论文部分内容阅读
摘要:在网络时代背景下,网络信息技术为人们的生产生活带来诸多便利,但是网络安全也变得岌岌可危,目前我国对网络安全漏洞披露给予高度关注,已经成为网络风险控制的中心环节。在现行的立法中,围绕着披露主体、披露对象与披露方式对披露规则体系进行设计,本文将对该体系进行研究和分析,力求为安全漏洞披露行为提供较大的现实借鉴意义。
关键词:网络安全漏洞;披露规则;体系
目前网络安全披露已经成为网络风险控制工作的中心,应积极通过加强安全漏洞收集、监测等方式,将系统内部存在的风险预警进行强化,从而对网络风险进行有效的降低和控制。
1 网络安全漏洞披露概述
1.1概念
漏洞是指一個或者多个威胁可以利用的弱点,与某些环境中的安全功能相背离,属于信息系统或者设计中存在的不足、缺陷或特性。这些缺陷被外界因素所利用,使安全环境受到不同程度的破坏。对于网络安全漏洞来说,国内外已经有相关法条明确指出定义所在,从安全风险方面来看,网络攻击、网络病毒、网络侵入等都可以作为安全风险而存在,漏洞信息在泄漏以后将被发布到其他第三方平台当中,或者与黑客之间进行秘密交易。
1.2类型
对于国内外来说,针对网络安全漏洞披露的实践已经开展多年,在披露的类型上大致可分为三种,即不披露、完全披露和负责任披露。其中,不披露主要是指操作人员在发现网络中存在漏洞问题以后,没有立即相上级、厂商等进行汇报,同时也没有向公众披露,这种情况极大威胁了公众权益,很可能是与黑灰市之间进行交易;完全披露则是没有为厂商预留充足的漏洞处理时间,而是直接将漏洞信息传递给黑客;负责任披露则是指当操作人员发现漏洞问题以后,立即将其上报给厂商,待到问题解决后将补丁发布给用户,属于做科学合理的一种漏洞披露方式[1]。
2 网络安全漏洞披露规则体系设计
网络安全漏洞披露意义重大,主要体现在两个方面,一是在互联网开放性传播环境下,网络漏洞则会越来越大,不法分子的侵入不但会使用户的利益受到极大损害,还可能会威胁到国家机密安全等诸多方面,造成不可弥补的损失;二是通过利用网络漏洞资源,能够实现网络安全风险的预警与管控,为国家安全反制工作提供技术保障。因此,针对网络安全漏洞,设计披露规则体系显得十分必要。本文将从漏洞披露的主体、对象、方式三个方面进行体系设计。
2.1明确漏洞披露的主体
从上文可知,漏洞的披露类型包括不披露、完全披露与负责任披露三种,其中后两种都具有披露主体,主要为安全公司、政府、黑客以及电脑安全专家等,在披露规则体系的设计上,首先需要明确披露主体,主要包括以下几类:
(1)厂商。厂商具有保障自身生产软件的安全的义务,因此在以往厂商属于大众广泛认可的安全漏洞披露主体。同时,在《网络安全法》中也对厂商针对软件的运行状态向用户披露的义务进行了规定。
(2)政府机构。政府作为披露主体,主要可分为两种类型,一是国家级安全披露平台,由CNNVD与CNVD共同承担安全漏洞的收集、分析与修补工作,属于披露主体 之一;二是安全漏洞决策机构。在《网络安全法》中,针对我国网络安全监测的工作机制,使相关部门能够将网络安全的预警信息进行统一发布,对我国的网络漏洞披露工作起到协调与决定作用。
(3)网络安全服务机构。随着我国网络安全服务行业的迅猛发展,专业机构在安全认证、风险评估方面的业务不断完善,使网络安全问题得到了进一步保障。为了提升网络安全服务机构的作用和优势,在《网络安全法》中规定该机构属于漏洞披露主体之一,并且鼓励企业积极开展安全认证与网络安全风险评估方面的业务拓展和壮大。
总之,在网络漏洞披露方面,应在明确漏洞披露主体的基础上,结合政府、厂商、网络安全服务机构、相关专家与用户等多种力量,将多方作用协调起来,共同维护和打造出安全和谐的网络环境。
2.2确定漏洞披露的对象
