網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計_第1頁
網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計_第2頁
網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計_第3頁
網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全問題已經(jīng)成為社會普遍關(guān)注的熱點問題,而解決網(wǎng)絡(luò)安全漏洞也成為當(dāng)前緊要任務(wù)。基于此,本文就網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計進行研究,首先就網(wǎng)絡(luò)安全披露中的不披露類型、完全披露類型和有限披露類型進行分析,然后闡述傳統(tǒng)網(wǎng)絡(luò)安全漏洞披露政策和現(xiàn)代網(wǎng)絡(luò)安全漏洞披露政策,最后從披露主體、披露對象和披露方式的角度分析其體系設(shè)計。標(biāo)簽:網(wǎng)絡(luò)安全;披露規(guī)則;體系設(shè)計引言:當(dāng)前互聯(lián)網(wǎng)已經(jīng)在人們生活和工作中得到普遍應(yīng)用,這使得社會運行的效率得到極大的提升,但同時也暴露出諸多網(wǎng)絡(luò)安全問題。作為網(wǎng)絡(luò)安全風(fēng)險防控的一種關(guān)鍵措施,網(wǎng)絡(luò)安全漏洞披露具有至關(guān)重要的作用,不僅能夠分化網(wǎng)絡(luò)中存在的風(fēng)險,還能夠通過各類情報的收集和整合,構(gòu)建起行之有效的風(fēng)險預(yù)警系統(tǒng),從而提高網(wǎng)絡(luò)的安全程度,避免因網(wǎng)絡(luò)攻擊和病毒感染造成損失。一、網(wǎng)絡(luò)安全漏洞披露的類型分析(一) 不披露在長期的發(fā)展過程中,網(wǎng)絡(luò)安全漏洞披露問題一直是社會關(guān)注的焦點,很多國家還針對這一問題開展多元化的實踐。在網(wǎng)絡(luò)安全漏洞披露的類型中,不披露是典型的一種途徑。選擇不披露網(wǎng)絡(luò)安全風(fēng)險漏洞的發(fā)現(xiàn)人員,其行為特征具有以下特點:一是阻礙社會公眾的知情權(quán),不將消息公布給社會公眾;二是隱瞞廠商,不將網(wǎng)絡(luò)安全漏洞上報給廠商,從而實現(xiàn)及時處理;三是存在黑灰市交易,在危害用戶利益的基礎(chǔ)上,以違法交易的方式使網(wǎng)絡(luò)安全遭受攻擊,從而謀取利益。(二) 完全披露與不披露類型的發(fā)現(xiàn)人員相比較,選擇完全披露網(wǎng)絡(luò)安全隱患的發(fā)現(xiàn)人員是在發(fā)現(xiàn)漏洞后的第一時間將信息公布給社會公眾,并且上報廠商進行及時處理。針對這一披露類型,社會有兩種不同的聲音。第一種聲音對這種行為持支持態(tài)度,認為這種手段不僅能夠及時將漏洞反饋給廠商,使廠商做出及時正確的處理手段,同時告知公眾避免使用存在漏洞的軟件或系統(tǒng),降低網(wǎng)絡(luò)安全危害的程度,而另一種聲音則認為完全紙漏會給黑客可乘之機,在獲取所有漏洞消息的基礎(chǔ)上,黑客能夠更加便利的開發(fā)漏洞、潛入系統(tǒng),從而造成更大的網(wǎng)絡(luò)安全隱患。(三) 有限披露有限披露是介于不披露和完全披露兩種類型中的一種中和方式,這種類型也稱為負責(zé)任披露,指的是發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的人員在第一時間上報廠商對系統(tǒng)或軟件進行改進,然后制定完善的應(yīng)對方案,在此條件下,廠商向社會公布安全漏洞,同時將補丁方案發(fā)放給社會公眾,使社會公眾的網(wǎng)絡(luò)安全得到保障。這種類型的披露方式不僅能夠有效維護網(wǎng)絡(luò)安全,還能夠保障公眾和廠商的利益,因此在實踐中得到廣泛的應(yīng)用,但是在具體操作中仍然具有完全披露的風(fēng)險。二、網(wǎng)絡(luò)安全漏洞的披露規(guī)則分析(一) 傳統(tǒng)漏洞披露政策傳統(tǒng)的漏洞披露政策以負責(zé)任披露類型為依據(jù),對網(wǎng)絡(luò)安全漏洞事件進行政策引導(dǎo)。例如美國計算機緊急事件響應(yīng)小組協(xié)調(diào)中心主要偏重于負責(zé)任披露這一類型,在網(wǎng)絡(luò)安全漏洞防護中充當(dāng)?shù)谌秸畽C構(gòu)的角色,一方面將發(fā)現(xiàn)的安全漏洞及時反饋給廠商,督促廠商對安全漏洞進行及時測試修補,另一方面保障公眾的知情權(quán)利,在45天后將安全漏洞信息公布給社會公眾,因此45天就是政策中規(guī)定的一個法定期限,但是在實際實施中仍然存在一些意外情況,例如為了使網(wǎng)絡(luò)安全得到更加可靠的保障,某些情況下小組工作人員還將社會公布的期限延遲,給予廠商更多修補漏洞、研發(fā)補丁的時間。(二) 現(xiàn)代漏洞披露政策網(wǎng)絡(luò)安全信息共享網(wǎng)絡(luò)安全信息共享是美國政府在近年來推出的典型的有關(guān)網(wǎng)絡(luò)安全的綜合性法律,這一法律明確規(guī)定,當(dāng)存在網(wǎng)絡(luò)安全漏洞時,社會公眾和企業(yè)可以在法定的情況下與政府機構(gòu)共享相關(guān)信息,并且構(gòu)建起一條先授權(quán)、再發(fā)現(xiàn)、最后共享的披露路徑,使網(wǎng)絡(luò)安全得到維護。