精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

“白帽子”挖掘漏洞行為亟待法律規范

責任編輯:editor004 作者:李含 唐夢君 |來源:企業網D1Net  2016-08-24 11:54:33 本文摘自:法治周末

目前,我國法律尚未涉及到安全漏洞、“白帽子”、眾測平臺等一些新興概念,也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規定

烏云網停擺狀態還在持續,“白帽子”這一群體的的罪與罰話題,依舊是網絡安全界討論的熱點。

“對‘白帽子’的身份要給予正確說法,在我看來,‘白帽子’是網絡安全領域不可或缺的補充力量。”在8月16日第四屆中國互聯網安全大會的網絡安全與法治論壇上,西安交通大學信息安全法律研究中心主任馬民虎給出了如此看法。

然而,馬民虎也指出,為了使“白帽子”在網絡社會中能夠更多地發揮積極價值,而不是走上歧途,需要社會為其成長提供一個暢通渠道,并且從法律和政策上提供保障與支持。

“白帽子”成解決漏洞問題重要環節

《中國互聯網站發展狀況及其安全報告(2016)》的統計數據顯示:截至2015年12月底,中國網站總量達到426.7萬余個;而由于各種各樣安全漏洞的存在,網站面臨著黑客以癱瘓目標業務系統、竊取用戶有價值信息等為主要目的的攻擊威脅,公共互聯網環境仍面臨較為嚴峻的安全態勢。

“可以說,所有網絡安全問題的產生,以及網絡安全威脅的存在,都和漏洞有緊密關系。”國家互聯網應急中心運行部副主任嚴寒冰介紹,近些年來,隨著人們對安全漏洞的越發重視,尤其從2009年以后多家漏洞報告平臺的陸續成立,如補天平臺、烏云網、漏洞盒子,以及各大互聯網企業內部成立的安全應急響應中心等,讓解決網絡安全問題有了越來越多民間力量的參與;而“白帽子”發現并上報漏洞,已經成為整個漏洞發現處置體系中的重要環節。

法治周末記者了解到,如家酒店等開房信息遭泄露、12306鐵路售票網用戶數據遭泄露等曾經轟動一時的網絡安全事件,最早都是由民間“白帽子”提交給漏洞報告平臺,才引起社會廣泛關注的。

嚴寒冰介紹,“白帽子”會去挖掘相關單位的漏洞,并上報到漏洞報告平臺;這些漏洞報告平臺擔負著搜集漏洞、處置漏洞的相關任務,“白帽子”發現的這些漏洞會經由分發體系發到各個設施單位去,然后由設施單位對漏洞進行修復處理。

“漏洞報告平臺的存在,是整個漏洞發現處置體系的一個核心。”嚴寒冰說。

漏洞挖掘易觸犯法律

盡管“白帽子”在發現漏洞方面的作用有目共睹,但由于其身份和行為在合法性上尚模糊,也因此面臨著不可忽視的法律風險。

4月12日,“白帽子”袁煒因其檢測世紀佳緣網系統漏洞的相關行為,而被警方以涉嫌非法獲取計算機信息系統數據罪逮捕;7月19日至20日,漏洞盒子、烏云網等多家漏洞報告平臺陷入無法正常訪問的狀態,網上有媒體報道稱因白帽子模式游走在法律邊界,相關漏洞報告平臺被介入調查,目前處于停業整頓的狀態。

“白帽子”和漏洞報告平臺的行為準則和邊界問題,日益成為業界關注的重點領域。在論壇上,公安部第三研究所網絡安全法律研究中心主任、副研究員黃道麗發布了西安交通大學信息安全法研究中心和360法務團隊共同編制的《白帽子安全漏洞挖掘法律風險分析報告》(以下簡稱“《報告》”),指出目前我國法律尚未涉及到安全漏洞、“白帽子”、漏洞眾測平臺等一些新興概念,也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規定。

“我國并沒有建立與‘白帽子’相關的系統法律制度,相應的規范只是零散地在法律法規中得以體現。從現有規范角度來看,由于自身定義的不明確和相關行為規范的缺失,加上一些‘白帽子’的法律意識淡薄,他們的漏洞挖掘行為很容易觸犯法律。”黃道麗說。

可通過適當衡量標準納入安全產業

“我國急需從管理、技術和法律層面,來綜合提高應對網絡攻擊的防御能力。一方面,要最大限度地減少安全漏洞可能產生的危害;而另一方面,我們也需要引導安全漏洞合法挖掘、報告、披露、應用。”黃道麗指出,法律應當將“白帽子”和漏洞報告平臺,通過適當的衡量標準納入到安全產業當中,確實給予合法地位;通過明確的規范,將“白帽子”的漏洞挖掘行為納入法律框架中。

