如今,在全球范圍內(nèi),網(wǎng)絡(luò)攻擊事件頻繁發(fā)生,漏洞成為網(wǎng)絡(luò)空間的數(shù)字武器,漏洞治理已成為網(wǎng)絡(luò)安全保障的基礎(chǔ)性環(huán)節(jié)。近日,在京舉行的第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC 2016)特設(shè)“2016ISC網(wǎng)絡(luò)安全與法治論壇”,與會(huì)專家共同探討漏洞的法律定性與治理之道。
如何看待網(wǎng)絡(luò)漏洞的法律屬性?北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為,漏洞是一種信息,擁有這一信息的人具有的權(quán)利用商業(yè)秘密來(lái)認(rèn)定比較適合。而網(wǎng)絡(luò)所有者發(fā)現(xiàn)自己網(wǎng)絡(luò)有漏洞,當(dāng)然也是一種商業(yè)秘密。如果一個(gè)來(lái)自民間的網(wǎng)絡(luò)安全力量“白帽子”獲取了漏洞,也可以作為一種商業(yè)秘密來(lái)考慮。謝永江建議,我國(guó)應(yīng)盡快出臺(tái)關(guān)于網(wǎng)絡(luò)漏洞的挖掘披露、利用交易規(guī)則,讓與網(wǎng)絡(luò)漏洞有關(guān)的平臺(tái)、“白帽子”或者政府機(jī)構(gòu)知道自己的邊界是什么。同時(shí),還應(yīng)培育這個(gè)市場(chǎng),把這些“白帽子”跟企業(yè)聯(lián)系起來(lái),明確網(wǎng)絡(luò)漏洞平臺(tái)法律地位,構(gòu)建公開(kāi)有序的網(wǎng)絡(luò)市場(chǎng),促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展。
論壇上,公安部三所網(wǎng)絡(luò)安全法的研究中心主任黃道麗發(fā)布了《白帽子漏洞挖掘法的風(fēng)險(xiǎn)分析報(bào)告》,這個(gè)報(bào)告由西安交通大學(xué)信息安全法研究中心和360法務(wù)團(tuán)隊(duì)共同編制。報(bào)告認(rèn)為,目前我國(guó)急需從管理、技術(shù)和法律層面來(lái)綜合提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊防御能力,一方面最大限度地減少安全漏洞可能產(chǎn)生的危害,另外一方面也需要引導(dǎo)安全漏洞合法挖掘、報(bào)告、披露、應(yīng)用。
還有與會(huì)者認(rèn)為,漏洞是一種信息,對(duì)這種信息進(jìn)行確權(quán)和歸置,需要在分析信息利益基礎(chǔ)上進(jìn)行一個(gè)設(shè)計(jì)。漏洞不僅是企業(yè)商業(yè)秘密,在當(dāng)前社會(huì)使用信息系統(tǒng)前提下,還涉及到國(guó)家信息安全,不是單個(gè)企業(yè)利益問(wèn)題,而是企業(yè)和政府的共同利益問(wèn)題。如何設(shè)計(jì)這種利益機(jī)制,在維護(hù)安全和促進(jìn)行業(yè)發(fā)展之間達(dá)成平衡,這是我國(guó)面臨的問(wèn)題,也是全球共同面臨的問(wèn)題。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任、正高級(jí)工程師嚴(yán)寒冰介紹,從2009年開(kāi)始,國(guó)內(nèi)陸續(xù)成立很多家漏洞報(bào)告平臺(tái),這些漏洞報(bào)告平臺(tái)擔(dān)負(fù)著搜集漏洞,處置漏洞的相關(guān)任務(wù)。在國(guó)家層面成立的國(guó)家級(jí)漏洞平臺(tái)有國(guó)家信息安全漏洞共享平臺(tái)(CNVD)等,另外還有民間漏洞平臺(tái),如補(bǔ)天平臺(tái)、烏云、漏洞盒子,大型互聯(lián)網(wǎng)企業(yè)如BAT,以及網(wǎng)易、京東紛紛成立了自己的安全應(yīng)急響應(yīng)中心。這些漏洞平臺(tái)發(fā)展迅速,我國(guó)已經(jīng)形成了比較完善的漏洞發(fā)現(xiàn)以及處置的體系。(本報(bào)記者 竇新穎)
