久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

今年4月12日，“白帽子”袁煒因涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪批捕，隨后其父親的一封公開(kāi)信引起了軒然大波。在信中，這名父親提出了一個(gè)令業(yè)內(nèi)人士都感到難以解答的問(wèn)題：“白帽子檢測(cè)漏洞到底是不是犯罪?”

這封信發(fā)布后的不到一個(gè)月的時(shí)間，7月20日，袁煒上傳漏洞的平臺(tái)“烏云”(WooYu)突然無(wú)法訪問(wèn)。網(wǎng)站公告稱(chēng)，烏云及相關(guān)服務(wù)將升級(jí)，并將在最短的時(shí)間內(nèi)以最好的姿態(tài)回歸。

另外，網(wǎng)傳烏云和包括創(chuàng)始人方小頓在內(nèi)的烏云網(wǎng)數(shù)名團(tuán)隊(duì)成員7月19日被警方帶走。

與此同時(shí)，另外一個(gè)業(yè)內(nèi)知名的互聯(lián)網(wǎng)那個(gè)測(cè)試平臺(tái)漏洞盒子發(fā)布升級(jí)公告稱(chēng)管理團(tuán)隊(duì)對(duì)其網(wǎng)站進(jìn)行例行維護(hù)。維護(hù)期間，暫?；ヂ?lián)網(wǎng)漏洞與威脅情報(bào)接收。

從“停服”開(kāi)始截至今天剛好一個(gè)月的時(shí)間，烏云仍然“升級(jí)中”，而漏洞盒子已經(jīng)恢復(fù)正常。

雖然還不知道烏云網(wǎng)出事的確切原因，但是與袁煒事件有關(guān)是業(yè)內(nèi)人士討論最多的一種說(shuō)法。在袁煒被抓后，烏云平臺(tái)成為了白帽子宣泄“憤怒”的地方，一連幾天袁煒?biāo)e報(bào)的網(wǎng)站又有多個(gè)漏洞被公布在烏云上。但也有人持有其他觀點(diǎn)，比如懷疑可能是由于烏云平臺(tái)上的白帽測(cè)試了相關(guān)政府部門(mén)的網(wǎng)絡(luò)系統(tǒng)，而平臺(tái)遭到牽連。

漏洞披露機(jī)制存疑

按照此前烏云的流程，在漏洞被提交至平臺(tái)后，一般10天向核心白帽子公開(kāi)其漏洞細(xì)節(jié)，20天向普通白帽子公開(kāi)，30天向?qū)嵙?xí)白帽子公開(kāi)。直到45天之后，企業(yè)仍未主動(dòng)認(rèn)領(lǐng)漏洞，則會(huì)向公眾公開(kāi)其細(xì)節(jié)。

相比烏云上白帽子主動(dòng)提交漏洞的做法，漏洞盒子的機(jī)制是讓廠商主動(dòng)提交項(xiàng)目要求白帽子尋找bug：“為了保護(hù)廠商，互聯(lián)網(wǎng)漏洞報(bào)告不向漏洞盒子外部用戶(hù)公開(kāi)，但保留對(duì)關(guān)系民生、影響大眾的安全問(wèn)題進(jìn)行披露的權(quán)利。我們建議廠商可以在我們建議的時(shí)間范圍修復(fù)漏洞。”

而360旗下與烏云、漏洞盒子齊名的補(bǔ)天平臺(tái)上，白帽子提交了漏洞報(bào)告后，即使企業(yè)不認(rèn)領(lǐng)，補(bǔ)天也不會(huì)主動(dòng)公開(kāi)。在周鴻祎看來(lái)，這是因?yàn)檠a(bǔ)天“并不利用漏洞去牟利”的緣故。

今年7月9日的時(shí)候，在烏云白帽大會(huì)上，方小頓仍然對(duì)漏洞披露堅(jiān)信不疑：“相較于企業(yè)，用戶(hù)往往是弱勢(shì)的。而烏云一個(gè)更重要的使命就是去做一個(gè)生態(tài)，從白帽子、企業(yè)、用戶(hù)三方的角度考慮，最后漏洞一定會(huì)公開(kāi)，但相信這一切是在法律框架內(nèi)。”但他也表示，如果企業(yè)有困難，烏云也會(huì)協(xié)助解決，防止造成損失。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任、正高級(jí)工程師嚴(yán)寒冰說(shuō)，CNVD(國(guó)家信息安全漏洞共享平臺(tái))在看到補(bǔ)天和烏云平臺(tái)有一些不適合的披露時(shí)候，會(huì)建議其進(jìn)行修改，避免一些安全風(fēng)險(xiǎn)。

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為漏洞要經(jīng)過(guò)處置以后才能公開(kāi)。另外設(shè)施單位要主動(dòng)響應(yīng)白帽子漏洞平臺(tái)，披露一些漏洞相關(guān)情況，

目前來(lái)說(shuō)對(duì)于漏洞披露我國(guó)法律還未有限制性的規(guī)定，但是可不可以披露，披露到什么細(xì)節(jié)，或者到什么程度，都是可以繼續(xù)探討的問(wèn)題。

公布漏洞應(yīng)該獲得獎(jiǎng)勵(lì)嗎?

