回到首页| 网络安全 名人故事 申请书 | 名人名言 财富榜 关于我们

当前位置:名人故事传 > 互联网 > 网络安全 > > 正文

安全漏洞发现的合法性边界,白帽子你知道吗?

05-07  网络安全     来源: 未知  

随着互联网络与实体经济、传统生产等的逐步融合,网络安全变得尤为关键。无论社会还是企业,近年来对于网络安全的立法需求愈加强烈,依法治网已经成为大势所趋。

在3月30日召开的补天白帽大会上圆桌讨论环节,来自公安部三所网络安全法律研究中心主任黄道丽,也提到了当前关于漏洞发现方面的法律责任与风险,以及漏洞披露管理方面的争论问题。近日,黄道丽主任与补天分享了近期发表的论文《安全漏洞的发现的合法性边界界定:授权模式下的行为要素框架》,在文中,将目前的限于法律规定的模糊性,安全漏洞发现行为本身存在可能产生“侵入”的刑事法律责任、“白帽子”的法律地位不明确、缺少对授权边界及构成要件的详细指引、众测平台的合规性有待强化等法律风险,加以阐释说明,并围绕安全漏洞的法律属性,界定安全漏洞合法性发现的边界,明确漏洞挖掘的授权、限制与例外情形做出了展开的分析。

文中的一些观点和建议,让白帽子和众测平台对于安全漏洞的概念和属性在法律方面有了新的认知,对安全漏洞发现行为的模式和风险,重新审视不断反思。

网络安全建设——绕不过去的漏洞

安全漏洞是网络空间系统构建的一个伴生物,随着产品和服务的不断延伸,安全漏洞从早期需要修复的对象,逐渐演变为在网络空间中特定时限内稀缺,长期存在又可以预期被发现,可以依附于不同载体的有价值的特殊客体,呈现出非传统缺陷和资源的双重特性。

安全漏洞的稀缺性使得安全漏洞具有特定时限挖掘数量有限的特性;价值性使得从事黑产的黑客可以通过漏洞获取有商业价值的信息来进行交易进而获利;系统性决定着漏洞伴随技术和网络空间进化而长期存在。因此,无论是黑客还是企业的安全人员,安全漏洞需要不断地关注,及时的抢占。与此同时,信息化进程中,各个国家的之间的博弈也转向信息化网络化,更多的国家加入到漏洞资源的争夺之中,希望通过及时发现漏洞来预测风险发现潜在的危害。正所谓“没有网络安全,就没有国家安全。”

漏洞的发现、披露和修复成为网络安全建设中的重要环节,无论是个人、企业、社会、国家都要协同参与到网络安全建设当中。

漏洞发现的主体和授权——不容忽视的边界

当前的漏洞的发现和披露过程,是基于最大限度减少利用漏洞产生危害,提高应对网络攻击的防御能力的行为,但是在过程中,有两个问题一直引起着各界的关注,即主体的边界和授权的边界。这些边界问题涉及到白帽子行为的合法性,也涉及到众测平台的合规性,对于漏洞的发现和披露对双方来说都反映出当前存在的问题。

主体的边界涉及到的三个方面:一是主体的身份认证问题,二是“白帽子”的道德感和职业操守;三是众测平台的流程机制以

作用。不知道谁是白帽子?对于测试企业来说有所顾虑。良好的身份认证体系帮助企业来更安心的开展众测,也一定程度上让通过身份认证的白帽子获得更多更优质测试资源。通过道德感和职业操守,明确其法律边界帮助更全方位的风险管控,白帽子更好的规范其行为,防止其进行不当的操作。同时,作为众测平台,设置完整的流程做好协调监督的工作,保证众测的顺利安全实施。

授权的边界需要关注的是:一是众测平台的测试活动应基于众测平台与企业之间签署任何委托或合同所明示的内容为授权限定范围;二是漏洞挖掘并不等同于漏洞披露的授权,禁止未经众测平台同意和企业明确确认的安全漏洞披露;三是授权具有时限性,禁止在现有法律和保密协议规定的时限范围之外实施漏洞测试、评估等。

合同中明确的授权限定范围,给白帽子的漏洞发现过程在一定范围内提供了授权保障,对于企业的承受状况也可以进行一定的预期把控。漏洞的披露的方面,作为白帽子,协同企业安全建设,对于未经同意的漏洞披露要坚持说不,做有操守有正义感的白帽子,对企业安全漏洞信息负责。对于法律和保密协议规定范围之外的漏洞测试和评估的全面禁止,对于边界严格把控,一念之差带来的危害不容小觑,严守规则对于自身也是一种保护。

规则的设立,不是用于被忽视,而是安全保障

社会、生活、工作,各自有其运转的规则标准,规则标准的设立是为了更好更顺畅的运转,然而破坏规则的事情,时有发生,破坏后的后果经常令人难以承受。

4月26日北京朝阳区华贸中中心地库发生一起惨烈的车祸,一辆SUV车突然失控,撞进地下车库的办公室内,事故导致一死两伤。最后调查结果显示,是肇事的女司机穿着5厘米的高跟鞋,疑似油门当刹车操作酿成的惨剧。

穿高跟鞋不开车显然是一个常识,也是每个司机在领取驾照时都学习过的安全规则。然而在网络中搜索关键词“高跟鞋车祸”,会发现每年这类的悲剧都在发生。

规则的设立,人尽皆知,然而对于许多人来说,知道规则但并不遵守,只待酿成悲剧引来一众惋惜。规则的设立,不是用于被忽视,而是安全的保障。对于白帽子来说,法律的规则约束、保密协议和安全服务协议的签订,对于白帽子来说,无形中设立了一定的规则,用于规范其行为,严格遵照规则行动,也是对自我的保护。

《网络安全法》的颁布作为网络强国的重要保障,而白帽子的作为网络安全建设的重要补充力量。白帽子凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞,期望从中实现自我价值。

如今,距离《网络安全法》的正式实施已经不足一个月,社会各界对于网安法的颁布和网络发展的现状都秉持着积极的态度。对于白帽子来说,又一个较为明晰的规则设立出来,泾渭分明,严守边界,规则的尊重,是一份安全的保障。2017年6月1日,《网络安全法》将正式实施,这一法律的颁布,奠定了网络安全治理的基础,标志着网络安全保障体系建立了即将翻开崭新的一页。

互联网 网络安全 申请书 创业资讯 创业故事明朝十六帝故事
© 2012-2022 名人故事传网版权所有 关于我们 | 版权声明 | 网站协议 | 免责声明 | 网站地图 | 联系我们 | 广告服务