• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    網(wǎng)絡安全漏洞挖掘的法律規(guī)制研究

    2017-11-14 00:23:58趙精武
    暨南學報(哲學社會科學版) 2017年5期
    關鍵詞:帽子漏洞網(wǎng)絡安全

    趙精武

    (北京航空航天大學 法學院, 北京 100191)

    ?

    網(wǎng)絡安全漏洞挖掘的法律規(guī)制研究

    趙精武

    (北京航空航天大學 法學院, 北京 100191)

    網(wǎng)絡安全漏洞的挖掘、披露、交易、修復日益成為各國網(wǎng)絡安全治理的中心議題?!霸瑹槹浮敝苯颖砻髁宋覈F(xiàn)行法對網(wǎng)絡安全漏洞挖掘行為的否定性態(tài)度,《刑法》第二百八十五條前兩款對善意黑客的漏洞挖掘行為構(gòu)成了不當限制,應當通過《網(wǎng)絡安全法》第二十六條對其在漏洞挖掘領域的適用進行嚴格的限縮解釋,并圍繞《網(wǎng)絡安全法》從立法論的角度重塑漏洞管理機制。在充分考慮網(wǎng)絡安全漏洞自身動態(tài)性、復雜性、開放性的基礎上,從國家安全的高度把握漏洞挖掘治理,健全漏洞挖掘立法體系;完善漏洞庫并配套漏洞評級機制;明確公私合作框架,對挖掘主體進行備案;在遵循現(xiàn)有實踐的基礎上對挖掘行為分級授權(quán),并進一步強化漏洞的跨境流動應對。

    網(wǎng)絡安全漏洞; 善意黑客; 漏洞挖掘規(guī)制; 挖掘主體備案

    一、問題的提出

    (一)網(wǎng)絡安全漏洞挖掘關乎國家安全

    互聯(lián)網(wǎng)正在逐漸擺脫其最初的工具、渠道、平臺屬性,逐漸轉(zhuǎn)變?yōu)楫惓碗s的網(wǎng)絡空間。按照搜索引擎爬蟲是否可以檢索或通過超鏈接的形式訪問,互聯(lián)網(wǎng)分為表網(wǎng)(Surface Web)和暗網(wǎng)(Dark Web)兩層,作為互聯(lián)網(wǎng)“蠻荒地帶”的暗網(wǎng)中充斥著大量待價而沽的高風險網(wǎng)絡安全漏洞,一些著名網(wǎng)絡安全公司雇員甚至淪為“數(shù)據(jù)掮客”,以販賣高風險漏洞給其他國家和極端組織作為營利手段。網(wǎng)絡安全漏洞利用已經(jīng)成為國家間網(wǎng)絡安全攻擊行為的暗戰(zhàn)場。在此背景下,“瓦森納協(xié)定”將漏洞視為一種“潛在武器”進行監(jiān)管,其規(guī)定:“參與國不得隨意進出口利用漏洞設計規(guī)避政府系統(tǒng)監(jiān)測以及修改系統(tǒng)或用戶信息的軟件?!币?,一個高風險的漏洞足以對國家安全造成毀滅性打擊,典型的案例如2003年微軟公布的沖擊波病毒;2010年伊朗核電站所遭遇的“震網(wǎng)”(Stuxnet)病毒襲擊;2012年微軟曝出的0Day漏洞已經(jīng)被黑客利用并實施惡意掛馬攻擊。

    所謂網(wǎng)絡安全是指“保護信息和信息系統(tǒng)不受未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或者銷毀”,以確保信息的完整性、保密性和可用性。網(wǎng)絡安全包含信息系統(tǒng)權(quán)限獲取和數(shù)據(jù)泄露兩個層面,事實上,這主要來自于網(wǎng)絡安全漏洞的發(fā)現(xiàn)與利用,不同類型的漏洞獲取,意味著不同等級的系統(tǒng)控制權(quán)取得和風險數(shù)據(jù)攫取。以管窺豹,網(wǎng)絡安全漏洞治理在網(wǎng)絡安全保護中居于牽一發(fā)而動全身的核心地位,貫穿了國家、社會、個人多個層次法律利益,其泄露勢必對國家安全、公共安全及社會穩(wěn)定造成極大的破壞和挑戰(zhàn)。因此,無論是出于對關鍵基礎設施保護的目的,還是國家安全戰(zhàn)略的需求,網(wǎng)絡安全漏洞治理必將是各國網(wǎng)絡安全治理與立法的核心命題。

    (二)網(wǎng)絡安全漏洞的概念分析

    網(wǎng)絡安全漏洞(Computer vulnerability)指的是存在于計算機網(wǎng)絡系統(tǒng)中、可能對系統(tǒng)組成部分和數(shù)據(jù)造成損害的一切因素,其存在于硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略多個維度。當前學術(shù)界、產(chǎn)業(yè)界并未對其概念達成共識,學界多有從系統(tǒng)安全、主體安全、物理缺陷的角度分析漏洞的屬性,筆者認為,網(wǎng)絡安全漏洞本質(zhì)是通過軟件或者系統(tǒng)的邏輯缺陷所導致的錯誤,從而可以使攻擊者在未經(jīng)授權(quán)的情形下訪問或者破壞,網(wǎng)絡安全漏洞應以軟件漏洞的防范為核心,網(wǎng)絡安全漏洞不同于病毒,以“震網(wǎng)”(Stuxnet)病毒為例,每一次網(wǎng)絡安全漏洞的發(fā)現(xiàn)就意味著被病毒惡意攻擊的可能,可以說,網(wǎng)絡安全漏洞的發(fā)現(xiàn)是計算機病毒入侵的直接原因,計算機病毒的傳播和復制往往以網(wǎng)絡安全漏洞存在為前提,二者存在時間節(jié)點上的差異。

    作為網(wǎng)絡安全治理核心命題的網(wǎng)絡安全漏洞具有內(nèi)生動態(tài)性、聚焦性、潛伏性的特點。當前漏洞的威脅階段不斷提前,從應用污染、系統(tǒng)污染逐漸向作為源頭的供應鏈污染轉(zhuǎn)移(如XcodeGhost污染事件)。網(wǎng)絡漏洞安全也在伴隨著網(wǎng)絡安全發(fā)展不斷迭代升級,現(xiàn)在已經(jīng)并非囿于技術(shù)條件限制和系統(tǒng)缺陷的軟件或者系統(tǒng)的邏輯錯誤,隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)的風起云涌,開始呈現(xiàn)多種新型錯誤類型,已經(jīng)逐漸形成了邏輯錯誤、環(huán)境錯誤、配置錯誤的多元發(fā)展模式,今后還要不斷應對頻發(fā)的新型漏洞問題。從利用方式上來看,其具有動態(tài)性、潛伏性的特點。網(wǎng)絡安全漏洞正在從靜態(tài)的被動攻擊向主動攻擊轉(zhuǎn)化,從傳統(tǒng)的網(wǎng)絡釣魚,拒絕服務攻擊(DDOS)使得目標癱瘓轉(zhuǎn)變?yōu)楦唢L險持續(xù)性攻擊(Advanced Persistent Threat),大量的高風險漏洞不易發(fā)現(xiàn),具有潛伏性的特點,微軟打印機和文檔打印漏洞Windows Print Spooler潛伏長達二十年之久。