既然漏洞披露有主体,那么一定会有对应着的漏洞披露对象,主要分为两种类型,一种为网络安全产品的用户,用户能够直接使用产品,自然也成为了安全风险产生后的直接受害者。根据《合同法》中的相关规定可知,用户对于所使用的产品具有知情权,这一点在美国的相关法律中也具有同样的规定,对用户的合法权益给予切实保障,并规定产品的提供者应告知用户漏洞风险问题;二是政府机构,在《网络安全法》中,规定国家安全管理部门、国家密码管理部门、国务院公安部门等均有权利获取产品提供者的漏洞报告。
值得注意的一点是,网络安全机构平台不但是安全漏洞披露的主体,而且也属于漏洞披露的对象,在披露的整体设计中具有承上启下的功能,一方面接收操作者将漏洞信息,另一方面按照相关法律中的规定将漏洞进行披露,这属于我国网络安全漏洞整治中最为重要的一部分[2]。应在明确漏洞披露主体的基础上,确定披露的对象,才能够得到最佳的披露效果。
2.3采取合理的漏洞披露方式
在漏洞披露的方式上,主要可以分为以下四种,即告知、报告、发布与通报。其中,“告知”的对象为用户,针对产品、服务中存在的漏洞问题,向提供者追责,该行为主要是该产品中已经确定存在安全漏洞,并且其为用户带来极大的后果。“报告”主要是能够向相关部门完整的描述,相关部门包括工信、公安、网信等部门,从性质上来看,具有自下而上的性质。“发布”的特点较为显著,可以向社会公众公开,在以往的漏洞披露中,属于完全披露,一旦漏洞问题被披露出去,则会使“告知”与“报告”之间产生直接影响。“通报”则能够实现网络信息的共享,主体与对象均由于共享性、完备性而以不同的方式展现出来。针对不同的漏洞披露类型,采取合理的披露方式,为安全和谐的网络环境贡献更多的力量。
综上所述,网络的开放性与共享性特征决定了其势必会受到不安全因素的威胁,网络安全管理与破坏者之间将产生长期的博弈。在网络漏洞披露方面,应结合政府、厂商、网络安全服务机构、相关专家与用户等多种力量的力量,将多方作用协调起来,各方各司其职,共同维护和打造出安全和谐的网络环境。
参考文献:
[1]游林飞, 林章, 岳凌锋,等. 安全应急响应中心平台的设计与实现[J]. 软件工程, 2018(1):21-24.
[2]陆青. 基于漏洞检测与分析的网络安全评估模块设计与实现[D]. 厦门大学, 2016.
关键词:网络安全漏洞;披露规则;体系
目前网络安全披露已经成为网络风险控制工作的中心,应积极通过加强安全漏洞收集、监测等方式,将系统内部存在的风险预警进行强化,从而对网络风险进行有效的降低和控制。
1 网络安全漏洞披露概述
1.1概念
漏洞是指一個或者多个威胁可以利用的弱点,与某些环境中的安全功能相背离,属于信息系统或者设计中存在的不足、缺陷或特性。这些缺陷被外界因素所利用,使安全环境受到不同程度的破坏。对于网络安全漏洞来说,国内外已经有相关法条明确指出定义所在,从安全风险方面来看,网络攻击、网络病毒、网络侵入等都可以作为安全风险而存在,漏洞信息在泄漏以后将被发布到其他第三方平台当中,或者与黑客之间进行秘密交易。
1.2类型
对于国内外来说,针对网络安全漏洞披露的实践已经开展多年,在披露的类型上大致可分为三种,即不披露、完全披露和负责任披露。其中,不披露主要是指操作人员在发现网络中存在漏洞问题以后,没有立即相上级、厂商等进行汇报,同时也没有向公众披露,这种情况极大威胁了公众权益,很可能是与黑灰市之间进行交易;完全披露则是没有为厂商预留充足的漏洞处理时间,而是直接将漏洞信息传递给黑客;负责任披露则是指当操作人员发现漏洞问题以后,立即将其上报给厂商,待到问题解决后将补丁发布给用户,属于做科学合理的一种漏洞披露方式[1]。
2 网络安全漏洞披露规则体系设计
网络安全漏洞披露意义重大,主要体现在两个方面,一是在互联网开放性传播环境下,网络漏洞则会越来越大,不法分子的侵入不但会使用户的利益受到极大损害,还可能会威胁到国家机密安全等诸多方面,造成不可弥补的损失;二是通过利用网络漏洞资源,能够实现网络安全风险的预警与管控,为国家安全反制工作提供技术保障。因此,针对网络安全漏洞,设计披露规则体系显得十分必要。本文将从漏洞披露的主体、对象、方式三个方面进行体系设计。
