漏洞报告模板的详细模板/网络安全之漏洞管理合规的起点与路径_0基础白帽子自学路线

漏洞报告模板的详细模板/网络安全之漏洞管理合规的起点与路径_0基础白帽子自学路线

《网络安全法》生效以后，虽然配套制度尚未完善，但执法力度并不弱，围绕企业未能妥善处置网络安全漏洞已经出现大量的执法案例，这里简单列举一些：

对于机构来说，在信息安全的角度当然应当及时处置已经暴露的网络安全漏洞。而从合规的角度，更需要建立能够经得起检查的制度，在监管到来时有能够“拿得出手”的规章制度。

四、击鼓传烫山芋：漏洞报送机制

此外，网络安全漏洞本身也是“烫手的山芋”。一方面，漏洞处理机制离不开漏洞发现者（“白帽子”）的配合，很多企业与漏洞信息共享平台往往还会给予漏洞发现者奖励，以鼓励漏洞发现者参与网络安全工作；但另一方面，网络安全漏洞的发掘与报送都存在较高的法律风险，漏洞发现者稍有不慎就会触及法律的“红线”——《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。《刑法》中尚未就网络安全漏洞测试进行任何例外的规定，这直接导致与漏洞报送有关的案件逐一出现：

网络安全漏洞本身是危险品，就像与其他危险品打交道一样，操作员需要按照规范处理的流程，保护好自身安全。

五、细化的合规义务

在2020版的《信息安全漏洞管理规范》中，完全重构了网络安全漏洞管理要求：

2013版

收集

预防

消减

发布

2020版

漏洞发现和报告

漏洞接收

漏洞验证

漏洞处置

漏洞发布

漏洞跟踪

2013版的《信息安全漏洞管理规范》主要以漏洞接收者的视角规范漏洞管理的各个环节，而2020版则进行了拓展，关注不同环境中不同主体。结合不同阶段的合规要求，可以进行一个简单的梳理：

发现和报告。在《网络安全漏洞管理规定（征求意见稿）》中，对向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况进行了鼓励。2020版的《信息安全漏洞管理规范》强调了“遵循国家相关法律、法规的前提下”可以对漏洞进行分析。在发现和报告环节，最主要的合规措施是需要“白帽子”获得授权，因此授权协议的起草就成了重中之重，需要明确约定漏洞挖掘的范围、期限、发现漏洞后的处理方式等内容。此外，“白帽子”在漏洞发掘的过程中应“不越雷池”，不要做出修改密码、随意下载数据这样的违法行为。

漏洞接收。2020版的《信息安全漏洞管理规范》要求机构有长效机制对漏洞进行接收，即使已经终止服务，也应当继续接收漏洞报告。更为重要的是建立漏洞接收的渠道，说明报告漏洞的联系方式，包括密钥，并介绍漏洞处置后续的程序步骤及时间表。2016年1月，ENISA发布了名为Good Guide on . From to 的报告（）。在报告附录中，提供了一份可供机构使用的《漏洞披露政策模板》。公司可以根据实际情况对政策进行定制化修改。

在漏洞验证与处置的环节，更多是需要通过技术与管理措施，尽快处理漏洞。需要关注《网络安全漏洞管理规定（征求意见稿）》，该规定拟要求：

处理流程

期限

漏洞验证

立即

采取修补或防范措施

网络产品

90日

网络服务或系统

10日

通知技术合作方

向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况

5日

漏洞发布。在发布环节，《网络安全威胁信息发布管理办法(征求意见稿)》虽然没有生效，但对于漏洞这样的安全威胁信息发布设置了严格的要求。要求发布网络发布网络安全漏洞，应事先征求网络和信息系统运营者书面意见，除非该漏洞已被修复或提前30天进行举报。根据《中国互联网协会漏洞信息披露和处置自律公约》，对发布的涉及政府部门和重要信息系统的安全漏洞信息也要求“脱敏”，进行模糊化处理。

六、法律工作者需要为漏洞合规做些什么

漏洞是网络空间中的“危险品”，在处理的全过程都会面临合规监管的巨大压力。法律工作者未必可以解决漏洞所涉及的技术问题，但对于与漏洞相关的权利与义务、监管尺度是行家里手。尤其是当机构需要对漏洞处理方案的合规性进行评估，来自第三方法律工作者的意见更能有助于决策。

在网络安全漏洞管理的过程中，会涉及漏洞发现者、漏洞报告者、网络产品（服务）提供者、网络运营者、漏洞共享平台等多方主体。无论是构建商业模式、漏洞报送流程都需要在数据流与法律关系间来回穿梭，通过合同构建法律关系，降低网络安全漏洞处理的风险。无论是众测平台的注册协议，或是网络安全漏洞平台的规则，还是产品维护协议中的漏洞告知条款，都需要法律工作者对条款的精心设计。

所有的合规工作都应该是“面向诉讼合规”，以合规工作能够经得起法庭或仲裁庭考验为目标。这就要求合规文档、合规实践都需要考虑能否作为证据经得起对方的质证。在这一过程中，无法离开法律工作者对证据，尤其是电子证据判断与处理的能力。这也就要求在网安漏洞合规时，充分考虑漏洞数据与相关文档作为证据的真实性、合法性与关联性。

反过来对于法律工作者，网安漏洞合规不仅需要法律工作者对法律条文的捻熟，也需要对技术的深刻理解，了解网络系统的基本原理，这样才能够有效在网案漏洞合规中提供更多、更准确的法律意见作为支持。

史宇航：法学博士，注册信息安全专业人员（CISP），注册信息隐私管理人员（CIPM），汇业律师事务所顾问律师。主要从事网络安全、数据保护与互联网知识产权领域的法律服务。

~

网络安全学习，我们一起交流

~