    (三)我國現(xiàn)行法對網(wǎng)絡安全漏洞挖掘的否定性態(tài)度——以袁煒案為例

    網(wǎng)絡安全漏洞主要通過滲透測試的方式獲取,1980年美國密執(zhí)安大學的B.Hebbard小組第一次采用“滲

    透分析”(Penetration Analysis)方式,運用漏洞檢測軟件成功發(fā)現(xiàn)了系統(tǒng)程序中的大量邏輯錯誤漏洞。

    當前世界范圍內(nèi),漏洞挖掘以黑客群體為主,黑客分為善意黑客(Certified Ethical Hacker)和惡意黑客。善意黑客又被稱為“白帽子”,指識別計算機系統(tǒng)或者應用安全漏洞的網(wǎng)絡安全技術(shù)人員。其由來自社會不同背景的黑客技術(shù)網(wǎng)絡安全精英組成。“白帽子”采取滲透技術(shù)手段和黑客攻擊方法尋找系統(tǒng)中存在的漏洞,在發(fā)現(xiàn)漏洞后向平臺和被測主體反饋并發(fā)布,敦促被測主體盡快修補漏洞,維護網(wǎng)絡安全。“白帽子”群體正在逐漸成為我國網(wǎng)絡安全漏洞挖掘的主力軍,據(jù)《2016年中國互聯(lián)網(wǎng)安全報告》,民間“白帽子”黑客的組織所挖掘的漏洞比高達45%。

    通過“白帽子”袁煒挖掘漏洞被抓、烏云平臺被關閉可窺知,我國現(xiàn)行法對漏洞規(guī)制尤其是作為關鍵環(huán)節(jié)的漏洞挖掘持否定性評價,對民間善意黑客(白帽子)自發(fā)組織的漏洞挖掘行為呈現(xiàn)出一種重刑主義的傾向,這一事件引發(fā)了激烈的討論,“白帽子”挖掘安全漏洞的法律界限在哪里,如何免責?

    袁煒是烏云漏洞平臺的一名“白帽子”,2015年12月3日,其通過SQLmap軟件對世紀佳緣網(wǎng)站緩存區(qū)溢出安全漏洞進行掃描檢測,發(fā)現(xiàn)該網(wǎng)站存在造成數(shù)據(jù)泄露的高危漏洞。袁煒檢測確認后,將此網(wǎng)絡安全漏洞通過烏云平臺提交給世紀佳緣網(wǎng)站。世紀佳緣網(wǎng)站在進行了確認、修復漏洞后,依循慣例向漏洞提交者致謝并給付了一定報酬。不久后,世紀佳緣網(wǎng)站向北京市公安局朝陽分局報案稱其大量數(shù)據(jù)被竊取,據(jù)查花千樹公司運營的世紀佳緣網(wǎng)站收到11個同一IP地址的SQL注入攻擊,持續(xù)時間長達8小時40分鐘,932條實名注冊信息被竊取。2016年3月,袁煒因涉嫌“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”,被北京市公安局朝陽分局依法逮捕。

    雙方各執(zhí)一詞,公安部門認為,袁煒進行測試所使用的SQLmap軟件屬于黑客軟件,袁煒所涉嫌的“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”指違反國家規(guī)定侵入國家事務國防建設、尖端科學技術(shù)領域以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù),情節(jié)嚴重,本案屬于情節(jié)犯,本罪的犯罪構(gòu)成的認定標準為“獲取身份認證信息500組以上”,袁煒獲取的932條信息顯然已經(jīng)遠遠超過了500組。

    在本案中,11個IP是否包含932條身份信息有賴于司法鑒定部門進一步確認。根據(jù)技術(shù)中立理念,SQLmap屬于常用的漏洞測試軟件,其本質(zhì)為自動化軟件,一經(jīng)設定,該軟件將自動重復進行注入行為,自動化軟件進行攻防測試是否可以成為入罪理由暫且不論,本案中最為核心的是,袁煒并未試圖隱去測試的IP地址,而是以該地址持續(xù)進行SQL注入測試,在測試后主動將該漏洞報告給世紀佳緣網(wǎng),毫無疑問表明了袁煒的善意測試目的,這樣一種并無社會危害性的行為直接入刑是否妥當值得深思。

    二、網(wǎng)絡安全漏洞挖掘的規(guī)制路徑反思

    (一)對既有挖掘規(guī)范的適用分析

    我國《網(wǎng)絡安全法》對漏洞問題的專門配套立法尚付闕如,當前我國漏洞挖掘的法律規(guī)制體系不健全,從表面來看已經(jīng)形成了以《治安管理處罰法》與《刑法》為核心的二元制裁體系,但事實上僅有《網(wǎng)絡安全法》《國家安全法》《刑法》《治安管理處罰法》寥寥數(shù)個條文而已,體系零散,且對作為漏洞治理核心的漏洞挖掘行為規(guī)制的操作性不強,實踐中多通過《刑法》第二百八十五條適用加以規(guī)制。

    我國《刑法》第二百八十五條與《刑法》第二百八十六條分別規(guī)定破壞計算機信息系統(tǒng)罪和拒不履行信息網(wǎng)絡管理義務罪兩款罪名,“白帽子”袁煒不同于傳統(tǒng)黑客,傳統(tǒng)黑客往往會基于其特殊的打擊目的對計算機系統(tǒng)及內(nèi)容進行修改和破壞,“白帽子”多以檢測并獲取漏洞為目標,一般不會對計算機系統(tǒng)造成致命打擊,因此其行為多不涉及第二百八十六條。所以可以將視野聚焦,對善意漏洞挖掘行為直接相關刑事法律規(guī)定為《刑法》第二百八十五條前兩款。

    事實上,我國對于漏洞挖掘的規(guī)制有一個變化過程。1994年頒布了公安部牽頭制定的《計算機信息系統(tǒng)安全保護條例》,籠統(tǒng)概括了對信息系統(tǒng)安全破壞的行政責任,責任較為輕微,侵害對象主要集中在與國家或者事業(yè)單位密切相關的計算機信息系統(tǒng)安全(第七條上)。

    在吸收該條例思想的基礎上,1997年頒布并實施的《刑法》第二百八十五條規(guī)定了非法侵入計算機信息系統(tǒng)罪。經(jīng)過司法實踐的檢驗與助推證明,該罪的保護對象和范圍顯得過于狹窄,明顯與社會發(fā)展要求和計算機應用現(xiàn)狀不相適應,且不利于有效遏制和懲處計算機犯罪。2009年2月28日,全國人大常委會發(fā)布的《刑法修正案(七)》對該條規(guī)定作出了必要修正,分別將侵入特定計算機信息系統(tǒng)以外的計算機信息系統(tǒng)“采用或者其他技術(shù)手段,獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù),或者對該計算機信息系統(tǒng)實施非法控制,情節(jié)嚴重的行為”,以及“提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具,情節(jié)嚴重的行為”,作為該條的第二款、第三款規(guī)定一并入罪,從而擴大了《刑法》的保護對象和范圍。2012年《治安管理處罰法》對侵入計算機系統(tǒng)行為加以明確。至此,我國漏洞挖掘規(guī)制二元格局正式形成。

