网络安全漏洞披露规则及其体系设计.pdfVIP

网络安全漏洞披露规则及其体系设计

随着信息技术的发展，网络安全问题已经成为社会普遍关注的热点问题，而

解决网络安全漏洞也成为当前紧要任务。基于此，本文就网络安全漏洞披露规则

及其体系设计进行研究，首先就网络安全披露中的不披露类型、完全披露类型和

有限披露类型进行分析，然后阐述传统网络安全漏洞披露政策和现代网络安全漏

洞披露政策，最后从披露主体、披露对象和披露方式的角度分析其体系设计。

标签：网络安全；披露规则；体系设计

引言：

当前互联网已经在人们生活和工作中得到普遍应用，这使得社会运行的效率

得到极大的提升，但同时也暴露出诸多网络安全问题。作为网络安全风险防控的

一种关键措施，网络安全漏洞披露具有至关重要的作用，不仅能够分化网络中存

在的风险，还能够通过各类情报的收集和整合，构建起行之有效的风险预警系统，

从而提高网络的安全程度，避免因网络攻击和病毒感染造成损失。

一、网络安全漏洞披露的类型分析

（一）不披露

在长期的发展过程中，网络安全漏洞披露问题一直是社会关注的焦点，很多

国家还针对这一问题开展多元化的实践。在网络安全漏洞披露的类型中，不披露

是典型的一种途径。选择不披露网络安全风险漏洞的发现人员，其行为特征具有

以下特点：一是阻碍社会公众的知情权，不将消息公布给社会公众；二是隐瞒厂

商，不将网络安全漏洞上报给厂商，从而实现及时处理；三是存在黑灰市交易，

在危害用户利益的基础上，以违法交易的方式使网络安全遭受攻击，从而谋取利

益。

（二）完全披露

与不披露类型的发现人员相比较，选择完全披露网络安全隐患的发现人员是

在发现漏洞后的第一时间将信息公布给社会公众，并且上报厂商进行及时处理。

针对这一披露类型，社会有两种不同的声音。第一种声音对这种行为持支持态度，

认为这种手段不仅能够及时将漏洞反馈给厂商，使厂商做出及时正确的处理手

段，同时告知公众避免使用存在漏洞的软件或系统，降低网络安全危害的程度，

而另一种声音则认为完全纰漏会给黑客可乘之机，在获取所有漏洞消息的基础

上，黑客能够更加便利的开发漏洞、潜入系统，从而造成更大的网络安全隐患。

（三）有限披露

有限披露是介于不披露和完全披露两种类型中的一种中和方式，这种类型也

称为负责任披露，指的是发现网络安全漏洞的人员在第一时间上报厂商对系统或

软件进行改进，然后制定完善的应对方案，在此条件下，厂商向社会公布安全漏

洞，同时将补丁方案发放给社会公众，使社会公众的网络安全得到保障。这种类

型的披露方式不仅能够有效维护网络安全，还能够保障公众和厂商的利益，因此

在实践中得到广泛的应用，但是在具体操作中仍然具有完全披露的风险。

二、网络安全漏洞的披露规则分析

（一）传统漏洞披露政策

传统的漏洞披露政策以负责任披露类型为依据，对网络安全漏洞事件进行政

策引导。例如美国计算机紧急事件响应小组协调中心主要偏重于负责任披露这一

类型，在网络安全漏洞防护中充当第三方政府机构的角色，一方面将发现的安全

漏洞及时反馈给厂商，督促厂商对安全漏洞进行及时测试修补，另一方面保障公

众的知情权利，在45天后将安全漏洞信息公布给社会公众，因此45天就是政策

中规定的一个法定期限，但是在实际实施中仍然存在一些意外情况，例如为了使

网络安全得到更加可靠的保障，某些情况下小组工作人员还将社会公布的期限延

迟，给予厂商更多修补漏洞、研发补丁的时间。

（二）现代漏洞披露政策

1.网络安全信息共享

网络安全信息共享是美国政府在近年来推出的典型的有关网络安全的综合

性法律，这一法律明确规定，当存在网络安全漏洞时，社会公众和企业可以在法

定的情况下与政府机构共享相关信息，并且构建起一条先授权、再发现、最后共

享的披露路径，使网络安全得到维护。

2.VEP政策

VEP政策就是政府机构对网络安全漏洞进行发现、采购和整合，然后通过

评估漏洞风险等级的方式，使网络安全漏洞得到两种途径的应用，一种途径是在

漏洞风险等级较低的情况下，将漏洞信息作为国防、执法和情报等信息的一部分

进行收集，然后归属于国际秘密，另一种途径是在漏洞风险等级较高的情况下，

以有限披露的原则，对漏洞信息进行公布[1]。

3.补丁法案

补丁法案是对VEP政策的进一步改进和优化，结合披露类型和披露方式的

实践结果，补丁法案着重加强网络安全漏洞裁决审查的环节，以建立裁决审查委

员会的形式，对网络