以“乌云网关闭”为视角,解读《网络安全漏洞管理规定(征求意见稿)》
本文首发于微信公众号“云端数据IP法律观察”(ID:YDdatalaw)
1.前言
6月18日,工信部公布《网络安全漏洞管理规定(征求意见稿)》(下称《征求意见稿》),并向社会公开征求意见至2019年7月18日。
《征求意见稿》作为《网络安全法》的配套法规,其目的在于对《网络安全法》第二十二条、二十五条、二十六条中关于网络安全漏洞(以下简称漏洞)报告和信息发布等行为进行细化规定,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平。
在《网络安全法》发布之前,我国对于漏洞的报告与发布一直都未作出明确的规定,作为第三方漏洞发布平台的“乌云网”也一直游走于法律的灰色地带。而本次《征求意见稿》的发布意在对第三方漏洞发布组织的漏洞发布与报告行为作出更为明确的规定。
所以本文将以“乌云网”的关闭为视角,对《征求意见稿》作出解读。
2.“乌云网”介绍
“乌云网”是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏洞报告。
在2016年7月20日凌晨,随着“乌云网”的创始人之一“方小顿”被逮捕,“乌云网”暂时关闭,直至截稿之日仍未重新开放。
3.“乌云网”如何发现漏洞?
“乌云网”发现漏洞的方式主要是通过其平台的“白帽子”黑客(注:在IT界,“白帽子”指的是正面黑客,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让网络运营者提前修补漏洞。)对某网站或服务器的渗透测试从而发现网络产品、服务或系统中存在的漏洞。
但是大部分的“白帽子”黑客是在未得到网络运营者授权情况下对某网站或服务器的渗透测试。
此时“白帽子”黑客可能会触犯《刑法》第二百八十五条的规定,涉嫌非法获取计算机信息系统数据罪。
4.如果《网络安全漏洞管理规定》正式实施,会造成什么样的影响?
工信部在《征求意见稿》的第六条中明确,第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。
从本条规定来看,第三方组织在发现网络运营者的网络产品、服务或系统漏洞时,不能立即向公众发布漏洞信息,而应该等到网络运营者在发布漏洞修补或防范措施之后才能向社会公众公布漏洞信息。
而在《征求意见稿》发布之前,第三方组织或个人是依靠“白帽子”黑客及时发现漏洞并在网站向社会公布漏洞信息的方式,倒逼网络经营者及时的修复漏洞。往往通过这种方式发现漏洞的时间要远远早于网络运营者依靠自身的力量发现漏洞的时间。
但是按照《征求意见稿》的规定,第三方组织或个人不能在网络运营者公布漏洞修补或防范措施之前公布漏洞信息。
所以依照规定即使第三方组织或个人提前发现了网络运营者网络产品、服务或系统的漏洞,也不能够提前向社会公众公布。这就直接导致了第三方组织或个人以及公众对于网络运营者监督作用的减损。
按照《征求意见稿》的规定,第三方组织或个人在发现漏洞之后只能选择向网络运营者报告或向国家相关平台汇报漏洞情况。
那么如果第三方组织或个人向网络运营者报告漏洞情况,在失去社会公众监督的情况下,网络运营者会修复或者会及时修复漏洞吗?
《征求意见稿》第十条规定,鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。也即第三方组织或个人在获取漏洞信息后,可以向国家相关平台报告漏洞情况。如果第三方组织或个人向国家相关平台报告漏洞情况,其可能会受到国家的直接监管。
在上文提到大部分第三方组织或个人发现网络运营者的网络产品、服务或系统漏洞的方式是通过“白帽子”黑客在未授权的情况下,进入网络运营者的数据系统中,对网站或服务器进行渗透测试。这一行为可能涉嫌非法获取计算机信息系统数据罪。
在此种情况下第三方组织或个人向国家相关平台报告漏洞的行为与 “投案”无异,那么第三方组织或个人还会在发现漏洞之后向国家相关平台报告吗?