    其中第一款為非法侵入計算機信息系統(tǒng)罪:“違反國家規(guī)定,侵入國家事務、國防建設、尖端科學技術(shù)領域的計算機信息系統(tǒng)的,處三年以下有期徒刑或者拘役?!北究畋硎鲆馕吨坏┣秩雵蚁到y(tǒng),無論是否具有主觀惡意,直接認定構(gòu)成本罪,本條行為犯的立場進一步強化了對國家關鍵基礎設施的強保護理念。第二款為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和非法控制計算機信息系統(tǒng)罪置于一條進行規(guī)定,旨在表明對非國家系統(tǒng)的保護立場。

    表面上來看,對《刑法》第二百八十五條,第二百八十六條的適用邏輯非常清晰,但司法實踐中的態(tài)度卻令人匪夷所思,筆者在檢索裁判文書網(wǎng)后分析了自2008—2016年383個相關案例后發(fā)現(xiàn),絕大部分黑客專門利用網(wǎng)絡安全漏洞從事系統(tǒng)破壞行為,司法實踐多直接適用《刑法》第二百八十六條加以規(guī)制,但部分黑客僅將漏洞利用行為作為其他犯罪的手段行為,觸犯《刑法》第二百八十五條第一二款的同時觸犯其他罪名,多構(gòu)成擇一重罪處罰的牽連犯。這導致了在漏洞利用規(guī)制問題上,直接適用第二百八十五條的案例數(shù)量相對較少,吊詭的是,《刑法》第二百八十五條在規(guī)制類似袁煒一樣的善意漏洞挖掘行為卻無任何法律障礙。易言之,本條變?yōu)榱酸槍ι埔饴┒赐诰蛐袨榈目诖铩?/p>

    《刑法》第二百八十五條第二款的兩款罪名不同于第一款的行為犯,需要侵入計算機系統(tǒng)并獲得數(shù)據(jù)或者控制計算機系統(tǒng)兩個行為,并且要達到情節(jié)嚴重,方可構(gòu)成本罪,對于情節(jié)嚴重的判斷標準主要依據(jù)2011年出臺的《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》的司法解釋加以明確。

    經(jīng)過前文對袁煒案的評析,可以考慮將問題聚焦:一個沒有社會危害性的漏洞挖掘行為通過《刑法》第二百八十五條第二款進行規(guī)制是否具有合理性?筆者認為,當前我國與漏洞挖掘相關的法律規(guī)范太過強調(diào)事后救濟,多以禁止性規(guī)定為中心,將情節(jié)和后果作為認定犯罪的依據(jù),并不考慮袁煒漏洞挖掘行為人的社會危害性,這顯然并不符合《刑法》的謙抑性特點。需要在考慮漏洞挖掘特殊目的的基礎之上,對白帽子的身份屬性、漏洞挖掘行為的邊界加以明確。

    (二)漏洞挖掘行為規(guī)制的域外經(jīng)驗

    他山之石,可以攻玉,域外多采用“合同授權(quán),法律保障”的模式對“白帽子”的挖掘行為進行治理。歐盟對“白帽子”漏洞挖掘行為同樣表示支持和肯定,2013年通過《歐盟議會和理事會第40號指令》規(guī)定,認為“白帽子”對于網(wǎng)絡攻擊以及與此相關的信息系統(tǒng)所造成的威脅和風險進行識別和報告的行為非常有助于有效應對網(wǎng)絡攻擊并提高信息系統(tǒng)安全。

    與我國對“漏洞挖掘行為”一刀切的立法模式不同,域外國家多采用公私合作框架模式,漏洞挖掘平臺與被測試系統(tǒng)軟件所有者的互聯(lián)網(wǎng)公司之間簽訂合同,較為細致地就挖掘方法、目標、漏洞報告進行授權(quán)。與此同時,采用法律許可的方式對白帽子的漏洞挖掘行為予以規(guī)范,比較典型的例子是Heackerone平臺與美國國防部合作發(fā)起的“Hack the Pentagon”漏洞獎勵計劃。事實上,美國絕大部分互聯(lián)網(wǎng)公司均在Heackerone平臺注冊,授權(quán)“白帽子”對其公司的安全系統(tǒng)進行滲透測試。相應地,配套立法對這樣的挖掘滲透行為予以明確,賦予”白帽子”黑客漏洞挖掘權(quán)限,豁免”白帽子”的善意挖掘行為,將漏洞挖掘人造成破壞的社會危害性納入是否入罪的判斷標準。

    美國于20世紀70年代中期就啟動了PA(Protection Analysis Project)專門針對計算機操作系統(tǒng)的安全漏洞及脆弱性進行研究及RISOS(Research in Security Operating System)計劃。近些年,美國部署了國家網(wǎng)絡空間安全保護系統(tǒng)(The National Cybersecurity Protection System,簡稱NCPS,俗稱“愛因斯坦計劃”),旨在完善網(wǎng)絡安全漏洞檢測、入侵檢測、入侵防御和安全信息共享。

    2015年修訂的美國《計算機欺詐和濫用法》第1030條規(guī)定,與計算機有關的欺詐及類似威脅活動包含的若干情形均以故意、違法和超出授權(quán)為核心。同年美國最新通過的《網(wǎng)絡安全信息共享法案》,在 “網(wǎng)絡安全威脅指標”項下明確了網(wǎng)絡安全漏洞的類型、利用方法以及誘導信息系統(tǒng)合法用戶在不知情的情況下造成安全控制或者系統(tǒng)被利用的情形。

    美國1998年的《數(shù)字千禧年版權(quán)法案》,第1201條第j項將安全測試規(guī)定為允許行為人繞過計算機系統(tǒng)訪問控制的例外情形,規(guī)定了以善意研究為目的的責任豁免情形。行為人的善意測試行為可免責,這對于我國漏洞法律體系的完善具有非常重要的借鑒意義。

    2012年《網(wǎng)絡安全法案》,更為詳細地介紹了網(wǎng)絡安全威脅合法披露的情形。第701條規(guī)定,在獲得第三方授權(quán)的情況下,私人主體可以對其信息系統(tǒng)或者信息系統(tǒng)的儲存、處理和傳輸?shù)男畔⑦M行監(jiān)視,或者施加反制措施以保護該系統(tǒng)和上述信息的安全。第702條允許私主體向其他主體披露其合法獲取的大量網(wǎng)絡安全威脅指標,但要求披露方及被告知方遵守相關主體所設定的合法限制。包括但不限于:披露的目的僅限于保護目標系統(tǒng)及數(shù)據(jù)安全;在披露相關安全威脅時確保不泄露相關數(shù)據(jù)的個人隱私;不將披露的威脅用以獲取不正當?shù)母偁巸?yōu)勢。

