近日,工业和信息化部、国家互联网信息办公室、公安部正式印发《网络产品安全漏洞管理规定》(以下简称《规定》)。
《规定》旨在规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,明确了中华人民共和国境内的网络产品提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人提出了具体的责任和义务。
多位接受采访的专家表示,《规定》所要求的产品安全漏洞发现、修补、管理流程,对网络产品提供者和运营者处理漏洞的方式提出了更为精细化的要求,无论是对第一方SRC(Security Response Center安全应急响应中心)平台还是第三方漏洞平台,都有利于其在发现与发布安全漏洞时,进行更为统一的规范和管理。
《规定》将于2021年9月1日正式施行。
近年来,随着互联网的快速发展,用于实现各种联网交互功能网络产品的应用范围也愈发广泛,但其软硬件漏洞引发的安全问题也随之而来。中国国家信息安全漏洞库CNNVD统计显示,截至6月30日,2021年上半年CNNVD针对中国互联网所采集的漏洞总量已达9639个,平均每月数量达1607个。
梆梆安全高级副总裁方宁在接受21世纪经济报道记者采访时表示,热门网络产品一旦爆出严重安全漏洞,不仅会对产品提供者、运营者的品牌和经营造成很大困扰,也可能对产品使用者的业务及系统安全性造成重大影响。
“在现在每年组织的国家级安全攻防演练活动中,部分网络产品暴露出缺乏漏洞披露和管理机制的问题,导致0Day漏洞(指已被发现但官方并未及时发布补丁的漏洞)大量爆发。如果这些漏洞被境内外不法分子或组织利用,可能对国家安全造成重大影响。”方宁强调。
中国科学院软件研究所研究员,博士生导师丁丽萍指出:缺乏监管会导致漏洞的发现和处理不及时,可能会滋生一系列严重问题,例如国家的重要信息泄露,事关国计民生的系统被攻击导致瘫痪等。今年5月,美国最大燃油管道运营商遭遇黑客组织的网络攻击侵袭后,被迫暂停美国东部最大的关键燃油网络的运行,我们应引以为戒。
此前,我国处理网络产品安全漏洞问题时主要依据的法律法规是《中华人民共和国网络安全法》,其中规定网络产品、服务提供者发现其产品存在安全缺陷、漏洞等风险时,应当立即采取补救措施,并及时告知用户并向有关主管部门报告。
“但网安法的内容是概括性的,在司法实践中需要更具体的规范来指导企业,把网络漏洞方面的合规要求落在实处。” 北京瑞栢律师事务所中国区公司法主管李晓蓓指出,本次发布的《规定》主要亮点之一,就是细化了网络产品提供者有关网络安全漏洞管理的义务,有利于相关企业对自身在网络漏洞发现、报告、修补和发布等方面的行为进行合规梳理,从而加强企业内部关于网络漏洞的风险管理流程。
《规定》要求,网络产品提供者应履行确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施的管理义务。
值得注意的是,《规定》中特别提到,网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后,除了需要向工信部网络安全威胁和漏洞信息共享平台报送相关信息外,对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者;而对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
丁丽萍分析称,任何一个网络产品都不是孤立的,以电商平台为例,其底层是操作系统、web服务系统、数据库管理系统(Database Management System, DBMS),上层是平台上针对商家和用户的应用系统,再加上网络通信系统等,是一个完整的系统环境。当该产品被发现存在漏洞时,其对整个系统,包括接口、应用、数据、服务都可能产生系统性影响。
同时,漏洞处理的过程也涉及到上游的监管部门、下游的用户和周围构建的生态等等。 “而《规定》对厂商和运营者提出明确的漏洞处理的上下游义务,对于漏洞的统一管理和及时弥补,不断提高网络产品的安全是十分有利的。”
值得注意的是,本次发布的《规定》对专门从事网络漏洞发现、发布的“白帽黑客”进行了规范。
