如今,在全球范围内,网络攻击事件频繁发生,漏洞成为网络空间的数字武器,漏洞治理已成为网络安全保障的基础性环节。近日,在京举行的第四届中国互联网安全大会(ISC 2016)特设“2016ISC网络安全与法治论坛”,与会专家共同探讨漏洞的法律定性与治理之道。
如何看待网络漏洞的法律属性?北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为,漏洞是一种信息,拥有这一信息的人具有的权利用商业秘密来认定比较适合。而网络所有者发现自己网络有漏洞,当然也是一种商业秘密。如果一个来自民间的网络安全力量“白帽子”获取了漏洞,也可以作为一种商业秘密来考虑。谢永江建议,我国应尽快出台关于网络漏洞的挖掘披露、利用交易规则,让与网络漏洞有关的平台、“白帽子”或者政府机构知道自己的边界是什么。同时,还应培育这个市场,把这些“白帽子”跟企业联系起来,明确网络漏洞平台法律地位,构建公开有序的网络市场,促进网络安全产业发展。
论坛上,公安部三所网络安全法的研究中心主任黄道丽发布了《白帽子漏洞挖掘法的风险分析报告》,这个报告由西安交通大学信息安全法研究中心和360法务团队共同编制。报告认为,目前我国急需从管理、技术和法律层面来综合提高应对网络攻击防御能力,一方面最大限度地减少安全漏洞可能产生的危害,另外一方面也需要引导安全漏洞合法挖掘、报告、披露、应用。
还有与会者认为,漏洞是一种信息,对这种信息进行确权和归置,需要在分析信息利益基础上进行一个设计。漏洞不仅是企业商业秘密,在当前社会使用信息系统前提下,还涉及到国家信息安全,不是单个企业利益问题,而是企业和政府的共同利益问题。如何设计这种利益机制,在维护安全和促进行业发展之间达成平衡,这是我国面临的问题,也是全球共同面临的问题。
国家互联网应急中心运行部副主任、正高级工程师严寒冰介绍,从2009年开始,国内陆续成立很多家漏洞报告平台,这些漏洞报告平台担负着搜集漏洞,处置漏洞的相关任务。在国家层面成立的国家级漏洞平台有国家信息安全漏洞共享平台(CNVD)等,另外还有民间漏洞平台,如补天平台、乌云、漏洞盒子,大型互联网企业如BAT,以及网易、京东纷纷成立了自己的安全应急响应中心。这些漏洞平台发展迅速,我国已经形成了比较完善的漏洞发现以及处置的体系。(本报记者 窦新颖)