VEP政策VEP政策就是政府機構(gòu)對網(wǎng)絡(luò)安全漏洞進行發(fā)現(xiàn)、采購和整合,然后通過評估漏洞風(fēng)險等級的方式,使網(wǎng)絡(luò)安全漏洞得到兩種途徑的應(yīng)用,一種途徑是在漏洞風(fēng)險等級較低的情況下,將漏洞信息作為國防、執(zhí)法和情報等信息的一部分進行收集,然后歸屬于國際秘密,另一種途徑是在漏洞風(fēng)險等級較高的情況下,以有限披露的原則,對漏洞信息進行公布[1]。3.補丁法案補丁法案是對VEP政策的進一步改進和優(yōu)化,結(jié)合披露類型和披露方式的實踐結(jié)果,補丁法案著重加強網(wǎng)絡(luò)安全漏洞裁決審查的環(huán)節(jié),以建立裁決審查委員會的形式,對網(wǎng)絡(luò)安全漏洞的披露程序進行進一步的完善,例如網(wǎng)絡(luò)安全漏洞在經(jīng)過裁決審查后決定進行有限紙漏,那么國土安全部也作為披露對象中的一個。(一) 披露主體結(jié)合我國網(wǎng)絡(luò)安全保護的現(xiàn)狀,對網(wǎng)絡(luò)安全漏洞的披露主體進行研究。當(dāng)前我國網(wǎng)絡(luò)安全漏洞的披露主體主要為以下幾種類型,分別是廠商、政府機構(gòu)和網(wǎng)絡(luò)安全服務(wù)機構(gòu)。就廠商而言,著重發(fā)揮自身的安全保障責(zé)任和義務(wù)。由于廠商與存在漏洞的網(wǎng)絡(luò)系統(tǒng)或軟件之間具有直接關(guān)系,因此廠商是最不懼社會爭議的披露主體;就政府機構(gòu)而言,主要以法律為基礎(chǔ),對網(wǎng)絡(luò)安全漏洞保持權(quán)利和義務(wù)。政府機構(gòu)主要分為國際級安全漏洞披露平臺和安全漏洞披露協(xié)調(diào)及決策部門。就前者來看,主要對網(wǎng)絡(luò)安全漏洞進行獲取、收集、驗證、發(fā)布、通報、分析、修補等,是典型的國家級披露主體;就后者來看,主要以跨部門協(xié)調(diào)的方式,對安全漏洞進行決策披露;就網(wǎng)絡(luò)安全服務(wù)機構(gòu)而言,主要以社會第三方機構(gòu)的角度,對安全風(fēng)險進行專業(yè)評估和認證,著重為政府機構(gòu)提供第三方技術(shù)支持。(二) 披露對象披露對象主要分為兩個部分,一部分為用戶,另一部分為政府機構(gòu)。用戶指的是存在安全漏洞產(chǎn)品的購買者和使用者,由于直接受到安全漏洞的侵害,因此用戶依法享有知情權(quán),而用戶利益至上理念一直是披露體系設(shè)計的核心原則,無論從《消費者權(quán)益法》、《合同法》還是《網(wǎng)絡(luò)安全法》,都明確規(guī)定用戶為披露的法定對象;政府機構(gòu)主要指的是國務(wù)院公安、網(wǎng)信部門、保密行政管理部門、密碼管理部門、安全管理部門等,根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定,政府機構(gòu)依法享有知情權(quán),從而發(fā)揮監(jiān)測預(yù)警的作用[2]。(三) 披露方式其一,用戶依法享有知情權(quán),因此網(wǎng)絡(luò)安全信息漏洞應(yīng)該由披露主體告知用戶,使用戶明確系統(tǒng)存在的安全風(fēng)險和隱患,同時享有追究責(zé)任的權(quán)利。告知用戶的信息既要包括網(wǎng)絡(luò)安全漏洞,同時包括安全風(fēng)險、防控措施、補丁方案、追求權(quán)利等內(nèi)容;其二,政府機構(gòu)必須發(fā)揮網(wǎng)絡(luò)監(jiān)測預(yù)警的作用,因此必須依法獲知信息,為此公安部門、網(wǎng)信部門和工信部門應(yīng)該發(fā)揮協(xié)調(diào)作用,將披露信息上報給主管部門,其中應(yīng)包括檢測報告、驗證報告、風(fēng)險評估報告、安全事件應(yīng)急報告等;其三,要嚴格遵循國家法律規(guī)范,在保障網(wǎng)絡(luò)信息共享的基礎(chǔ)上,充分考慮和評估信息發(fā)布后的風(fēng)險,并對發(fā)布程序進行全面的監(jiān)督和審核[3]。結(jié)論:綜上所述,針對網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計的探究是非常必要的。在互聯(lián)網(wǎng)時代,必須對網(wǎng)絡(luò)安全進行全面維護,對各方利益進行協(xié)調(diào),建立法制而規(guī)范的網(wǎng)絡(luò)社會。為此我國應(yīng)該完善對網(wǎng)絡(luò)安全漏洞紙漏的規(guī)則設(shè)計,結(jié)合實踐特點和國外先進經(jīng)驗,構(gòu)建科學(xué)的網(wǎng)絡(luò)安全漏洞披露體系,使各方協(xié)同作用得到充分發(fā)揮。希望本文能夠為研究網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計的相關(guān)人員提供參考。參考文獻:黃道麗.網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論