《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》:不僅是白帽子的緊箍咒,也是合規(guī)必答題
| 網(wǎng)絡(luò)安全具有很強的隱蔽性,一個技術(shù)漏洞、安全風(fēng)險可能隱藏幾年都發(fā)現(xiàn)不了,結(jié)果是“誰進來了不知道、是敵是友不知道、干了什么不知道”,長期“潛伏”在里面,一旦有事就發(fā)作了。……要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機制,把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來,龍頭企業(yè)要帶頭參加這個機制。
——2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會上的講話 |
一、背景
2021年7月13日,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部共同發(fā)布了《網(wǎng)絡(luò)安全法》的重要配套規(guī)范——《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,并且將在9月1日伴隨《數(shù)據(jù)安全法》一同生效,堪稱開學(xué)大禮包。
網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)產(chǎn)品和服務(wù)在生命周期中無意或有意產(chǎn)生的,有可能被利用的缺陷或薄弱點。網(wǎng)絡(luò)安全漏洞是大量網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)違法犯罪活動發(fā)生的罪魁禍?zhǔn)祝哂蟹啦粍俜赖奶攸c。即使是再嚴(yán)格的測試也無法根除網(wǎng)絡(luò)安全漏洞。因此,建立行之有效的網(wǎng)絡(luò)安全漏洞管理機制成為面對潛在網(wǎng)絡(luò)安全漏洞的最佳策略。
二、法律義務(wù)落地
《網(wǎng)絡(luò)安全法》是我國網(wǎng)絡(luò)空間領(lǐng)域的基本法律,要求相關(guān)機構(gòu)或個人在處置網(wǎng)絡(luò)安全漏洞時:
- 發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告……網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(第22條);
- 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(第25條);
- 開展網(wǎng)絡(luò)安全認證、檢測、風(fēng)險評估等活動,向社會發(fā)布系統(tǒng)漏洞等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國家有關(guān)規(guī)定(第26條)
除了網(wǎng)絡(luò)《網(wǎng)絡(luò)安全法》,在《數(shù)據(jù)安全法》中對安全漏洞的管控也是法律義務(wù)之一:
開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施(第29條)。
早在2019年6月,工信部就曾發(fā)布了《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》,此次規(guī)定正式頒布,為我國的網(wǎng)絡(luò)安全與數(shù)據(jù)安全法律體系補上了一塊重要的拼圖。此外,在去年年底國家市場監(jiān)督管理總局與國家標(biāo)準(zhǔn)化管理委員會發(fā)布了修改后的《信息安全技術(shù) 信息安全漏洞管理規(guī)范》(GB/T 30276-2020)。后續(xù),有關(guān)部門可能會發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》等同樣涉及網(wǎng)絡(luò)安全漏洞的相關(guān)制度。
工信部在2019年9月印發(fā)了《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》,并建立了網(wǎng)絡(luò)安全威脅信息共享平臺(https://www.cstis.cn/),負責(zé)統(tǒng)一匯集、存儲、分析、通報、發(fā)布網(wǎng)絡(luò)安全威脅信息,平臺還有會通知存在漏洞、后門的網(wǎng)絡(luò)服務(wù)和產(chǎn)品的提供者,要求采取整改措施,消除安全隱患。
公安部2018年制定的《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》中也明確國家重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)期間專項安全監(jiān)督檢查的項目包括:企業(yè)是否組織開展網(wǎng)絡(luò)安全風(fēng)險評估,并采取相應(yīng)風(fēng)險管控措施堵塞網(wǎng)絡(luò)安全漏洞隱患。《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》還規(guī)定公安機關(guān)對機構(gòu)是否存在網(wǎng)絡(luò)安全漏洞,可以開展遠程檢測。
三、企業(yè)的合規(guī)項目
此次發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,要求所有機構(gòu)擴充自己的合規(guī)清單。
四、白帽子的“緊箍咒”
