最近網(wǎng)安圈有白帽子頻繁以個人名義披露各家廠商的安全漏洞，著實為各家廠商以及安全從業(yè)人員敲響了警鐘。反觀整個事件，我們換個角度，漏洞真的是以個人或者組織名義想爆就能爆的嗎?

首先拋出我們的觀點，不管是個人還是組織，如果找到了哪家安全廠商的產(chǎn)品漏洞，不論是從維護整個網(wǎng)絡安全產(chǎn)業(yè)秩序的角度出發(fā)，還是從個人保護自己的角度出發(fā)，都建議大家按照《網(wǎng)絡安全漏洞管理規(guī)定》，依法披露漏洞。

從維護整個網(wǎng)絡安全產(chǎn)業(yè)秩序，共建和諧社會的角度來看。安全產(chǎn)品需要維護，不斷更新和迭代以適應不斷變化的網(wǎng)絡安全環(huán)境。技術(shù)的發(fā)展使得安全攻防隨之升級，這個過程難免會發(fā)現(xiàn)漏洞。一般而言，廠商在知道了自己有漏洞的前提下，一定會第一時間組織力量修復漏洞，維護用戶安全。試想下如果在沒有通知CNVD和廠商的角度下，私自暴露漏洞，黑客可能會第一時間利用漏洞進行對用戶的攻擊，給用戶和整個社會直接帶來損失。這個一定是我們不想看到的。

從保護個人的角度，在未通知廠商的前提下披露漏洞的行為，本身就已經(jīng)違反了《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》，經(jīng)了解到，其實多部委一直在共同協(xié)商，不斷完善相關(guān)法律條款，管理這類行為。由于漏洞披露導致了部分用戶被黑客攻擊，進而造成用戶的巨大損失，漏洞的披露者是難辭其咎的。所以建議廣大的白帽還是要學會保護自己，依法披露漏洞。

網(wǎng)絡安全漏洞披露已成為網(wǎng)絡安全風險控制的中心環(huán)節(jié)。不規(guī)范或非法的網(wǎng)絡安全漏洞披露危害網(wǎng)絡空間整體安全，凸顯出法律規(guī)定的灰色地帶。同時，國內(nèi)外不同主體基于不同動機和利益驅(qū)動，開展了廣泛的網(wǎng)絡安全漏洞披露實踐，并已經(jīng)引發(fā)各方對不利法律后果的反思。

Q1：最近關(guān)于漏洞披露問題討論很多，關(guān)于漏洞相關(guān)的披露機制是怎樣的?

A1：一般情況下，當發(fā)現(xiàn)一個漏洞之后，可以先上報國家信息安全漏洞共享平臺CNVD(China National Vulnerability Database，)，CNVD通知廠商需要在90/10天內(nèi)修復，廠商采取漏洞修補或防范措施后再予以公開，這樣能最大程度的保護用戶的安全，同時促進整個行業(yè)有序發(fā)展。如果發(fā)現(xiàn)漏洞而沒有上報CNVD，而是直接披露，這是有一定風險和隱患的。

Q2：漏洞披露有哪幾種類型，原則是什么?

A2：常見的披露類型主要有不披露、完全披露、負責任的披露和協(xié)同披露四種。

漏洞被發(fā)現(xiàn)后，就進入了漏洞披露階段。漏洞發(fā)現(xiàn)者有可能不披露漏洞，對安全漏洞的相關(guān)信息完全保密，既未報送給廠商，又不向公眾公開這就是不披露。與此相反，漏洞發(fā)現(xiàn)者也可能公開完全披露相關(guān)的漏洞信息，未事先對廠商進行告警，廠商沒有充分的時間修復漏洞，漏洞信息也直接暴露給了潛在的惡意攻擊者，這就是完全披露，也被稱作不負責任的披露。

漏洞發(fā)現(xiàn)者先報送漏洞，待廠商修復漏洞后，廠商再公告相關(guān)漏洞信息并發(fā)布補丁，這就是負責任的披露。當然，實踐過程中漏洞發(fā)現(xiàn)者和廠商也可能存在爭議。在負責任披露的基礎上，引入了協(xié)調(diào)者，協(xié)調(diào)者通常在各方利益相關(guān)者之間扮演信息傳達或信息經(jīng)紀人的角色，這就是協(xié)同披露。

原則上，一般采用的是負責任的披露。協(xié)同披露強調(diào)漏洞信息的共享，各方的協(xié)同合作，更為有利于保護網(wǎng)絡安全。

Q3：漏洞披露違規(guī)存在什么樣的風險?