北京郵電大學互聯網治理與法律研究中心常務副主任謝永江對此表示認同。他認為,網絡漏洞具有雙重性,網絡漏洞被發掘后,不法分子可能會利用漏洞給用戶帶來損失,但從另一個角度來說,網絡漏洞只有被發掘才能得到修復,管理部門不能用禁止挖掘漏洞的方式來維護網絡安全。

“但確實應禁止‘白帽子’挖掘國家事務、國防建設和尖端科技領域的計算機信息系統漏洞。”謝永江表示,涉及到公眾利益的漏洞是不能任意披露的,“白帽子”若要向研究機構披露漏洞,需要基于授權。

“網絡漏洞既然是客觀存在的,就應當正確地培育這個市場,構建公開有序的漏洞發現、修復機制,促進網絡安全產業的健康發展,而不能任由這個市場朝著不規范的方向發展。”謝永江表示。

嚴寒冰建議,在規范網絡漏洞挖掘的問題上,要完善互聯網設施單位、漏洞報告平臺以及“白帽子”之間的協商披露機制。

《報告》對此也提出了建議:政府應實現由行政監管為主、向法治監管為主的轉型,強化以法治為基礎的市場監管體系,建立評估監測機制,監督眾測平臺對漏洞合法挖掘、報告、披露、應用的商業管理模式,定期進行透明度審查,并向社會發布報告;督促企業健康發展,鼓勵行業實施合法的漏洞獎勵計劃,適當提高獎勵金額,為企業、漏洞眾測平臺和“白帽子”群體創造利益平衡的支點和紐帶。

《報告》還提出,由于目前漏洞報告、披露機制的流程和制度不規范,民間漏洞眾測平臺不能夠為企業和“白帽子”之間創造有效的信任環境,因而民間漏洞眾測平臺要加強協調作用,監督“白帽子”依法進行漏洞挖掘工作,嚴格遵守信息保密原則并規范披露行為,及時通知“白帽子”可能的違法犯罪行為。

關鍵字:白帽子

本文摘自:法治周末

x “白帽子”挖掘漏洞行為亟待法律規范 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

“白帽子”挖掘漏洞行為亟待法律規范

責任編輯:editor004 作者:李含 唐夢君 |來源:企業網D1Net  2016-08-24 11:54:33 本文摘自:法治周末

目前,我國法律尚未涉及到安全漏洞、“白帽子”、眾測平臺等一些新興概念,也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規定

烏云網停擺狀態還在持續,“白帽子”這一群體的的罪與罰話題,依舊是網絡安全界討論的熱點。

“對‘白帽子’的身份要給予正確說法,在我看來,‘白帽子’是網絡安全領域不可或缺的補充力量。”在8月16日第四屆中國互聯網安全大會的網絡安全與法治論壇上,西安交通大學信息安全法律研究中心主任馬民虎給出了如此看法。

然而,馬民虎也指出,為了使“白帽子”在網絡社會中能夠更多地發揮積極價值,而不是走上歧途,需要社會為其成長提供一個暢通渠道,并且從法律和政策上提供保障與支持。

“白帽子”成解決漏洞問題重要環節

《中國互聯網站發展狀況及其安全報告(2016)》的統計數據顯示:截至2015年12月底,中國網站總量達到426.7萬余個;而由于各種各樣安全漏洞的存在,網站面臨著黑客以癱瘓目標業務系統、竊取用戶有價值信息等為主要目的的攻擊威脅,公共互聯網環境仍面臨較為嚴峻的安全態勢。

“可以說,所有網絡安全問題的產生,以及網絡安全威脅的存在,都和漏洞有緊密關系。”國家互聯網應急中心運行部副主任嚴寒冰介紹,近些年來,隨著人們對安全漏洞的越發重視,尤其從2009年以后多家漏洞報告平臺的陸續成立,如補天平臺、烏云網、漏洞盒子,以及各大互聯網企業內部成立的安全應急響應中心等,讓解決網絡安全問題有了越來越多民間力量的參與;而“白帽子”發現并上報漏洞,已經成為整個漏洞發現處置體系中的重要環節。

法治周末記者了解到,如家酒店等開房信息遭泄露、12306鐵路售票網用戶數據遭泄露等曾經轟動一時的網絡安全事件,最早都是由民間“白帽子”提交給漏洞報告平臺,才引起社會廣泛關注的。

嚴寒冰介紹,“白帽子”會去挖掘相關單位的漏洞,并上報到漏洞報告平臺;這些漏洞報告平臺擔負著搜集漏洞、處置漏洞的相關任務,“白帽子”發現的這些漏洞會經由分發體系發到各個設施單位去,然后由設施單位對漏洞進行修復處理。