5.本文观点
笔者认为工信部希望通过《征求意见稿》构建这样一种第三方组织或个人发布或报告漏洞的方式:
第三方组织或个人在得到网络运营者授权的情况下,对网络产品、服务或系统进行渗透测试,从而帮助网络运营者发现网络产品、服务或系统中存在的漏洞。同时第三方组织也应当对“白帽子”黑客进行内部管理,防止黑客利用获取到的网络运营者的数据信息从事违法犯罪活动。
在网络运营者怠于履行漏洞发布、修复等义务时,第三方组织可以选择向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。由国家相关平台报告监管部门,从而对网络运营者履行义务的情况进行监管。
对于以上笔者提出的两个问题,《征求意见稿》希望通过规范第三方组织或个人发布漏洞信息的方式,来促使第三方组织与网络运营者积极的进行合作。同时由于第三方组织或个人是在取得了授权的情况下进行渗透测试,所以在网络运营者怠于行使义务时,第三方组织或个人也会积极的向国家相关平台报告漏洞信息。
可以期待日后《网络安全漏洞管理规定》正式稿的发布,会将之前游走于灰色地带的第三方组织或个人纳入法律的监管之下,确保第三方组织或个人的漏洞发现与报告行为合规。第三方组织或个人与网络运营者在法律规定范围内的相互配合,将有助于网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平。
但是如何确保“白帽子”黑客在经过授权进入网络运营者计算机信息系统后没有复制数据信息等违规行为?对于这个问题,期待后续工信部在技术以及监管体系方面作出更为完善的规定。
以“乌云网关闭”为视角,解读《网络安全漏洞管理规定(征求意见稿)》相关推荐
- 国家标准 | GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范
国家标准 | GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范 润成等保测评 12-18 16:36 近日,<GB∕T 30276-2020 信息安全技术 网络安全漏洞管理 ...
- 网络安全漏洞管理十大度量指标
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信.金融.能源.电力.铁路.医院.水务.航空.制造业等行业各类勒索.数据泄露.供应链.钓鱼等网络安全攻击事件层出不穷 ...
- 【第13章】网络安全漏洞防护技术原理与应用(信息安全工程师 )-- 软考笔记
第13章 网络安全漏洞防护技术原理与应用 13.1 网络安全漏洞概述 13.1.1 网络安全漏洞概念 网络安全漏洞又称为脆弱性,简称漏洞.漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称 ...
- 信安软考 第十三章 网络安全漏洞防护技术原理
一.网络安全漏洞概述 1.1 网络安全漏洞概念 网络安全漏洞又称为脆弱性,简称漏洞.漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常被称为安全隐患.安全漏洞的影响主要有机密性受损.完整 ...
- 信息安全-网络安全漏洞防护技术原理与应用
一.网络安全漏洞概述 1.1 网络安全漏洞概念 网络安全漏洞:又称为脆弱性,简称漏洞.漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患 安全漏洞的影响:主要有机密性受损.完整性 ...
- 机器学习系列(2)_从初等数学视角解读逻辑回归
作者:龙心尘 && 寒小阳 时间:2015年10月. 出处:http://blog.csdn.net/longxinchen_ml/article/details/49284391 ...
- 科普文章-另一个视角解读计算机编码(修订版)
我不知道本文该作为原创发布还是作为转载发布,因为本文是<另一个视角解读计算机编码-补码编码>的"排版后的版本",内容几乎没有变,除了增加了一系列的图解. 后来想了下,还 ...
- 科普文章-另一个视角解读计算机编码 修订版
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 我不知道 ...
- 科普文章-另一个视角解读计算机编码(修订版)【一个吊丝的个人理解】
本文引用文章地址 科普文章-另一个视角解读计算机编码(修订版)_dog250的博客-CSDN博客https://blog.csdn.net/dog250/article/details/7338187 ...
最新文章
- Cocos2d-x 3.0 rc0中加入附加项目,解决无法打开包括文件:“extensions/ExtensionMacros.h”...
- Devexpress 之gridControl
- js002-在HTML中使用JavaScript
- 51nod 1344 走格子【贪心/前缀和】
- 9. 回文数 golang 整数处理
- python selenium ---键盘事件
- xampp命令行连接MySql数据库
- 【程序员自救指南】中关村保洁大叔的一句话竟然帮我转正了
- linux的ftp指令发邮件,三种使用Linux命令发送邮件
- 船载电子海图系统(E C S )概述
- Nvidia GPU Architecture--Fermi架构笔记
- Win10编译和测试libModbus
- 文本去重方法——SimHash
- 有道云笔记Markdown图片链接解决办法
- iris数据集(.csv .txt)免费下载
- 计算机基础(2)— windows 防火墙对FTP服务器、HTTP服务器的影响
- 怎样在ps中制作对话气泡?一招教你轻松解决
- ACCESS的解密是如此简单!
- 基于unity无人机3D仿真《一》
- 【JAVA】学习java 基础知识