    歐美國家采用的“合同授權(quán),法律配套保障”的方案,主要是考慮到“白帽子”群體并無惡意破壞系統(tǒng)、獲取數(shù)據(jù)的犯罪動機和社會危害性。不同于歐美國家公私合作模式,在我國,被測試系統(tǒng)軟件所有者并未與測試平臺之間簽訂合同授權(quán)“白帽子”的挖掘行為,這意味著只有當“白帽子”將漏洞提交給測試平臺或者被測試系統(tǒng)所有者時,被測試主體方知曉該漏洞挖掘行為,此時被測主體享有是否追認的絕對權(quán)。若被測試主體拒絕追認,將直接導致挖掘行為人受制于《刑法》第二百八十五條的規(guī)制。吊詭的是,即便測試平臺與被測試系統(tǒng)所有者簽訂挖掘授權(quán)合同,仍然存在違法的風險,因為該合同會因觸犯《合同法》第五十四條第五款中的“違反法律、行政法規(guī)的強制性規(guī)定”特殊規(guī)定而歸于無效。易言之,無論被測試系統(tǒng)軟件所有者是否與平臺簽訂合同,抑或事后是否追認該挖掘行為,均不影響“白帽子”受《刑法》第二百八十五條的規(guī)制,這使得雙方處于極其不對等的法律關系中,這也正是袁煒案備受詬病的核心原因。

    (三)網(wǎng)絡漏洞挖掘的一種解釋論方案

    漏洞挖掘主體受到不當處罰,一方面是因為我國目前針對網(wǎng)絡安全漏洞挖掘的規(guī)范并不考慮行為人的犯罪動機;另一方面有其特殊的歷史原因,《刑法》第二百八十五條設立及完善初衷在于大力打擊新型的互聯(lián)網(wǎng)犯罪,現(xiàn)在看來,過分側(cè)重打擊反而會對“白帽子”的善意漏洞挖掘行為構(gòu)成不當限制。

    《網(wǎng)絡安全法》第二十六條為漏洞挖掘行為的出罪提供了一種解釋論可能,可以在不修改現(xiàn)有《刑法》的基礎上限制《刑法》第二百八十五條對漏洞挖掘行為的適用。《刑法》第二百八十五條采用了空白罪狀的立法技術(shù):“違反國家規(guī)定……”,易言之,允許在違法性要件的判斷識別過程中轉(zhuǎn)介或參照適用其他法律規(guī)范。筆者認為,《網(wǎng)絡安全法》第二十六條可以限制《刑法》第二百八十五條的不當適用,起到目的性限縮的功能,避免機械適用《刑法》對“白帽子”漏洞挖掘行為構(gòu)成不當限制。

    在此基礎上,《網(wǎng)絡安全法》第二十六條為網(wǎng)絡安全漏洞治理提供了一種立法論思考的可能,對于漏洞挖掘的法律規(guī)制應當圍繞該條款展開。漏洞治理包含漏洞挖掘、漏洞交易、漏洞評估預警、漏洞信息共享發(fā)布等多個環(huán)節(jié),需要在未來制定《關鍵設施配套規(guī)章》或者《網(wǎng)絡安全法(實施條例)》時,予以具體化、清晰化、制度化,重新塑造我國體系化的漏洞挖掘法律機制。

    三、對完善我國網(wǎng)絡安全漏洞挖掘制度的建議

    我國網(wǎng)絡空間安全戰(zhàn)略再次重申“建立完善國家網(wǎng)絡安全技術(shù)支撐體系,加強網(wǎng)絡安全基礎理論和重大問題研究,加強網(wǎng)絡安全標準化和認證認可工作,更多地利用標準規(guī)范網(wǎng)絡空間行為。做好等級保護、風險評估、漏洞發(fā)現(xiàn)等基礎性工作,完善網(wǎng)絡安全監(jiān)測預警和網(wǎng)絡安全重大事件應急處置機制?!庇需b于此,應當從國家戰(zhàn)略的高度把握網(wǎng)絡安全漏洞制度構(gòu)造,在配套規(guī)章或者修改相關法律時,以《網(wǎng)絡安全法》第二十六條為中心展開,采用公私合作的治理框架,進一步完善漏洞數(shù)據(jù)庫,明確網(wǎng)絡安全漏洞評級機制,對進行漏洞挖掘“白帽子”、漏洞測試平臺的主體地位加以明確,在遵循現(xiàn)有實踐的基礎上區(qū)分授權(quán)挖掘行為,并進一步強化漏洞的跨境流動應對。

    (一)構(gòu)建網(wǎng)絡安全漏洞挖掘立法體系

    網(wǎng)絡安全漏洞挖掘治理,體現(xiàn)了一種技術(shù)治理的理念,其自身具有預防性治理的特點。具體表現(xiàn)為運用技術(shù)手段先于法律對互聯(lián)網(wǎng)安全問題進行治理,以彌補純粹法律適用所帶來的滯后性問題。在網(wǎng)絡安全漏洞立法過程中,應當把握“技術(shù)先導,法律配合”的理念,為漏洞挖掘治理預留一定的賦權(quán)空間,使得作為“源頭治理”的技術(shù)治理與法律手段共同配合、雙管齊下,實現(xiàn)網(wǎng)絡安全有序治理。

    當前我國《網(wǎng)絡安全法》規(guī)定仍較為粗放,在強調(diào)國家安全優(yōu)先、政府主導與企業(yè)配合、保障網(wǎng)絡公共秩序的基礎上,一部《網(wǎng)絡安全法(實施細則)》實有必要。實施細則可以考慮將較為成熟的實踐經(jīng)驗予以法律化,將《信息安全等級保護管理辦法》、《CNVD漏洞安全響應指導規(guī)范》、《信息安全等級保護管理辦法》的部分內(nèi)容上升為法律規(guī)范。

    同時應當把握修法契機,在《治安管理處罰法(草案)》中,為“白帽子”的漏洞挖掘行為設置相應的免責條款,在草案第三十一條后增加第(六)款:“對于經(jīng)過當事人授權(quán)或在國家機關指導下的系統(tǒng)檢測或軟件測試行為,無需承擔行政責任或刑事責任。”

    完善利用漏洞跨國網(wǎng)絡攻擊的國際法應對。當前利用漏洞進行的跨國網(wǎng)絡攻擊日益頻繁,針對我國關鍵基礎設施和重要信息系統(tǒng)的漏洞攻擊呈逐年上升的趨勢,美國已經(jīng)有專門針對惡意網(wǎng)絡活動的制裁的法律規(guī)范,奧巴馬政府于2015年4月頒行《第13694號行政命令》(Executive Order 13694),宣布將針對美國實施惡意網(wǎng)絡活動的主體予以制裁。所謂的惡意網(wǎng)絡活動包括以下情形:顯著破壞了美國關鍵基礎設施;盜竊美國經(jīng)濟資源、商業(yè)秘密、個人身份信息或者金融信息以獲得商業(yè)競爭優(yōu)勢、個人經(jīng)濟利益;破壞美國計算機網(wǎng)絡或者為上述活動提供物質(zhì)支持。對于利用網(wǎng)絡安全漏洞發(fā)起的惡意攻擊除了技術(shù)防范路徑之外,也應當著重考量反制措施。

    (二)完善國家安全信息漏洞庫,配套漏洞評級機制

    當前世界各國均建立漏洞庫作為其網(wǎng)絡戰(zhàn)爭的核心戰(zhàn)略資源儲備,2006年,美國政府建立了美國國家安全漏洞庫(National Vulnerability Database,NVD),專門針對漏洞的名稱、來源、CVE(Common Vulnerabilities & Exposures)標號,CVSS分數(shù)(Common Vulnerability Scoring System)等信息進行描述。美國將軟件漏洞和操作系統(tǒng)的漏洞視為一種重要的戰(zhàn)略資源,由聯(lián)邦政府負責收集和管理,該漏洞庫由國土安全部部署并提供建設資金,美國國家標準與技術(shù)研究院負責技術(shù)開發(fā)和運維管理,在全仿真的環(huán)境下進行實戰(zhàn)操作,實時掌握網(wǎng)軍的對抗打擊能力,以便更新其防御措施。