“漏洞報告平臺的存在,是整個漏洞發現處置體系的一個核心。”嚴寒冰說。

漏洞挖掘易觸犯法律

盡管“白帽子”在發現漏洞方面的作用有目共睹,但由于其身份和行為在合法性上尚模糊,也因此面臨著不可忽視的法律風險。

4月12日,“白帽子”袁煒因其檢測世紀佳緣網系統漏洞的相關行為,而被警方以涉嫌非法獲取計算機信息系統數據罪逮捕;7月19日至20日,漏洞盒子、烏云網等多家漏洞報告平臺陷入無法正常訪問的狀態,網上有媒體報道稱因白帽子模式游走在法律邊界,相關漏洞報告平臺被介入調查,目前處于停業整頓的狀態。

“白帽子”和漏洞報告平臺的行為準則和邊界問題,日益成為業界關注的重點領域。在論壇上,公安部第三研究所網絡安全法律研究中心主任、副研究員黃道麗發布了西安交通大學信息安全法研究中心和360法務團隊共同編制的《白帽子安全漏洞挖掘法律風險分析報告》(以下簡稱“《報告》”),指出目前我國法律尚未涉及到安全漏洞、“白帽子”、漏洞眾測平臺等一些新興概念,也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規定。

“我國并沒有建立與‘白帽子’相關的系統法律制度,相應的規范只是零散地在法律法規中得以體現。從現有規范角度來看,由于自身定義的不明確和相關行為規范的缺失,加上一些‘白帽子’的法律意識淡薄,他們的漏洞挖掘行為很容易觸犯法律。”黃道麗說。

可通過適當衡量標準納入安全產業

“我國急需從管理、技術和法律層面,來綜合提高應對網絡攻擊的防御能力。一方面,要最大限度地減少安全漏洞可能產生的危害;而另一方面,我們也需要引導安全漏洞合法挖掘、報告、披露、應用。”黃道麗指出,法律應當將“白帽子”和漏洞報告平臺,通過適當的衡量標準納入到安全產業當中,確實給予合法地位;通過明確的規范,將“白帽子”的漏洞挖掘行為納入法律框架中。

北京郵電大學互聯網治理與法律研究中心常務副主任謝永江對此表示認同。他認為,網絡漏洞具有雙重性,網絡漏洞被發掘后,不法分子可能會利用漏洞給用戶帶來損失,但從另一個角度來說,網絡漏洞只有被發掘才能得到修復,管理部門不能用禁止挖掘漏洞的方式來維護網絡安全。

“但確實應禁止‘白帽子’挖掘國家事務、國防建設和尖端科技領域的計算機信息系統漏洞。”謝永江表示,涉及到公眾利益的漏洞是不能任意披露的,“白帽子”若要向研究機構披露漏洞,需要基于授權。

“網絡漏洞既然是客觀存在的,就應當正確地培育這個市場,構建公開有序的漏洞發現、修復機制,促進網絡安全產業的健康發展,而不能任由這個市場朝著不規范的方向發展。”謝永江表示。

嚴寒冰建議,在規范網絡漏洞挖掘的問題上,要完善互聯網設施單位、漏洞報告平臺以及“白帽子”之間的協商披露機制。

《報告》對此也提出了建議:政府應實現由行政監管為主、向法治監管為主的轉型,強化以法治為基礎的市場監管體系,建立評估監測機制,監督眾測平臺對漏洞合法挖掘、報告、披露、應用的商業管理模式,定期進行透明度審查,并向社會發布報告;督促企業健康發展,鼓勵行業實施合法的漏洞獎勵計劃,適當提高獎勵金額,為企業、漏洞眾測平臺和“白帽子”群體創造利益平衡的支點和紐帶。

《報告》還提出,由于目前漏洞報告、披露機制的流程和制度不規范,民間漏洞眾測平臺不能夠為企業和“白帽子”之間創造有效的信任環境,因而民間漏洞眾測平臺要加強協調作用,監督“白帽子”依法進行漏洞挖掘工作,嚴格遵守信息保密原則并規范披露行為,及時通知“白帽子”可能的違法犯罪行為。

關鍵字:白帽子

本文摘自:法治周末

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
彭阳县|
荣成市|
辽宁省|
同仁县|
新沂市|
沧州市|
吴江市|
周至县|
宜君县|
那坡县|
昭苏县|
和静县|
财经|
台北县|
黔西县|
临湘市|
卢氏县|
福建省|
佛坪县|
上饶县|
枝江市|
宁夏|
洛扎县|
瑞昌市|
龙山县|
易门县|
左贡县|
崇文区|
乡宁县|
克什克腾旗|
神农架林区|
德昌县|
沾益县|
道孚县|
同德县|
江都市|
仁怀市|
图木舒克市|
竹北市|
建昌县|
晋江市|