“白帽子”可以成为网络安全的“红帽子”

高艳东

浙江大学光华法学院

互联网法律研究中心主任

本文主要内容曾以《维护网络安全须用好“白帽子”》为题发表于《法制日报》2018年5月24日第7版。

如今,网络安全日益成为关乎国家利益、各国竞争角逐的新战场。然而,漏洞成为了网络安全的最大威胁。数据显示,2017年1月至10月期间,国内某大型网络安全平台共扫描检测网站104.7万个,其中存在漏洞的网站69.1万个(全年去重),共扫描出1674.1万次漏洞;存在高危漏洞的网站34.5万个,占扫描网站总数的32.9%,共扫描出247.0万次高危漏洞。各种产业和群体围绕着漏洞竞争逐利,其中,“白帽子”检测漏洞,形成了特殊的民间行业。

“白帽子”又被称作正面黑客,他们通过技术手段,扫描、检测各种单位的计算机或网络系统中的安全漏洞,但不会恶意去利用,而是公布漏洞,提醒相关单位修补漏洞,以此获得报酬。按照我国法律规定,未经授权侵入他人计算机不具有合法性。因而,“白帽子”游走在法律的边缘,稍有不慎就可能触犯《网络安全法》第62条、63条等规定,或者构成《刑法》第285条“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”等罪名。在司法实践中,“白帽子”因扫描识别社交平台、政府网站的安全漏洞而被定罪的,亦不少见。

但是,笔者认为,我国网络安全理念以及“白帽子”挖掘漏洞的价值,需要重新审视。

一方面,我们要转变网络安全的防御理念。一直以来,我国奉行的是闭关主义、消极防御的静态网络安全观,“禁止入内、不许干扰”是我国网络安全的防御理念。《网络安全法》第5条规定:“国家……保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”

《刑法》也规定,侵入国家事务、国防建设、尖端科学技术领域等关键信息设施,便构成犯罪。不允许任何人接近、进入我国的关键信息设施,这是一种“御敌于国门之外”的传统国土防卫思维。例如,不少机关采用“网络隔离技术”来应对安全威胁,试图靠“物理隔绝、消极防御”来防护网络安全,这是掩耳盗铃式的安全措施。明朝“寸板不许下海”的海禁政策,貌似巩固了海防,却让中国在历次海战中一败涂地。防护思路只有从消极防御转向积极响应,从被动挨打到主动应对,才能确保网络安全。

另一方面,我们要看到“白帽子”挖掘漏洞的价值。站在国家竞争和网络战争的角度看,“白帽子”检测并挖掘关键信息设施的系统漏洞,对网络安全具有重要意义。如果这些关键信息设施存在系统漏洞,却不让我国“白帽子”去发现,那么,外国黑客就可能可以利用这些漏洞获取我国的国家秘密。不同于国土安全,网络安全没有边界和疆域。漏洞就是通行证,任何人可以从任何地方侵入并发起攻击,网络渗透与控制无处不在。显然,在威胁来源和攻击手段不断变化的信息时代,不允许黑客(准确的说是中国黑客)进入是一种自欺欺人式的网络安全思路,这种静态的网络安全观在没有疆界的网络空间,只能使关键信息设施的抗攻击性越来越差。

事实也证明,讳疾忌医式的“消极防御主义”,不能带来真正的网络安全。虽然我国对“国家事务”等关键信息设施进行特别保护——禁止“白帽子”检测,但是,我国政府网站的安全隐患令人担忧。例如,汶川地震发生后,西安大学生贾志攀侵入陕西省地震局网站并发布“陕西今晚有大震”的虚假信息,造成社会恐慌;杜天禹等人非法侵入普通高等学校招生考试信息平台网站,窃取考生个人信息64万余条并对外出售牟利,最终导致了徐玉玉案发生;2018年初又发生了黑客团伙入侵车牌选号系统,盗取全国1500万副车牌靓号倒卖牟利……需要注意,这些人只是菜鸟级业余黑客,若是国外顶级黑客侵入,我国政府网站的安全性如何,令人忧虑。

反观发达国家,其奉行开放主义、动态攻防的积极网络安全观,更契合信息时代的发展。网络系统没有绝对的安全,漏洞会随着系统升级不断出现,最好的网络安全是对抗式安全。以美国为例,它对“白帽子”实行欢迎的开放姿态,并赋予其合法地位。例如,微软公司于2002年向黑客发起挑战,以测试其软件的安全性;Facebook于2015年给210名“白帽子”发放了93.6万美元的漏洞奖励,认可其漏洞扫描成果; 2016年,美国国防部举行“来黑五角大楼”的黑客比武大赛,悬赏寻找五角大楼网站漏洞并在恶意攻击之前堵住漏洞的参赛者,参赛者共报告1189项薄弱点,其中138项被认定为有效。不仅是美国,其他许多国家都在奉行“以攻击提升安全”的动态网络安全观。2008年,北约在爱沙尼亚首都塔林设立了网络战防御中心,自2010年起举行“锁定盾牌”年度演习,让各国技术专家通过主动攻击演练发现安全漏洞。

事实上,漏洞并不可怕,可怕的是发现不了漏洞,更可怕的是不允许发现漏洞。法律应当禁止黑客攻击,但是,禁止侵入不是目的,而是维护网络安全的手段。“白帽子”检测计算机系统、善意挖掘漏洞的行为,站在动态网络安全观的视角看,有利于长久的、高级的网络安全。法律要做的,不应简单地将“白帽子”的侵入行为认定为犯罪,把技术高手送入监狱,而是引导其行为有利于网络安全。在积极网络安全理念下,法律应当设立“白帽子”的行为底线、漏洞报告制度、责任豁免条件等,使扫描漏洞的“白帽子”成为维护网络安全的“红帽子”。因此,《网络安全法》中的静态网络安全观亟需调整,《刑法》中机械保护关键基础信息系统的立法思路也要修改。

(本文观点和内容与本公众号无关)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180612B0SSJM00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券