    《網(wǎng)絡安全法》第三十九條規(guī)定:“國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全保護采取下列措施:(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享。”網(wǎng)絡安全信息共享制度核心內(nèi)容為漏洞信息共享,一個完善、健全的漏洞庫確有必要。2009年10月18日,國家互聯(lián)網(wǎng)應急中心牽頭成立中國信息安全評測中心,聯(lián)合其他安全廠商和用戶成立的民間組織,負責建設運營維護國家安全漏洞資源管理庫平臺“國家網(wǎng)絡安全漏洞庫”(China National Vulnerability Database of Information Security,CNNVD)對外提供漏洞分析、通報服務。目前,CNNVD通過社會提交、協(xié)作共享、網(wǎng)絡搜集以及技術(shù)檢測等方式,已積累信息技術(shù)產(chǎn)品漏洞8萬余條,信息系統(tǒng)相關漏洞4萬余條,相關補丁和修復措施2萬余條。

    筆者認為,由于CNNVD擁有較為成熟的經(jīng)驗處理漏洞治理工作和快速響應能力,因此應當優(yōu)先考慮由信息安全測評中心牽頭完善漏洞數(shù)據(jù)庫,并負責網(wǎng)絡安全漏洞信息共享、評級、發(fā)布工作。對于漏洞評級機制的建立,可以將《CNVD漏洞安全響應指導規(guī)范》中較為成熟的經(jīng)驗轉(zhuǎn)化為法律規(guī)范。當前我國漏洞的分類方法過于繁多,按照危險系數(shù)和處置類型的分類方法值得借鑒。危險系數(shù)方法主要指按照漏洞的危險系數(shù)將其分為高危、中危、低危三等。按照漏洞的處置類型分類是指針對漏洞適用范圍,將其分為事件型漏洞和通用漏洞兩種。筆者認為,采用危險系數(shù)和處置類型雙重標準評級比較妥當,可以保證涉事主體對漏洞安全有較為清晰的認知。具體來說,對于事件型漏洞僅公布涉事信息系統(tǒng)和涉事單位名稱及危險系數(shù)即可,不必公布細節(jié)。對于通用軟件漏洞應附期限公開,必要時將漏洞名稱、等級、描述、評分、影響產(chǎn)品、參考鏈接等予以公布。且所有的漏洞評級工作務必在1~2天完成,并通知被測主體,充分保證時效性。評級過后,應要求網(wǎng)絡服務提供商配套“漏洞威脅響應機制”,制定完善的漏洞預警機制,確保網(wǎng)絡安全漏洞的發(fā)現(xiàn)、評級、漏洞修復做到無縫銜接,全面維護網(wǎng)絡安全。

    (三)明確挖掘公私合作框架,建立挖掘主體備案制度

    在完善漏洞庫的基礎上,網(wǎng)絡漏洞安全挖掘應當堅持安全與發(fā)展并重,政府與企業(yè)應當加強聯(lián)動協(xié)作,強化網(wǎng)絡安全漏洞信息共享,并進一步完善平臺監(jiān)管責任、個人責任豁免。

    我國《網(wǎng)絡安全法》第二十二條和第二十五條分別規(guī)定了互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡產(chǎn)品缺陷、漏洞報告義務和網(wǎng)絡安全應急預案義務,當前,我國漏洞庫的網(wǎng)絡安全漏洞數(shù)量較少,依靠服務商群體顯然難以支撐整個漏洞庫平臺,“白帽子”的價值正是體現(xiàn)了多方參與的優(yōu)勢。其通過測試軟件系統(tǒng)后告知被測試系統(tǒng)潛在風險,并模擬漏洞被惡意利用時的各種危害情形。我國《網(wǎng)絡安全法》第二十六條規(guī)定的網(wǎng)絡安全漏洞挖掘主體并不明確,若依據(jù)《網(wǎng)絡安全法》第六十二條責任條款進行體系解釋可推知,漏洞挖掘參與主體并不局限于互聯(lián)網(wǎng)企業(yè),政府部門與個人同樣包含在內(nèi),這在一定程度上為漏洞挖掘行為民間主體提供了合法性依據(jù)。

    較為遺憾的是,《網(wǎng)絡安全法》并未明確網(wǎng)絡安全漏洞治理的負責機構(gòu)和實現(xiàn)機制,對企業(yè)的激勵也不夠充分,建議在配套立法中增加授權(quán)政府與企業(yè)建立漏洞信息挖掘協(xié)作機制的規(guī)定,并完善網(wǎng)絡安全漏洞信息共享機制,可以考慮參照域外Hackerone相關合作機制。漏洞挖掘測試和發(fā)布行為需要企業(yè)主導,政府監(jiān)管,并且賦予“白帽子”挖掘行為豁免機制。

    具體來說,首先,應當明確網(wǎng)絡安全漏洞測試平臺的法律地位,需對漏洞挖掘平臺資質(zhì)進行審批,明確平臺僅為網(wǎng)絡安全漏洞的收集、報送、測試主體備案平臺,不得任意對漏洞進行披露,發(fā)現(xiàn)高危漏洞應盡快向國家有關部門報備。

    其次,進一步完善網(wǎng)絡安全漏洞挖掘 “白帽子”主體身份備案制度,采用漏洞挖掘平臺資質(zhì)審批制度與身份備案制度相配套,有助于監(jiān)管部門更有效地防范“白帽子”私自販賣漏洞等網(wǎng)絡犯罪行為,應當充分考慮“白帽子”身份信息的匿名化保護。暴露挖掘主體的身份就意味著該“白帽子”存在被惡意攻擊者監(jiān)控或者竊聽的風險,不符合漏洞挖掘?qū)嵺`需求,應將身份信息納入國家保密體系,適用《中華人民共和國保守國家秘密法》的保密標準。

    最后,為了使“白帽子”明確自身行為邊界之所在,避免袁煒式悲劇再次上演,應當重新把握獲取漏洞的方式并充分考慮挖掘工具手段合法性問題,需進一步明確“白帽子”在漏洞挖掘過程中的“最小傷害原則”和挖掘過程報告義務,其挖掘行為應將數(shù)據(jù)泄露和系統(tǒng)破壞程度降至最低,并且“白帽子”應對漏洞挖掘行為及其附帶損害進行全過程記錄,及時向權(quán)力機關報告。

    (四)借鑒《信息安全等級保護管理辦法》,區(qū)分漏洞挖掘分級授權(quán)

    《網(wǎng)絡安全法》第三十八條規(guī)定了關鍵基礎設施運營者以年為單位的安全檢測義務。實現(xiàn)關鍵基礎設施安全可控的核心在于網(wǎng)絡安全漏洞的挖掘和發(fā)現(xiàn),當前網(wǎng)絡安全漏洞呈現(xiàn)出井噴之勢,每年一次的評估顯然并不符合網(wǎng)絡安全的實踐需求,有必要對挖掘行為授權(quán)機制加以明確,確保多方參與網(wǎng)絡安全維護工作。

