“白帽子”可以成为网络安全的“红帽子”
2018/6/12 13:35:44 点击率[173] 评论[0]
【法宝引证码】
    【学科类别】行政管理法
    【出处】法制日报
    【写作时间】2018年
    【中文关键字】白帽子;红帽子;网络安全
    【全文】

      如今,网络安全日益成为关乎国家利益、各国竞争角逐的新战场。然而,漏洞成为了网络安全的最大威胁。数据显示,2017年1月至10月期间,国内某大型网络安全平台共扫描检测网站104.7万个,其中存在漏洞的网站69.1万个(全年去重),共扫描出1674.1万次漏洞;存在高危漏洞的网站34.5万个,占扫描网站总数的32.9%,共扫描出247.0万次高危漏洞。各种产业和群体围绕着漏洞竞争逐利,其中,“白帽子”检测漏洞,形成了特殊的民间行业。
     
      “白帽子”又被称作正面黑客,他们通过技术手段,扫描、检测各种单位的计算机或网络系统中的安全漏洞,但不会恶意去利用,而是公布漏洞,提醒相关单位修补漏洞,以此获得报酬。按照我国法律规定,未经授权侵入他人计算机不具有合法性。因而,“白帽子”游走在法律的边缘,稍有不慎就可能触犯《网络安全法》第62条、63条等规定,或者构成《刑法》第285条“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”等罪名。在司法实践中,“白帽子”因扫描识别社交平台、政府网站的安全漏洞而被定罪的,亦不少见。
     
      但是,笔者认为,我国网络安全理念以及“白帽子”挖掘漏洞的价值,需要重新审视。
     
      一方面,我们要转变网络安全的防御理念。一直以来,我国奉行的是闭关主义、消极防御的静态网络安全观,“禁止入内、不许干扰”是我国网络安全的防御理念。《网络安全法》第5条规定:“国家……保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”
     
      《刑法》也规定,侵入国家事务、国防建设、尖端科学技术领域等关键信息设施,便构成犯罪。不允许任何人接近、进入我国的关键信息设施,这是一种“御敌于国门之外”的传统国土防卫思维。例如,不少机关采用“网络隔离技术”来应对安全威胁,试图靠“物理隔绝、消极防御”来防护网络安全,这是掩耳盗铃式的安全措施。明朝“寸板不许下海”的海禁政策,貌似巩固了海防,却让中国在历次海战中一败涂地。防护思路只有从消极防御转向积极响应,从被动挨打到主动应对,才能确保网络安全。
     
      另一方面,我们要看到“白帽子”挖掘漏洞的价值。站在国家竞争和网络战争的角度看,“白帽子”检测并挖掘关键信息设施的系统漏洞,对网络安全具有重要意义。如果这些关键信息设施存在系统漏洞,却不让我国“白帽子”去发现,那么,外国黑客就可能可以利用这些漏洞获取我国的国家秘密。不同于国土安全,网络安全没有边界和疆域。漏洞就是通行证,任何人可以从任何地方侵入并发起攻击,网络渗透与控制无处不在。显然,在威胁来源和攻击手段不断变化的信息时代,不允许黑客(准确的说是中国黑客)进入是一种自欺欺人式的网络安全思路,这种静态的网络安全观在没有疆界的网络空间,只能使关键信息设施的抗攻击性越来越差。
     
      事实也证明,讳疾忌医式的“消极防御主义”,不能带来真正的网络安全。虽然我国对“国家事务”等关键信息设施进行特别保护——禁止“白帽子”检测,但是,我国政府网站的安全隐患令人担忧。例如,汶川地震发生后,西安大学生贾志攀侵入陕西省地震局网站并发布“陕西今晚有大震”的虚假信息,造成社会恐慌;杜天禹等人非法侵入普通高等学校招生考试信息平台网站,窃取考生个人信息64万余条并对外出售牟利,最终导致了徐玉玉案发生;2018年初又发生了黑客团伙入侵车牌选号系统,盗取全国1500万副车牌靓号倒卖牟利……需要注意,这些人只是菜鸟级业余黑客,若是国外顶级黑客侵入,我国政府网站的安全性如何,令人忧虑。
     
      反观发达国家,其奉行开放主义、动态攻防的积极网络安全观,更契合信息时代的发展。网络系统没有绝对的安全,漏洞会随着系统升级不断出现,最好的网络安全是对抗式安全。以美国为例,它对“白帽子”实行欢迎的开放姿态,并赋予其合法地位。例如,微软公司于2002年向黑客发起挑战,以测试其软件的安全性;Facebook于2015年给210名“白帽子”发放了93.6万美元的漏洞奖励,认可其漏洞扫描成果; 2016年,美国国防部举行“来黑五角大楼”的黑客比武大赛,悬赏寻找五角大楼网站漏洞并在恶意攻击之前堵住漏洞的参赛者,参赛者共报告1189项薄弱点,其中138项被认定为有效。不仅是美国,其他许多国家都在奉行“以攻击提升安全”的动态网络安全观。2008年,北约在爱沙尼亚首都塔林设立了网络战防御中心,自2010年起举行“锁定盾牌”年度演习,让各国技术专家通过主动攻击演练发现安全漏洞。
     
      事实上,漏洞并不可怕,可怕的是发现不了漏洞,更可怕的是不允许发现漏洞。法律应当禁止黑客攻击,但是,禁止侵入不是目的,而是维护网络安全的手段。“白帽子”检测计算机系统、善意挖掘漏洞的行为,站在动态网络安全观的视角看,有利于长久的、高级的网络安全。法律要做的,不应简单地将“白帽子”的侵入行为认定为犯罪,把技术高手送入监狱,而是引导其行为有利于网络安全。在积极网络安全理念下,法律应当设立“白帽子”的行为底线、漏洞报告制度、责任豁免条件等,使扫描漏洞的“白帽子”成为维护网络安全的“红帽子”。因此,《网络安全法》中的静态网络安全观亟需调整,《刑法》中机械保护关键基础信息系统的立法思路也要修改。

    【作者简介】
    高艳东,浙江大学光华法学院,互联网法律研究中心主任。

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码