目前來(lái)講，在國(guó)內(nèi)幾家主流的漏洞提交平臺(tái)上，白帽子提交漏洞都會(huì)得到一定的獎(jiǎng)勵(lì)。根據(jù)業(yè)內(nèi)人士的說(shuō)法，360補(bǔ)天平臺(tái)上的獎(jiǎng)勵(lì)普遍要高一些，而烏云等網(wǎng)站的稍低——獎(jiǎng)勵(lì)全憑廠商，有人將金額戲稱(chēng)為“若干元”。

除了接受廠商的委托進(jìn)行安全測(cè)試外，平臺(tái)本身是“不接受廠商獎(jiǎng)勵(lì)”的。周鴻祎認(rèn)為，接受獎(jiǎng)勵(lì)畢竟有“瓜田李下”之嫌，這種行為和“敲詐”的界限并沒(méi)有那么清晰。

事實(shí)上，白帽子對(duì)于整個(gè)安全行業(yè)非常重要，谷歌、微軟、蘋(píng)果、特斯拉等世界知名科技企業(yè)都推出了提供獎(jiǎng)金鼓勵(lì)第三方白帽子協(xié)助自己挖掘漏洞的響應(yīng)行動(dòng)。“最近美國(guó)五角大樓也邀請(qǐng)全世界的黑客去攻擊五角大樓，通過(guò)這種方式來(lái)收集自己的系統(tǒng)漏洞和黑客攻擊方法，以更好地完善自己的系統(tǒng)安全。”周鴻祎也介紹了國(guó)外的一些獎(jiǎng)勵(lì)行為。

“發(fā)現(xiàn)系統(tǒng)漏洞是屬于個(gè)人的責(zé)任，就像是海洋學(xué)家發(fā)現(xiàn)洋流走向一樣。白帽子黑客正在保護(hù)這個(gè)世界，理應(yīng)得到應(yīng)有的尊重，但是通過(guò)這種發(fā)現(xiàn)得到賞金是錯(cuò)誤的，不道德的，不能長(zhǎng)期這樣。”McAfee在ISC(中國(guó)互聯(lián)網(wǎng)安全大會(huì))上接受鳳凰科技采訪時(shí)說(shuō)道。

公安部三所網(wǎng)絡(luò)安全法的研究中心主任黃道麗告訴鳳凰科技，企業(yè)和白帽子之間持有不同利益，白帽子發(fā)現(xiàn)的漏洞又兼?zhèn)渥陨碣Y源和攻擊雙重屬性。在這種復(fù)雜態(tài)勢(shì)下，第三方協(xié)調(diào)漏洞挖掘和報(bào)告行為，確保雙方之間能力差異和利益沖突不會(huì)防害提升網(wǎng)絡(luò)安全總體目標(biāo)。

但是無(wú)論如何，公布漏洞以求獲得獎(jiǎng)勵(lì)仍然面臨道德上的困境。謝永江認(rèn)為，白帽子獲取的漏洞可以幫助企業(yè)避免損失，這就可以將其當(dāng)成是一種商業(yè)秘密來(lái)采取合理措施保護(hù)起來(lái)，并享有一定權(quán)利。但是具體構(gòu)成何種權(quán)利，尚有待商榷。

不明朗的法規(guī)

安全漏洞法律屬性不明晰，行為邊界不明確，法律意識(shí)淡薄，都在不斷加劇白帽子和漏洞平臺(tái)目前所面臨的困境。

有關(guān)我國(guó)的白帽子法律條款沒(méi)有形成系統(tǒng)法律體系，唯一明確的就是現(xiàn)有刑法現(xiàn)有的刑法里面對(duì)于非授權(quán)訪問(wèn)做了明確禁止，業(yè)內(nèi)人士認(rèn)為這可能也是對(duì)于網(wǎng)絡(luò)漏洞挖掘的禁止性規(guī)定。

綜合國(guó)外對(duì)安全漏洞挖掘的立法規(guī)定，黃道麗將國(guó)外漏洞挖掘的法規(guī)特點(diǎn)概括為了四點(diǎn)。第一，關(guān)鍵基礎(chǔ)設(shè)施漏洞挖掘的絕對(duì)禁止。第二，對(duì)漏洞挖掘授權(quán)做出明確解釋。第三，在特殊目的下，給予一定程度的豁免。第四，注重對(duì)白帽子身份的認(rèn)可和招募。

西安交通大學(xué)信息安全法律研究中心和360法律研究院合作研究、聯(lián)合發(fā)布的《“白帽子”安全漏洞挖掘法律風(fēng)險(xiǎn)分析報(bào)告》對(duì)我國(guó)相關(guān)立法提出了五大的法律建議。第一是對(duì)關(guān)鍵基礎(chǔ)設(shè)施內(nèi)涵和外延給予界定，第二對(duì)白帽子身份以及政策平臺(tái)在法律上可能的法律地位給予一定確定。第三要明確白帽子的權(quán)利和義務(wù)規(guī)范。第四，資質(zhì)合理審慎。第五，根據(jù)白帽子某些行為預(yù)期，為漏洞挖掘提供一些豁免條件。

隨著萬(wàn)物互聯(lián)的時(shí)代到來(lái)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之百倍放大。白帽子在安全防御體系中起著不可替代的作用，通過(guò)法律政策將白帽子和平臺(tái)以適當(dāng)衡量標(biāo)準(zhǔn)納入到安全產(chǎn)業(yè)當(dāng)中，確實(shí)給予合法地位，也是對(duì)抗未知風(fēng)險(xiǎn)的現(xiàn)實(shí)要求。相信隨著進(jìn)一步完善基礎(chǔ)法律措施建設(shè)，“袁煒案”式的爭(zhēng)執(zhí)將會(huì)徹底消失。