网安漏洞管理合规的起点与路径
一、背景
近日,国家市场监督管理总局与国家标准化管理委员会发布了修改后的《信息安全技术 信息安全漏洞管理规范》(GB/T 30276-2020)。此次发布的版本是在2013年版本的基础上进行的更新。《网络安全漏洞分类分级指南》(GB/T 30279-2020)与《网络安全漏洞标识与描述规范》(GB/T 28458-2020)也同步进行了更新。网络安全漏洞处置标准的接连更新预示着网络安全管理合规的重要性日益提升。
网络安全漏洞是网络产品和服务在生命周期中无意或有意产生的,有可能被利用的缺陷或薄弱点。网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,具有防不胜防的特点。即使是再严格的测试也无法根除网络安全漏洞。因此,建立行之有效的网络安全漏洞管理机制成为面对潜在网络安全漏洞的最佳策略。
二、履行法律义务所必需
传统上,网络安全漏洞管理是一项信息安全管理工作,似乎与法律“绝缘”,不在法律工作者的视野范围内。但是,随着我国《网络安全法》的实施,将大量信息安全技术与管理措施上升为法律义务,不可避免地需要在信息安全工作中越来越多地考虑法律因素。最直接的后果是:机构需要评估自己的信息安全措施能否在面对监管机构或司法机构的审查时,能否作为证据使用,达到合规的要求。
《网络安全法》是我国网络空间领域的基本法律,要求相关机构或个人:
1、发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告(第22条):
2、制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险(第25条);
3、开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞等网络安全信息,应当遵守国家有关规定(第26条)。
《网络安全法》作为一部框架性的法律,需要更多配套法规与实施细则的支撑。工业和信息化部(“工信部”)在2019年9月印发了《公共互联网网络安全威胁监测与处置办法》,并建立了网络安全威胁信息共享平台(https://www.cstis.cn/),负责统一汇集、存储、分析、通报、发布网络安全威胁信息,并有权通知存在漏洞、后门的网络服务和产品的提供者,由其采取整改措施,消除安全隐患;对涉及党政机关和关键信息基础设施的,同时通报其上级主管单位和网信部门。公安部2018年制定的《公安机关互联网安全监督检查规定》中也明确国家重大网络安全保卫任务期间专项安全监督检查的项目包括:企业是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患。《公安机关互联网安全监督检查规定》还规定公安机关对机构是否存在网络安全漏洞,可以开展远程检测。
诸多迹象显示,网络安全漏洞管理框架的搭建正在驶向快车道。2019年6月工信部曾就《网络安全漏洞管理规定(征求意见稿)》公开征求意见。国家互联网信息办公室也在2019年11月就《网络安全威胁信息发布管理办法(征求意见稿)》公开征求意见。
此外,国内还有30余家企业签署了《中国互联网协会漏洞信息披露和处置自律公约》,也让该文件具备了软法的性质。
三、执法关注重点之一
《网络安全法》生效以后,虽然配套制度尚未完善,但执法力度并不弱,围绕企业未能妥善处置网络安全漏洞已经出现大量的执法案例,这里简单列举一些:
- 2020年4月,宁波某公司网址被人恶意篡改为色情网站。经查,该公司未制定网络安全事件应急预案,未及时处置系统漏洞,导致危害网络安全后果。当地派出所依据《网络安全法》第25条对该公司给予罚款1万元。
- 2019年7月,南京警方在侦办一起非法控制计算机信息系统案中,发现南京某高校研究所、南京某职业学院、南京某软件公司等3家单位网站被获取管理员权限,网站被指向违法网站链接,相关单位未按照法律规定制定网络安全应急预案。南京警方依据《网络安全法》第25条,对南京某高校研究所等3家单位分别予以警告,责令限期整改。
- 2019年7月,南通警方在侦办南通海门某仪器公司网站被黑客攻击案中,发现该仪器公司及其网络运维方海门某商务公司未按照法律规定制定网络安全应急预案。南通警方依据《网络安全法》第25条对海门某仪器公司、某商务公司分别予以警告,责令限期整改。
- 2019年3月,天津滨海新区某公司网站的论坛版块集中出现了近百条反动言论以及境外反动网站链接。经进一步工作,警方了解到,某境外组织利用该网站的漏洞,使用程序对该网站注册用户以点对点的方式,散布反动言论以及反动网站链接。经传唤询问该公司相关工作人员以及现场检查、调查,该公司因变更网站,网络安全意识薄弱,网络安全责任落实不到位,未按要求落实网络安全等级保护工作,未建立网络安全管理制度、操作规程台账和网络安全应急预案。导致系统漏洞被利用,同时未能对有害信息进行巡查、过滤、屏蔽。依据《网络安全法》第25条,滨海警方严厉查处该公司安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施缺失的违法行为,对涉案的滨海新区某公司予以警告处罚,并责令限期整改安全隐患。
对于机构来说,在信息安全的角度当然应当及时处置已经暴露的网络安全漏洞。而从合规的角度,更需要建立能够经得起检查的制度,在监管到来时有能够“拿得出手”的规章制度。
四、击鼓传烫山芋:漏洞报送机制
此外,网络安全漏洞本身也是“烫手的山芋”。一方面,漏洞处理机制离不开漏洞发现者(“白帽子”)的配合,很多企业与漏洞信息共享平台往往还会给予漏洞发现者奖励,以鼓励漏洞发现者参与网络安全工作;但另一方面,网络安全漏洞的发掘与报送都存在较高的法律风险,漏洞发现者稍有不慎就会触及法律的“红线”——《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。《刑法》中尚未就网络安全漏洞测试进行任何例外的规定,这直接导致与漏洞报送有关的案件逐一出现:
- 2019年7月,某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。警方调查后发现,犯罪嫌疑人利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传国家信息安全漏洞共享平台(“CNVD”),由CNVD下发各网站进行修补。
- 2019年5月21日,揭阳网警工作发现违法嫌疑人苏某有涉嫌非法侵入计算机系统的行为。经深入调查发现,违法嫌疑人苏某于2019年5月13日,利用“御X”软件等对南方网等网站进行漏洞扫描,后用弱口令测试北京中医院网站的后台并成功登录,在未经授权的情况下擅自修改管理员账号密码,同时将该网站的漏洞提交给“漏洞盒子”网站。据其本人交代,其违法行为只是为了获取相应积分,有利于其以后找工作。
- 2016年,袁某检测并提交世纪佳缘漏洞的事件曾引起广泛关注。世纪佳缘出于保护用户隐私安全考虑,报警抓人。
网络安全漏洞本身是危险品,就像与其他危险品打交道一样,操作员需要按照规范处理的流程,保护好自身安全。
五、细化的合规义务
在2020版的《信息安全漏洞管理规范》中,完全重构了网络安全漏洞管理要求:
2013版 | 收集 | 预防 | / | 消减 | 发布 | / |
2020版 | 漏洞发现和报告 | 漏洞接收 | 漏洞验证 | 漏洞处置 | 漏洞发布 | 漏洞跟踪 |
2013版的《信息安全漏洞管理规范》主要以漏洞接收者的视角规范漏洞管理的各个环节,而2020版则进行了拓展,关注不同环境中不同主体。结合不同阶段的合规要求,可以进行一个简单的梳理:
发现和报告。在《网络安全漏洞管理规定(征求意见稿)》中,对向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况进行了鼓励。2020版的《信息安全漏洞管理规范》强调了“遵循国家相关法律、法规的前提下”可以对漏洞进行分析。在发现和报告环节,最主要的合规措施是需要“白帽子”获得授权,因此授权协议的起草就成了重中之重,需要明确约定漏洞挖掘的范围、期限、发现漏洞后的处理方式等内容。此外,“白帽子”在漏洞发掘的过程中应“不越雷池”,不要做出修改密码、随意下载数据这样的违法行为。
漏洞接收。2020版的《信息安全漏洞管理规范》要求机构有长效机制对漏洞进行接收,即使已经终止服务,也应当继续接收漏洞报告。更为重要的是建立漏洞接收的渠道,说明报告漏洞的联系方式,包括OpenPGP密钥,并介绍漏洞处置后续的程序步骤及时间表。2016年1月,ENISA发布了名为Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations的报告(https://www.enisa.europa.eu/publications/vulnerability-disclosure)。在报告附录中,提供了一份可供机构使用的《漏洞披露政策模板》。公司可以根据实际情况对政策进行定制化修改。
在漏洞验证与处置的环节,更多是需要通过技术与管理措施,尽快处理漏洞。需要关注《网络安全漏洞管理规定(征求意见稿)》,该规定拟要求:
处理流程 | 期限 | |
漏洞验证 | 立即 | |
采取修补或防范措施 | 网络产品 | 90日 |
网络服务或系统 | 10日 | |
通知技术合作方 向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况 | 5日 |
漏洞发布。在发布环节,《网络安全威胁信息发布管理办法(征求意见稿)》虽然没有生效,但对于漏洞这样的安全威胁信息发布设置了严格的要求。要求发布网络发布网络安全漏洞,应事先征求网络和信息系统运营者书面意见,除非该漏洞已被修复或提前30天进行举报。根据《中国互联网协会漏洞信息披露和处置自律公约》,对发布的涉及政府部门和重要信息系统的安全漏洞信息也要求“脱敏”,进行模糊化处理。
六、法律工作者需要为漏洞合规做些什么
漏洞是网络空间中的“危险品”,在处理的全过程都会面临合规监管的巨大压力。法律工作者未必可以解决漏洞所涉及的技术问题,但对于与漏洞相关的权利与义务、监管尺度是行家里手。尤其是当机构需要对漏洞处理方案的合规性进行评估,来自第三方法律工作者的意见更能有助于决策。
在网络安全漏洞管理的过程中,会涉及漏洞发现者、漏洞报告者、网络产品(服务)提供者、网络运营者、漏洞共享平台等多方主体。无论是构建商业模式、漏洞报送流程都需要在数据流与法律关系间来回穿梭,通过合同构建法律关系,降低网络安全漏洞处理的风险。无论是众测平台的注册协议,或是网络安全漏洞平台的规则,还是产品维护协议中的漏洞告知条款,都需要法律工作者对条款的精心设计。
所有的合规工作都应该是“面向诉讼合规”,以合规工作能够经得起法庭或仲裁庭考验为目标。这就要求合规文档、合规实践都需要考虑能否作为证据经得起对方的质证。在这一过程中,无法离开法律工作者对证据,尤其是电子证据判断与处理的能力。这也就要求在网安漏洞合规时,充分考虑漏洞数据与相关文档作为证据的真实性、合法性与关联性。
反过来对于法律工作者,网安漏洞合规不仅需要法律工作者对法律条文的捻熟,也需要对技术的深刻理解,了解网络系统的基本原理,这样才能够有效在网案漏洞合规中提供更多、更准确的法律意见作为支持。
史宇航:法学博士,注册信息安全专业人员(CISP),注册信息隐私管理人员(CIPM),汇业律师事务所顾问律师。主要从事网络安全、数据保护与互联网知识产权领域的法律服务。
扫描关注公众号