    對于挖掘行為授權(quán)機制的建立,可以考慮結(jié)合《信息安全等級保護管理辦法》的既有實踐,以等級保護作為切入點區(qū)分網(wǎng)絡安全漏洞挖掘授權(quán)機制。根據(jù)信息系統(tǒng)受到破壞后所造成的損害范圍不同,將挖掘行為分為禁止挖掘、許可挖掘和一般挖掘三種,進一步廓清“白帽子”漏洞挖掘行為的邊界。

    禁止挖掘指涉密的國家關鍵基礎設施,指符合《信息安全等級保護管理辦法》第七條第5級的情形。主要涉及《刑法》第二百八十五條第一款、《國家安全法》、《保守國家秘密法》第二十四條和四十八條規(guī)定的涉密信息系統(tǒng),例如一些涉及國家機密的大型服務器,對此類關鍵基礎設施漏洞挖掘,應當以聲明禁止挖掘為原則,許可挖掘為例外。

    許可挖掘是指符合《信息安全等級保護管理辦法》第七條第3、4級的情形。經(jīng)國家機關授權(quán),備案的“白帽子”可進行關鍵基礎設施漏洞挖掘測試,許可挖掘的主體多集中于大型互聯(lián)網(wǎng)公司的民用設施和部分非涉密關鍵基礎設施,其挖掘有助于在系統(tǒng)安全性提升與被惡意追蹤之間尋求平衡,許可挖掘不同于傳統(tǒng)定向委托網(wǎng)絡安全公司所進行的漏洞挖掘測試。

    一般挖掘主要指的是符合《信息安全等級保護管理辦法》第七條第1、2級的情形,對于關鍵基礎設施之外的一些商業(yè)用途的網(wǎng)站和系統(tǒng)可以允許經(jīng)過備案的白帽子進行普遍挖掘。

    (五)強化網(wǎng)絡安全漏洞的跨境流動應對,建立漏洞傳輸評估規(guī)則

    《國家安全法》第二十五條將“加強網(wǎng)絡管理,防范、制止和依法懲治網(wǎng)絡攻擊、網(wǎng)絡入侵、網(wǎng)絡竊密”作為一項國家安全義務加以確認。網(wǎng)絡安全漏洞正在成為一種重要的國家戰(zhàn)略資源,《瓦森納協(xié)定》補充協(xié)定更是將零日漏洞等視為一種潛在的武器進行監(jiān)管。以“震網(wǎng)攻擊”為例,網(wǎng)絡安全漏洞發(fā)現(xiàn)意味著一種攻擊的可能性,其惡意利用足以對國家安全造成毀滅性打擊,需要從法律制度上予以正視和回應。

    網(wǎng)絡安全漏洞與跨境數(shù)據(jù)流動密切相關,數(shù)據(jù)安全問題會因為各國數(shù)據(jù)空間主權(quán)觀念的差別,或者數(shù)據(jù)法制、數(shù)據(jù)利益、數(shù)據(jù)安全保護觀念的差異,導致相互之間在數(shù)據(jù)流動和國際合作方面的復雜性。作為網(wǎng)絡安全重要戰(zhàn)略資源的漏洞,不同于一般數(shù)據(jù),應當嚴格限制漏洞數(shù)據(jù)的跨境流動,參照《網(wǎng)絡安全法》第三十七條確立了跨境數(shù)據(jù)流動評估規(guī)則,在制定安全評估辦法的時候充分考慮網(wǎng)絡安全漏洞的特殊性,可以參照網(wǎng)絡安全漏洞的危險系數(shù)和處置類型雙重評級標準,對于高危、事件型漏洞應當禁止跨境流動,對于一般性、通用的漏洞可以在評估后允許其跨境傳輸。

    (本文成稿得益于劉金瑞助理研究員、丁海俊副教授、周學峰副教授的幫助,在此一并致謝!)

    [責任編輯 李晶晶 責任校對 王治國]

    2017-01-16

    趙精武(1992—),男,河北黃驊人,北京航空航天大學法學院網(wǎng)絡信息安全方向博士生(計算機學院聯(lián)合培養(yǎng)),從事網(wǎng)絡安全法,民商法研究。

    中國法學會部級項目《安全防范信息的采集與利用相關法律問題研究》(批準號:CLS(2016)C13); 國家社會科學基金重大項目《信息法基礎》(批準號:16ZDA075)。