網(wǎng)絡(luò)安全漏洞本身也是“燙手的山芋”。一方面,漏洞處理機制離不開漏洞發(fā)現(xiàn)者(“白帽子”)的配合,很多企業(yè)與漏洞信息共享平臺往往還會給予漏洞發(fā)現(xiàn)者獎勵,以鼓勵漏洞發(fā)現(xiàn)者參與網(wǎng)絡(luò)安全工作。
但另一方面,網(wǎng)絡(luò)安全漏洞的發(fā)掘與報送都存在較高的法律風(fēng)險,漏洞發(fā)現(xiàn)者稍有不慎就會觸及法律的“紅線”——《刑法》第285條非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計算機信息系統(tǒng)罪。《刑法》中尚未就網(wǎng)絡(luò)安全漏洞測試進行任何例外的規(guī)定,這直接導(dǎo)致與漏洞報送有關(guān)的案件逐一出現(xiàn):
- 2019年7月,某政府網(wǎng)站管理員向網(wǎng)安支隊報警,該政府網(wǎng)絡(luò)內(nèi)局長信箱模塊有網(wǎng)民多次發(fā)送非正常留言,后模塊運行不正常,疑遭黑客攻擊。警方調(diào)查后發(fā)現(xiàn),犯罪嫌疑人利用休息時間,在未授權(quán)的情況下,對銀川市的某政府網(wǎng)站進行滲透測試,他的目的為了找出網(wǎng)站漏洞并生成漏洞報告,然后上傳國家信息安全漏洞共享平臺(“CNVD”),由CNVD下發(fā)各網(wǎng)站進行修補。
- 2019年5月21日,揭陽網(wǎng)警工作發(fā)現(xiàn)違法嫌疑人蘇某有涉嫌非法侵入計算機系統(tǒng)的行為。經(jīng)深入調(diào)查發(fā)現(xiàn),違法嫌疑人蘇某于2019年5月13日,利用“御X”軟件等對南方網(wǎng)等網(wǎng)站進行漏洞掃描,后用弱口令測試北京中醫(yī)院網(wǎng)站的后臺并成功登錄,在未經(jīng)授權(quán)的情況下擅自修改管理員賬號密碼,同時將該網(wǎng)站的漏洞提交給“漏洞盒子”網(wǎng)站。據(jù)其本人交代,其違法行為只是為了獲取相應(yīng)積分,有利于其以后找工作。
- 2016年,袁某檢測并提交世紀(jì)佳緣漏洞的事件曾引起廣泛關(guān)注。世紀(jì)佳緣出于保護用戶隱私安全考慮,報警抓人。
網(wǎng)絡(luò)安全漏洞本身是危險品,就像與其他危險品打交道一樣,操作員需要按照規(guī)范處理的流程,保護好自身安全。
此外,此次發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第9條為安全漏洞收集平臺與“白帽子”群體戴上了諸多“緊箍咒”,也讓漏洞發(fā)布行為的邊界更為清晰:
根據(jù)以上規(guī)則,漏洞的發(fā)布將會被嚴(yán)格限制。尤其是在網(wǎng)絡(luò)安全漏洞可以被視為一種“戰(zhàn)略資產(chǎn)”的背景下,未公開的安全漏洞不得向境外組織和個人提供,避免用于威脅我國的網(wǎng)絡(luò)安全。
在罰則方面,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》為違法漏洞平臺與“白帽子”們準(zhǔn)備了責(zé)令改正、警告、機構(gòu)最高10萬元罰款、責(zé)任個人最高5萬元罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等一系列處罰手段。
五、企業(yè)如何開展網(wǎng)絡(luò)安全漏洞合規(guī)
根據(jù)我們?yōu)橄嚓P(guān)客戶處置網(wǎng)絡(luò)安全漏洞與搭建網(wǎng)絡(luò)安全漏洞合規(guī)機制的服務(wù)經(jīng)驗,我們建議企業(yè):
- 構(gòu)建有效的網(wǎng)絡(luò)安全漏洞響應(yīng)機制,如設(shè)立安全運營中心,或在網(wǎng)站、App設(shè)立專門頁面接收漏洞報告。
- 如果技術(shù)能力相對有限,可以與安全廠商合作建立企業(yè)的安全運營中心。
- 信息安全部門、IT部門、法務(wù)部門等利益相關(guān)方應(yīng)當(dāng)共同制定漏洞規(guī)則,圍繞接收、響應(yīng)、處置的流程,草擬漏洞接收后的反饋文本,指定的漏洞報送的格式,以及是否有獎勵措施。在此基礎(chǔ)上,確保安全漏洞的接收日志留存期限不少于6個月。
- 在準(zhǔn)備相關(guān)流程的準(zhǔn)備、文本的起草可以參考國家推薦標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全漏洞管理規(guī)范》(GB/T 30276-2020)。
- 根據(jù)自身的角色,如是否屬于網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺、網(wǎng)絡(luò)產(chǎn)品提供者或網(wǎng)絡(luò)運營者,全面梳理自己角色對應(yīng)的網(wǎng)絡(luò)安全漏洞合規(guī)義務(wù)。
- 在網(wǎng)絡(luò)產(chǎn)品、服務(wù)采購的合同中,應(yīng)設(shè)置條款對網(wǎng)絡(luò)安全漏洞的處置責(zé)任、披露義務(wù)、免責(zé)情形、過錯承擔(dān)等內(nèi)容進行明確約定。
- 如果從事網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺業(yè)務(wù),應(yīng)當(dāng)盡快完成工信部備案,完成等級保護,并且加強內(nèi)部管理,采取措施防范網(wǎng)絡(luò)產(chǎn)品安全漏洞信息泄露和違規(guī)發(fā)布。
對于“白帽子”群體,我們建議嚴(yán)格按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》為自己的行為邊界劃出紅線,更充分地利用自己的網(wǎng)絡(luò)安全技能,避免因為不知法、不守法讓自己陷入違法甚至犯罪的窘境。