A3：首先是用戶安全風險。

違規(guī)披露漏洞，會導致漏洞傳播。許多知名的開放社區(qū)都是零門檻的，很多黑客也埋伏在其中，這就導致了漏洞被公開后的一段時間內(nèi)容黑客活動激增。在廠商發(fā)布漏洞補丁和用戶更新之前，這樣的安全風險是難以把控的。一個著名的例子就是Mirai僵尸網(wǎng)絡，該僵尸網(wǎng)絡在2016年攻擊了美國的物聯(lián)網(wǎng)設備，使美國多個城市的互聯(lián)網(wǎng)癱瘓。實際上最初，它是用于對Telnet的嵌入式監(jiān)聽設備進行暴力攻擊。后來，Mirai源代碼被發(fā)布到開源社區(qū)，產(chǎn)生了模仿版本，用于對通過SecureShell(SSH)的監(jiān)聽硬件進行暴力攻擊。直到今年，Mirai變體仍然對嵌入式Linux系統(tǒng)構(gòu)成持續(xù)不斷的威脅。

其次是法律風險。安全從業(yè)人員違規(guī)披露漏洞，不僅破壞了行業(yè)規(guī)則，也給自己帶來了法律風險。《中華人民共和國網(wǎng)絡安全法》規(guī)定，開展網(wǎng)絡安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息，應當遵守國家有關(guān)規(guī)定。根據(jù)《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》的規(guī)定，第三方組織或者個人不得在網(wǎng)絡產(chǎn)品、服務提供者和網(wǎng)絡運營者向社會或用戶發(fā)布漏洞修補或防范措施之前發(fā)布相關(guān)漏洞信息，不得發(fā)布和提供專門用于利用網(wǎng)絡產(chǎn)品、服務、系統(tǒng)漏洞從事危害網(wǎng)絡安全活動的方法、程序和工具。2017年，網(wǎng)易SRC指責白帽子違反漏洞測試原則，在未經(jīng)網(wǎng)易及NSRC授權(quán)的情況下，擅自公開披露漏洞細節(jié)，讓廣大網(wǎng)易產(chǎn)品用戶置于潛在的風險中，強調(diào)違法必究。

Q4：漏洞披露者如何避免法律風險?

A4：需要遵守相關(guān)法律法規(guī)，按照規(guī)范化流程進行。

一般是先上報CNVD，CNVD通知廠商在90/10天內(nèi)修復，再對漏洞進行披露。漏洞的報送和披露，國內(nèi)基本形成國家安全漏洞庫，第三方漏洞平臺和企業(yè)SRC或PSIRT并存的結(jié)構(gòu)。像近期的一些漏洞事件，廠商對漏洞檢測也是持開放透明的態(tài)度，國內(nèi)不少企業(yè)機構(gòu)都對漏洞發(fā)現(xiàn)者予以獎勵。

網(wǎng)絡安全漏洞披露集結(jié)了政府部門、產(chǎn)品和服務提供者、第三方研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)、用戶、黑客或“白帽子”等多方利益相關(guān)者及其協(xié)調(diào)關(guān)系，所有利益相關(guān)者均應肩負起應有的法律責任，共同推動網(wǎng)絡社會的有序運行。

互聯(lián)網(wǎng)空間始終不是法外之地，尤其是當我們進入萬物互聯(lián)時代，任何舉措都可能對用戶、企業(yè)、市場造成影響。所以這也要求每一個人，遵守規(guī)則，尊重法律法規(guī)，共同維護網(wǎng)絡空間的安全和諧。未來，我們也希望，隨著法律、法規(guī)的進一步健全，隨著網(wǎng)絡安全市場的成熟，代表網(wǎng)絡正義的“白帽子”們，也將發(fā)揮更大的力量。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:光明網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明