    D9

    A

    1000-5072(2017)05-0024-09

    猜你喜歡
    帽子漏洞網(wǎng)絡安全
    漏洞
    網(wǎng)絡安全
    網(wǎng)絡安全人才培養(yǎng)應“實戰(zhàn)化”
    上網(wǎng)時如何注意網(wǎng)絡安全?
    帽子,帽子
    三明:“兩票制”堵住加價漏洞
    漏洞在哪兒
    兒童時代(2016年6期)2016-09-14 04:54:43
    Hat 我戴上了這頂帽子
    Coco薇(2016年2期)2016-03-22 02:20:23
    圣誕節(jié)帽子
    偵探的帽子
    а√天堂www在线а√下载| 青青草视频在线视频观看| 淫秽高清视频在线观看| 在现免费观看毛片| 国产久久久一区二区三区| 欧美潮喷喷水| 九九在线视频观看精品| 亚洲精品久久久久久婷婷小说 | 久久久久久九九精品二区国产| 国产一区二区在线观看日韩| 欧美性猛交黑人性爽| 欧美xxxx黑人xx丫x性爽| 久久精品国产99精品国产亚洲性色| 国产欧美日韩精品一区二区| 边亲边吃奶的免费视频| 亚洲精品色激情综合| 亚洲五月天丁香| 国产精品一二三区在线看| 丝袜喷水一区| 九九在线视频观看精品| 天堂av国产一区二区熟女人妻| 夫妻性生交免费视频一级片| 九九久久精品国产亚洲av麻豆| av在线天堂中文字幕| 国产真实乱freesex| 九九爱精品视频在线观看| 中国美白少妇内射xxxbb| 1000部很黄的大片| 亚洲自偷自拍三级| 禁无遮挡网站| 国产成人a区在线观看| 亚洲经典国产精华液单| 一区福利在线观看| 99久久无色码亚洲精品果冻| 精品久久久久久成人av| 网址你懂的国产日韩在线| 亚洲精品久久久久久婷婷小说 | 亚洲无线在线观看| 人妻少妇偷人精品九色| 国产色婷婷99| 免费观看在线日韩| 久久中文看片网| а√天堂www在线а√下载| 午夜激情欧美在线| 国产成人午夜福利电影在线观看| 日韩人妻高清精品专区| 男女边吃奶边做爰视频| 精品欧美国产一区二区三| 国产久久久一区二区三区| 黄色一级大片看看| avwww免费| 在线观看美女被高潮喷水网站| 简卡轻食公司| 免费一级毛片在线播放高清视频| 日本免费一区二区三区高清不卡| 亚洲内射少妇av| 插阴视频在线观看视频| 国产 一区 欧美 日韩| 成人高潮视频无遮挡免费网站| 日韩av不卡免费在线播放| 久久精品影院6| 久久午夜福利片| 亚洲精品456在线播放app| 在线国产一区二区在线| 神马国产精品三级电影在线观看| 91久久精品国产一区二区三区| 国产精品嫩草影院av在线观看| 亚洲第一电影网av| 在线a可以看的网站| 亚洲精品成人久久久久久| 欧美性感艳星| 成熟少妇高潮喷水视频| 亚洲经典国产精华液单| 亚洲av男天堂| 久99久视频精品免费| 国产成人精品一,二区 | 1024手机看黄色片| 看片在线看免费视频| 身体一侧抽搐| 亚洲无线在线观看| 婷婷色av中文字幕| 婷婷亚洲欧美| 国产精品国产三级国产av玫瑰| 美女内射精品一级片tv| 亚洲美女搞黄在线观看| 国产亚洲精品久久久久久毛片| 菩萨蛮人人尽说江南好唐韦庄 | 麻豆国产av国片精品| 国产大屁股一区二区在线视频| 国产黄片美女视频| 久久中文看片网| 美女cb高潮喷水在线观看| 中文字幕人妻熟人妻熟丝袜美| 人人妻人人澡人人爽人人夜夜 | 在线观看66精品国产| 草草在线视频免费看| 色播亚洲综合网| 老司机福利观看| 亚洲性久久影院| 亚洲自拍偷在线| 午夜亚洲福利在线播放| 亚洲国产精品久久男人天堂| 小说图片视频综合网站| 欧美精品国产亚洲| 午夜激情福利司机影院| 天天一区二区日本电影三级| 色综合亚洲欧美另类图片| 国模一区二区三区四区视频| 国产色婷婷99| 国产精品福利在线免费观看| 少妇猛男粗大的猛烈进出视频 | 五月玫瑰六月丁香| 乱系列少妇在线播放| 天堂网av新在线| 亚洲中文字幕一区二区三区有码在线看| 热99在线观看视频| 国产成人影院久久av| 国产色爽女视频免费观看| 美女脱内裤让男人舔精品视频 | 欧美成人精品欧美一级黄| 成人高潮视频无遮挡免费网站| 26uuu在线亚洲综合色| 日本爱情动作片www.在线观看| 成年免费大片在线观看| www.av在线官网国产| 日本色播在线视频| 一边摸一边抽搐一进一小说| 99热精品在线国产| 99国产极品粉嫩在线观看| 嫩草影院精品99| 欧美3d第一页| 成人亚洲欧美一区二区av| 99热网站在线观看| 国产美女午夜福利| 搞女人的毛片| 免费电影在线观看免费观看| 亚洲成人久久爱视频| 成人午夜精彩视频在线观看| 日本色播在线视频| 久久九九热精品免费| 日韩视频在线欧美| 日本五十路高清| 国产黄色小视频在线观看| 国产v大片淫在线免费观看| 老熟妇乱子伦视频在线观看| 亚洲国产欧美在线一区| 麻豆乱淫一区二区| 久久久久久久久久久免费av| 高清在线视频一区二区三区 | 成人亚洲欧美一区二区av| 国产精品野战在线观看| av在线老鸭窝| 人人妻人人看人人澡| 日韩,欧美,国产一区二区三区 | 伦理电影大哥的女人| 你懂的网址亚洲精品在线观看 | 22中文网久久字幕| 不卡一级毛片| 亚洲美女视频黄频| 国产私拍福利视频在线观看| 91av网一区二区| 99热只有精品国产| 九色成人免费人妻av| 在线观看午夜福利视频| 国产在线精品亚洲第一网站| 国产精品无大码| 亚洲aⅴ乱码一区二区在线播放| 又爽又黄a免费视频| 精品一区二区三区人妻视频| 搡老妇女老女人老熟妇| 日韩视频在线欧美| 亚洲av中文av极速乱| 欧美日韩乱码在线| 日本一本二区三区精品| 欧美日韩在线观看h| 毛片一级片免费看久久久久| 国产伦精品一区二区三区四那| 亚洲成人精品中文字幕电影| 毛片女人毛片| 欧美人与善性xxx| 精品国产三级普通话版| 国产美女午夜福利| 大香蕉久久网| 国产精品三级大全| 亚洲国产精品国产精品| 最好的美女福利视频网| 男人的好看免费观看在线视频| 亚洲丝袜综合中文字幕| 草草在线视频免费看| 久久久久网色| 国产探花极品一区二区| 国产男人的电影天堂91| 亚洲欧美精品综合久久99| 在线观看66精品国产| 国产一区亚洲一区在线观看| 一级av片app| 精品不卡国产一区二区三区| 久久综合国产亚洲精品| 午夜久久久久精精品| 国产精品综合久久久久久久免费| 日本av手机在线免费观看| 国产亚洲av片在线观看秒播厂 | 直男gayav资源| 国内精品美女久久久久久| 欧美性猛交╳xxx乱大交人| 亚洲精品乱码久久久v下载方式| 日本-黄色视频高清免费观看| 成人特级av手机在线观看| 欧美另类亚洲清纯唯美| 此物有八面人人有两片| 日韩高清综合在线| 亚洲av中文字字幕乱码综合| 日韩精品有码人妻一区| 麻豆成人午夜福利视频| 国语自产精品视频在线第100页| 少妇的逼好多水| 男人狂女人下面高潮的视频| 久久久久久九九精品二区国产| av视频在线观看入口| 日韩大尺度精品在线看网址| eeuss影院久久| 99在线视频只有这里精品首页| av在线亚洲专区| 日韩欧美一区二区三区在线观看| 日本撒尿小便嘘嘘汇集6| 亚洲色图av天堂| 日韩三级伦理在线观看| 极品教师在线视频| 日本免费一区二区三区高清不卡| 久久午夜福利片| 成人午夜精彩视频在线观看| 