从斯诺登到阿桑奇,从韩国冬奥会被黑客攻击到大规模数据泄露,随着一次次重大网络安全事故被曝光,中国的网络安全行业也以前所未有的姿态被广大网民所瞩目和重视。国内网络安全行业也得到前所未有的发展和机会。各大互联网巨头的网络安全部门也得到空前的重视。安全领域天然具有魔高一尺道高一丈的对抗性和竞争性。随着行业竞争的加剧和技术军备竞赛的白热化,安全领域也渐渐出现了一些乱象。
安全技术领域向来是技术人员华山论剑的竞技场地,长期的专业技术交流及竞技传统,使得该领域逐渐形成了一套自己独特的文化和规则。但技术人员都基于较为一致的文化和价值观,自觉维护一种较为广泛接受的文化和道德,维持网络的安全有序。
根据联合国数字经济安全首席专家、云安全联盟CSA大中华区主席、中国科学院云安全首席科学家李雨航的介绍,这些大家广为接受的机制包括:
— 技术漏洞的上报通报机制
— 技术比武大会的保密机制
— 悬赏漏洞挖掘的激励机制
— 有偿漏洞挖掘服务的协议机制
— 白帽子论坛的适度文化
但是,近年来,在利益驱动下开始出现了一些违反安全工程师传统文化,破坏安全市场整体秩序的行为,使得长久以来形成的文化和传统收到了冲击,安全技术人员的群体声誉也因此收到影响。严重的甚至危害到社会公众的利益和公共秩序。较为典型的情形例如:
— 未将漏洞上报及通知相关厂商,即公开进行产品破解并发布细节
— 在厂商还未完成漏洞修复时,披露漏洞利用技术细节和受影响的用户隐私数据
— 以公开发布会的方式公开竞争对手的安全漏洞或系统风险,打击竞争对手产品的安全性,意图阻碍竞争对手业务发展
李雨航认为,上述行为的目的已经偏离了正常的技术交流和促进,而是基于打击竞争对手,抬高自身,博取眼球。其本质属于不正当的市场竞争行为。已经为传统安全工程师文化所不容,并严重损害了安全技术领域的原有秩序和文化。
针对这一行业乱象,国家互联网信息办公室近日发布《网络安全威胁信息发布管理办法(征求意见稿)》,明确规定不得利用网络安全威胁信息进行炒作或从事不正当竞争,要求坚持“客观、真实、审慎、负责”的原则发布网络安全威胁信息。办法明确,报刊、广播电视、出版物、互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等、公开举行的会议、论坛、讲座、公开举办的网络安全竞赛等作为信息发布平台,在发现违法发布行为和发布内容时,也应立即停止发布、采取消除等处置措施。
此前,工业和信息化部曾在今年6月发布《网络安全漏洞管理规定(征求意见稿)》,要求第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息的行为遵循“必要、真实、客观、有利于防范和应对网络安全风险”的原则,不得在发布漏洞修补或防范措施之前发布相关漏洞信息、不得刻意夸大漏洞的危害和风险。
正如网信办有关负责人答记者问时所述,行业为赚取眼球,不当评价行业网络安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响的乱象已引起有关单位、网络运营者的强烈反映。相信办法和规定的出台和生效将能够相辅相成,在客观、真实的原则下有效规制不当发布包括漏洞信息在内的网络安全威胁信息的行为,避免行业乱象成为不成文的“行规”,引导从业人员通过正当的途径和方式发布有关信息,切实促进网络安全意识提升,提高网络安全能力水平,维护网络安全。
文章来源:中国经济网