法制网-维护网络安全须用好“白帽子”
“白帽子”检测计算机系统、善意挖掘漏洞的行为,站在动态网络安全观的视角看,有利于长久的、高级的网络安全
高艳东
如今,网络安全日益成为关乎国家利益、各国竞争角逐的新战场。然而,漏洞成为了网络安全的最大威胁。围绕着漏洞,各种产业和群体竞争逐利,其中,“白帽子”检测漏洞,形成了特殊的民间行业。
“白帽子”又被称为“正面黑客”,通过技术手段,扫描、检测各种单位的计算机或网络系统中的安全漏洞,但不会恶意去利用,而是公布漏洞,提醒相关单位修补漏洞,以此获得报酬。按照我国法律规定,未经授权入侵他人计算机不具有合法性。因而,“白帽子”游走在法律的边缘,稍有不慎就可能触犯网络安全法第62条、63条等规定,或者构成刑法第285条“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”等罪名。在司法实践中,“白帽子”因扫描识别社交平台、政府网站的安全漏洞而被定罪的,亦不少见。
然而,笔者认为,我国网络安全理念以及“白帽子”挖掘漏洞的价值,需要重新审视。一直以来,我国奉行的是闭关主义、消极防御的静态网络安全观。“禁止入内、不许干扰”是我国网络安全的防御理念,这是一种“御敌于国门之外”的传统国土防卫思维。站在国家竞争和网络战争的角度看,“白帽子”检测并挖掘关键信息设施的系统漏洞,对网络安全具有重要意义。如果这些关键信息设施存在系统漏洞,却不让我国“白帽子”去发现,那么,外国黑客仍然可以利用这些漏洞获取我国的国家秘密。不同于国土安全,网络安全没有边界和疆域。漏洞就是通行证,任何人可以从任何地方侵入并发起攻击,网络渗透与控制无处不在。显然,在威胁来源和攻击手段不断变化的信息时代,这种静态的网络安全观在没有疆界的网络空间,只能使关键信息设施的抗攻击性越来越差。
事实也证明,讳疾忌医式的消极防御,未必能带来真正的网络安全。虽然我国对“国家事务”等关键信息设施进行特别保护——禁止“白帽子”检测,但是,我国政府网站的安全隐患令人担忧。例如,汶川地震发生后,西安大学生贾志攀侵入陕西省地震局网站发布“陕西今晚有大震”的虚假信息,造成社会恐慌;杜天禹等人非法侵入普通高等学校招生考试信息平台网站,窃取考生个人信息64万余条并对外出售牟利,最终导致了徐玉玉案发生;2018年初又发生了黑客团伙入侵车牌选号系统,盗取全国1500万副车牌靓号倒卖牟利……需要注意,这些人只是菜鸟级业余黑客,若是国外顶级黑客侵入,我国政府网站的安全性如何,令人忧虑。
网络系统没有绝对的安全,漏洞会随着系统升级不断出现,最好的网络安全是对抗式安全。以美国为例,它对“白帽子”实行欢迎的开放姿态,并赋予其合法地位。例如,微软公司于2002年向黑客发起挑战,以测试其软件的安全性;2016年,美国国防部举行“来黑五角大楼”的黑客比武大赛,悬赏参赛者寻找五角大楼网站漏洞并在恶意攻击之前堵住漏洞等等。
漏洞并不可怕,可怕的是发现不了漏洞。法律应当禁止黑客攻击,但是,禁止侵入不是目的,而是维护网络安全的手段。“白帽子”检测计算机系统、善意挖掘漏洞的行为,站在动态网络安全观的视角看,有利于长久的、高级的网络安全。法律要做的,不应是简单地将“白帽子”的侵入行为认定为犯罪,把技术高手送入监狱,而是引导其行为有利于网络安全。在积极网络安全理念下,法律应当设立“白帽子”的行为底线、漏洞报告制度、责任豁免条件等,使扫描漏洞的“白帽子”成为维护网络安全的“红帽子”。