法制網-維護網絡安全須用好(hǎo)“白帽子”

“白帽子”檢測計算機系統、善意挖掘漏洞的行爲,站在動态網絡安全觀的視角看,有利于長(cháng)久的、高級的網絡安全

高豔東

如今,網絡安全日益成(chéng)爲關乎國(guó)家利益、各國(guó)競争角逐的新戰場。然而,漏洞成(chéng)爲了網絡安全的最大威脅。圍繞著(zhe)漏洞,各種(zhǒng)産業和群體競争逐利,其中,“白帽子”檢測漏洞,形成(chéng)了特殊的民間行業。

“白帽子”又被(bèi)稱爲“正面(miàn)黑客”,通過(guò)技術手段,掃描、檢測各種(zhǒng)單位的計算機或網絡系統中的安全漏洞,但不會惡意去利用,而是公布漏洞,提醒相關單位修補漏洞,以此獲得報酬。按照我國(guó)法律規定,未經(jīng)授權入侵他人計算機不具有合法性。因而,“白帽子”遊走在法律的邊緣,稍有不慎就可能(néng)觸犯網絡安全法第62條、63條等規定,或者構成(chéng)刑法第285條“非法侵入計算機信息系統罪”“非法獲取計算機信息系統數據罪”等罪名。在司法實踐中,“白帽子”因掃描識别社交平台、政府網站的安全漏洞而被(bèi)定罪的,亦不少見。

然而,筆者認爲,我國(guó)網絡安全理念以及“白帽子”挖掘漏洞的價值,需要重新審視。一直以來,我國(guó)奉行的是閉關主義、消極防禦的靜态網絡安全觀。“禁止入内、不許幹擾”是我國(guó)網絡安全的防禦理念,這(zhè)是一種(zhǒng)“禦敵于國(guó)門之外”的傳統國(guó)土防衛思維。站在國(guó)家競争和網絡戰争的角度看,“白帽子”檢測并挖掘關鍵信息設施的系統漏洞,對(duì)網絡安全具有重要意義。如果這(zhè)些關鍵信息設施存在系統漏洞,卻不讓我國(guó)“白帽子”去發(fā)現,那麼(me),外國(guó)黑客仍然可以利用這(zhè)些漏洞獲取我國(guó)的國(guó)家秘密。不同于國(guó)土安全,網絡安全沒(méi)有邊界和疆域。漏洞就是通行證,任何人可以從任何地方侵入并發(fā)起(qǐ)攻擊,網絡滲透與控制無處不在。顯然,在威脅來源和攻擊手段不斷變化的信息時代,這(zhè)種(zhǒng)靜态的網絡安全觀在沒(méi)有疆界的網絡空間,隻能(néng)使關鍵信息設施的抗攻擊性越來越差。

事(shì)實也證明,諱疾忌醫式的消極防禦,未必能(néng)帶來真正的網絡安全。雖然我國(guó)對(duì)“國(guó)家事(shì)務”等關鍵信息設施進(jìn)行特别保護——禁止“白帽子”檢測,但是,我國(guó)政府網站的安全隐患令人擔憂。例如,汶川地震發(fā)生後(hòu),西安大學(xué)生賈志攀侵入陝西省地震局網站發(fā)布“陝西今晚有大震”的虛假信息,造成(chéng)社會恐慌；杜天禹等人非法侵入普通高等學(xué)校招生考試信息平台網站,竊取考生個人信息64萬餘條并對(duì)外出售牟利,最終導緻了徐玉玉案發(fā)生；2018年初又發(fā)生了黑客團夥入侵車牌選号系統,盜取全國(guó)1500萬副車牌靓号倒賣牟利……需要注意,這(zhè)些人隻是菜鳥級業餘黑客,若是國(guó)外頂級黑客侵入,我國(guó)政府網站的安全性如何,令人憂慮。

網絡系統沒(méi)有絕對(duì)的安全,漏洞會随著(zhe)系統升級不斷出現,最好(hǎo)的網絡安全是對(duì)抗式安全。以美國(guó)爲例,它對(duì)“白帽子”實行歡迎的開(kāi)放姿态,并賦予其合法地位。例如,微軟公司于2002年向(xiàng)黑客發(fā)起(qǐ)挑戰,以測試其軟件的安全性；2016年,美國(guó)國(guó)防部舉行“來黑五角大樓”的黑客比武大賽,懸賞參賽者尋找五角大樓網站漏洞并在惡意攻擊之前堵住漏洞等等。

漏洞并不可怕,可怕的是發(fā)現不了漏洞。法律應當禁止黑客攻擊,但是,禁止侵入不是目的,而是維護網絡安全的手段。“白帽子”檢測計算機系統、善意挖掘漏洞的行爲,站在動态網絡安全觀的視角看,有利于長(cháng)久的、高級的網絡安全。法律要做的,不應是簡單地將(jiāng)“白帽子”的侵入行爲認定爲犯罪,把技術高手送入監獄,而是引導其行爲有利于網絡安全。在積極網絡安全理念下,法律應當設立“白帽子”的行爲底線、漏洞報告制度、責任豁免條件等,使掃描漏洞的“白帽子”成(chéng)爲維護網絡安全的“紅帽子”。