《规定》第九条指出:从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则。
“白帽”黑客,是相对于从事出于破坏信息系统、窃取机密数据等不法目的,未经授权入侵或攻击他人计算机系统的“黑帽”黑客所提出的概念,与之相反,“白帽”黑客虽然也会侵入与攻击计算机系统,但往往是出于检查系统漏洞、维护网络安全或磨练自身计算机技术等“正当”目的而进行网络攻击。
中国互联网应急中心于2019年发布的《2018年中国互联网网络安全报告显示》,18年全年来自CNVD白帽子、补天平台、斗象科技的漏洞盒子等平台的民间报告漏洞数多达45322个,我国的民间网络安全研究者表现活跃。
但李晓蓓指出,部分漏洞收集平台存在内部运营不规范、擅自发布漏洞等问题,亟待加强管理。由于网络安全漏洞的处理关乎个人、企业乃至国家的利益,不加限制的漏洞发布行为也可能也引发法律层面的争议。
2015年12月,“白帽”黑客袁炜对世纪佳缘网站进行常规的安全检测后发现了该网站的漏洞,并将该漏洞提交给了专门从事厂商与研究者安全问题反馈沟通的第三方平台乌云网,世纪佳缘网也在确认后修复了该漏洞,并按乌云网的规则向漏洞提交者给付报酬致谢。
但不久后,世纪佳缘网以用户信息泄露为由向公安机关报案,称其数据被窃取。据查,世纪佳缘网站共计受到11个SQL注入攻击,全部来源于同一IP地址,网站内932条实名注册信息被窃取,随后北京市朝阳区检察院以涉嫌非法获取计算机信息系统数据犯罪逮捕了袁炜。2016年7月,乌云网贴出“服务升级”公告,网站无法访问。
并非出于恶意目的的自发漏洞检测,为何会导致“白帽”黑客面临如此严重的违法指控?
据《中华人民共和国治安管理处罚法》第二十九条规定,侵入计算机信息系统,并对系统功能、存储数据、应用程序进行修改,造成危害的,需要承担相应的法律责任。但《治安管理处罚法》并未针对网络空间漏洞的检测、披露、报告、利用与交易等方面进行直接规定。
丁丽萍指出,此前的第三方漏洞发布平台,一般会利用发现的漏洞倒逼厂商进行修复,存在以超过时限即曝光漏洞为由向厂商索取钱财的灰色利益地带。在监管力度不够的情况下,类似的灰色地带极易滋生非法漏洞交易,以及利用漏洞非法获取数据等违法犯罪行为。“这不仅不利于快速消除影响网络安全的漏洞,有些时甚至会导致大规模的数据泄露等严重安全事件。”
针对“白帽”黑客发布安全漏洞可能存在违法风险的问题,各国也在摸索如何推动“白帽”黑客出于善意目的攻击、检测网络系统行为合规。
据外媒报道,2018年日本防卫省宣布将起用民间企业的网络人才,并将研究以特定任期制的形式招募具有高级专业技术的专家型人才。2019年,美国网络安全与基础设施安全局 (CISA)发布了一份指令草案,要求所有民间机构设立安全研究人员友好的漏洞披露策略,以便白帽黑客能够有明确的过程供其报告漏洞。
而本次发布的《规定》对“白帽”黑客发现、发布安全漏洞行为作出了详细且具体的要求,其中包括网络产品安全漏洞的发现、收集者不得在网络产品提供者提供修补措施前发布漏洞信息,如有必要需同网络产品提供者评估协商,向有关部门报告并经由有关部门评估后发布;不得发布安全漏洞的细节情况;不得刻意夸大漏洞的危害和风险,不得利用漏洞信息实施恶意炒作或者诈骗、敲诈勒索等违法犯罪活动等。
丁丽萍表示,白帽子是我国互联网行业中一股不可忽视的技术力量,目前大部分网络安全产品提供者都有自己的安全应急响应部门(SRC),例如腾讯的TSRC、京东的JSRC等等,这些部门每年会有漏洞提交者的奖励大会,相等于悬赏外部“白帽”,帮助其提升产品的安全性。而本次发布的《规定》则从政策法规层面进一步明确了网络漏洞规范化管理,规范了网络产品漏洞的处理和生命周期流程,禁止利用漏洞从事不法活动。
方宁也认为,《规定》的发布表现出对网络产品及网络系统的漏洞管理逐步规范化、强制化的趋势。另一方面,除依托国家级漏洞管理平台之外,《规定》也鼓励了安全生态圈内各主体发挥自身优势,动员企业和社会组织自建漏洞管理平台并规范化地参与和开展漏洞的发现、收集、发布等相关工作。
“这对从事漏洞平台运营和漏洞全生命周期管理平台研发的企业,也会产生积极的影响。”
(作者:见习记者,吴立洋 编辑:曹金良)