网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。
国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。
网络安全漏洞披露的概念与类型
1、概念
漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。
漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第26条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。
2、类型
网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。
不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。
完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客也能够轻松的开发和编写漏洞。
负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。
以上就是本站小编对网络安全漏洞披露进行了简单的介绍,想了解有关网络安全现状等其他小知识还请关注本站的信息安全小知识,希望以上内容对您有所帮助。