2.1明确漏洞披露的主体
从上文可知,漏洞的披露类型包括不披露、完全披露与负责任披露三种,其中后两种都具有披露主体,主要为安全公司、政府、黑客以及电脑安全专家等,在披露规则体系的设计上,首先需要明确披露主体,主要包括以下几类:
(1)厂商。厂商具有保障自身生产软件的安全的义务,因此在以往厂商属于大众广泛认可的安全漏洞披露主体。同时,在《网络安全法》中也对厂商针对软件的运行状态向用户披露的义务进行了规定。
(2)政府机构。政府作为披露主体,主要可分为两种类型,一是国家级安全披露平台,由CNNVD与CNVD共同承担安全漏洞的收集、分析与修补工作,属于披露主体 之一;二是安全漏洞决策机构。在《网络安全法》中,针对我国网络安全监测的工作机制,使相关部门能够将网络安全的预警信息进行统一发布,对我国的网络漏洞披露工作起到协调与决定作用。
(3)网络安全服务机构。随着我国网络安全服务行业的迅猛发展,专业机构在安全认证、风险评估方面的业务不断完善,使网络安全问题得到了进一步保障。为了提升网络安全服务机构的作用和优势,在《网络安全法》中规定该机构属于漏洞披露主体之一,并且鼓励企业积极开展安全认证与网络安全风险评估方面的业务拓展和壮大。
总之,在网络漏洞披露方面,应在明确漏洞披露主体的基础上,结合政府、厂商、网络安全服务机构、相关专家与用户等多种力量,将多方作用协调起来,共同维护和打造出安全和谐的网络环境。
2.2确定漏洞披露的对象
既然漏洞披露有主体,那么一定会有对应着的漏洞披露对象,主要分为两种类型,一种为网络安全产品的用户,用户能够直接使用产品,自然也成为了安全风险产生后的直接受害者。根据《合同法》中的相关规定可知,用户对于所使用的产品具有知情权,这一点在美国的相关法律中也具有同样的规定,对用户的合法权益给予切实保障,并规定产品的提供者应告知用户漏洞风险问题;二是政府机构,在《网络安全法》中,规定国家安全管理部门、国家密码管理部门、国务院公安部门等均有权利获取产品提供者的漏洞报告。
值得注意的一点是,网络安全机构平台不但是安全漏洞披露的主体,而且也属于漏洞披露的对象,在披露的整体设计中具有承上启下的功能,一方面接收操作者将漏洞信息,另一方面按照相关法律中的规定将漏洞进行披露,这属于我国网络安全漏洞整治中最为重要的一部分[2]。应在明确漏洞披露主体的基础上,确定披露的对象,才能够得到最佳的披露效果。
2.3采取合理的漏洞披露方式
在漏洞披露的方式上,主要可以分为以下四种,即告知、报告、发布与通报。其中,“告知”的对象为用户,针对产品、服务中存在的漏洞问题,向提供者追责,该行为主要是该产品中已经确定存在安全漏洞,并且其为用户带来极大的后果。“报告”主要是能够向相关部门完整的描述,相关部门包括工信、公安、网信等部门,从性质上来看,具有自下而上的性质。“发布”的特点较为显著,可以向社会公众公开,在以往的漏洞披露中,属于完全披露,一旦漏洞问题被披露出去,则会使“告知”与“报告”之间产生直接影响。“通报”则能够实现网络信息的共享,主体与对象均由于共享性、完备性而以不同的方式展现出来。针对不同的漏洞披露类型,采取合理的披露方式,为安全和谐的网络环境贡献更多的力量。
综上所述,网络的开放性与共享性特征决定了其势必会受到不安全因素的威胁,网络安全管理与破坏者之间将产生长期的博弈。在网络漏洞披露方面,应结合政府、厂商、网络安全服务机构、相关专家与用户等多种力量的力量,将多方作用协调起来,各方各司其职,共同维护和打造出安全和谐的网络环境。
参考文献:
[1]游林飞, 林章, 岳凌锋,等. 安全应急响应中心平台的设计与实现[J]. 软件工程, 2018(1):21-24.
[2]陆青. 基于漏洞检测与分析的网络安全评估模块设计与实现[D]. 厦门大学, 2016.