控制和应急处置责任。美国《网络安全信息共享法》(CISA)强调网络安全的目的是“保护信息系统或者使在信息系统存储、处理、传输的信息免于网络安全威胁或网络安全漏洞的侵害”,也将网络安全威胁和网络安全漏洞并列,作为安全风险予以共同防范和控制。其中,更是指明了安全漏洞包括显示存在安全漏洞的异常活动。相比之下,《关键信息基础设施安全保护条例(征求意见稿)》第三十五条(17)规定将漏洞纳入“安全威胁信息”范畴,则存在定义使用上缩小化的误区。在网络安全信息层面,《网络安全法》第二十六条通过列举方式界定了网络安全信息的一般范围,包括系统漏洞、计算机病毒、网络攻击、网络侵入等,将漏洞作为第一位的网络安全信息,也体现了网络安全信息承载网络安全风险的基本功能。 一般来说,漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者(18)揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第二十六条规定:“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。” (二)网络安全漏洞披露的类型 国内外网络安全漏洞披露实践已开展多年,网络安全漏洞的披露类型一直是安全漏洞披露政策争议的焦点。在学者研究及行业发展中,网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易(19),引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客,也能够轻松地开发和编写漏洞。负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。国际上比较有代表性的国家级协调者包括美国应急响应小组(US-CERT)、日本国家计算机应急响应协调中心(JPCERT/CC)、韩国国家网络安全中心等,我国中国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)、国家计算机网络入侵防范中心漏洞库(NCNIPC)等。