国产伦精品一区二区三区视频9| 男人和女人高潮做爰伦理| 中国美白少妇内射xxxbb| 日韩制服骚丝袜av| 午夜激情福利司机影院| 成人特级黄色片久久久久久久| 一边亲一边摸免费视频| 亚洲不卡免费看| 两个人的视频大全免费| 国产精品久久久久久av不卡| 日韩成人伦理影院| 色综合亚洲欧美另类图片| 日韩 亚洲 欧美在线| 国产精品乱码一区二三区的特点| 亚洲精品粉嫩美女一区| 亚洲第一电影网av| 国产真实伦视频高清在线观看| 日韩欧美精品免费久久| 伊人久久精品亚洲午夜| 久久久久久国产a免费观看| 99久国产av精品| 精品熟女少妇av免费看| 一区二区三区四区激情视频 | 美女xxoo啪啪120秒动态图| 99久久成人亚洲精品观看| 又粗又爽又猛毛片免费看| 亚洲av熟女| 亚洲三级黄色毛片| 久久亚洲精品不卡| 成人鲁丝片一二三区免费| 99视频精品全部免费 在线| 成人漫画全彩无遮挡| av黄色大香蕉| 91av网一区二区| 久久国内精品自在自线图片| 国产精品一区二区三区四区免费观看| 日韩强制内射视频| 国产日韩欧美在线精品| 久久久久久久久大av| 久久草成人影院| 男女啪啪激烈高潮av片| 麻豆国产av国片精品| 三级经典国产精品| 丝袜美腿在线中文| 亚洲精华国产精华液的使用体验 | 人人妻人人看人人澡| 99久国产av精品国产电影| 国产精品一区二区三区四区免费观看| 18禁在线播放成人免费| 日韩大尺度精品在线看网址| 久久久久久伊人网av| 久久精品国产99精品国产亚洲性色| 91久久精品电影网| 成人无遮挡网站| 在线播放无遮挡| 亚洲熟妇中文字幕五十中出| 乱码一卡2卡4卡精品| 少妇丰满av| 日韩一区二区三区影片| 久久欧美精品欧美久久欧美| 久久午夜亚洲精品久久| 国产精品一区二区在线观看99 | 少妇人妻一区二区三区视频| 夜夜夜夜夜久久久久| 久久久久久九九精品二区国产| 18禁裸乳无遮挡免费网站照片| 日本熟妇午夜| 一夜夜www| 97超碰精品成人国产| 亚洲国产欧洲综合997久久,| 亚洲av成人精品一区久久| 热99在线观看视频| 亚洲不卡免费看| 亚洲精品成人久久久久久| 日韩一区二区三区影片| 99国产极品粉嫩在线观看| av女优亚洲男人天堂| 女同久久另类99精品国产91| 欧美成人一区二区免费高清观看| 国产精品一区二区在线观看99 | 精品久久久久久久久亚洲| 麻豆精品久久久久久蜜桃| 男的添女的下面高潮视频| 国产亚洲av嫩草精品影院| 看十八女毛片水多多多| 国产精品久久久久久av不卡| h日本视频在线播放| 观看美女的网站| 国产精品电影一区二区三区| 亚洲精品粉嫩美女一区| 黄色欧美视频在线观看| av又黄又爽大尺度在线免费看 | 少妇的逼水好多| 99在线人妻在线中文字幕| 日韩欧美国产在线观看| 国产精品av视频在线免费观看| 如何舔出高潮| 欧美bdsm另类| 又爽又黄无遮挡网站| 久久99精品国语久久久| 青春草国产在线视频 | 毛片女人毛片| 身体一侧抽搐| 成人性生交大片免费视频hd| 91久久精品电影网| 国产黄色视频一区二区在线观看 | 国产黄a三级三级三级人| 国产久久久一区二区三区| 91久久精品电影网| 天美传媒精品一区二区| 99久久成人亚洲精品观看| 日韩人妻高清精品专区| 综合色丁香网| 观看免费一级毛片| 午夜福利在线观看免费完整高清在 | 国产一级毛片在线| 婷婷精品国产亚洲av| 久久中文看片网| 成人漫画全彩无遮挡| 亚洲成a人片在线一区二区| 国产精品久久久久久久电影| avwww免费| 午夜激情福利司机影院| 国产亚洲精品久久久久久毛片| 日韩强制内射视频| 欧美极品一区二区三区四区| 天天躁夜夜躁狠狠久久av| 一夜夜www| av黄色大香蕉| 一区二区三区高清视频在线| 观看美女的网站| 女的被弄到高潮叫床怎么办| 亚洲电影在线观看av| 校园人妻丝袜中文字幕| 蜜桃久久精品国产亚洲av| 国产一级毛片七仙女欲春2| 日本爱情动作片www.在线观看| 如何舔出高潮| 国产伦一二天堂av在线观看| 全区人妻精品视频| 美女黄网站色视频| 亚洲美女视频黄频| 久久国内精品自在自线图片| а√天堂www在线а√下载| 中文字幕免费在线视频6| 日韩,欧美,国产一区二区三区 | 国产一区二区三区在线臀色熟女| 美女高潮的动态| 麻豆一二三区av精品| 亚洲人成网站在线播放欧美日韩| 欧美日韩精品成人综合77777| 六月丁香七月| 国产成人a区在线观看| 国产精品无大码| 亚洲国产色片| 三级经典国产精品| 亚洲欧美清纯卡通| 国语自产精品视频在线第100页| 天堂中文最新版在线下载 | 中文字幕av成人在线电影| 男女视频在线观看网站免费| 成年版毛片免费区| 国产一区亚洲一区在线观看| 亚洲国产欧美人成| 如何舔出高潮| 国产三级在线视频| 一级毛片我不卡| 精品不卡国产一区二区三区| 我要搜黄色片| 99热精品在线国产| 少妇被粗大猛烈的视频| 成人av在线播放网站| 女同久久另类99精品国产91| 欧美日韩乱码在线| 人人妻人人看人人澡| 一级二级三级毛片免费看| 欧美日本视频| 有码 亚洲区| 国产成人午夜福利电影在线观看| 一本—道久久a久久精品蜜桃钙片 精品乱码久久久久久99久播 | www.av在线官网国产| 国产av在哪里看| 亚洲成人久久爱视频| 在线观看66精品国产| 一本久久中文字幕| 国产黄片美女视频| 一级二级三级毛片免费看| 久久精品国产亚洲av涩爱 | 好男人视频免费观看在线| 大香蕉久久网| 舔av片在线| 亚洲成av人片在线播放无| 色吧在线观看| av专区在线播放| 国产蜜桃级精品一区二区三区| 欧美高清性xxxxhd video| 2022亚洲国产成人精品| 美女高潮的动态| 午夜福利高清视频| 久久久久九九精品影院| 人妻夜夜爽99麻豆av| 欧美xxxx黑人xx丫x性爽| 精品熟女少妇av免费看| 日韩av在线大香蕉| 波野结衣二区三区在线| 青春草亚洲视频在线观看| 国产成人一区二区在线| 欧美性猛交黑人性爽| 中文在线观看免费www的网站| 国产精品,欧美在线| 欧美成人免费av一区二区三区| 国产精品av视频在线免费观看| 国产亚洲欧美98| 在线天堂最新版资源| 99九九线精品视频在线观看视频| 日韩在线高清观看一区二区三区| 我要搜黄色片| 日韩一区二区视频免费看| 狂野欧美激情性xxxx在线观看| 国产在线精品亚洲第一网站| 亚洲最大成人av| 亚洲在久久综合| 久久中文看片网| 国产欧美日韩精品一区二区| 人妻系列 视频| 亚洲中文字幕日韩| 少妇裸体淫交视频免费看高清| 亚洲在线观看片| 日韩精品有码人妻一区| 国产麻豆成人av免费视频| 一级黄色大片毛片| 亚洲七黄色美女视频| 三级经典国产精品| 一夜夜www| 九草在线视频观看| 国产av不卡久久| 中文字幕人妻熟人妻熟丝袜美| 精品午夜福利在线看| 国产亚洲av片在线观看秒播厂 | 在线免费观看不下载黄p国产| 亚洲欧美日韩无卡精品| 亚洲国产精品成人久久小说 | 激情 狠狠 欧美| 尾随美女入室| 淫秽高清视频在线观看| kizo精华| 久久精品综合一区二区三区| 91狼人影院| 欧美一区二区国产精品久久精品| 麻豆一二三区av精品| 亚洲内射少妇av| 精品久久久久久久久久久久久| 哪里可以看免费的av片| 联通29元200g的流量卡| 日本免费a在线| 亚洲成av人片在线播放无| 91久久精品国产一区二区成人| 国产在线男女| 亚洲精品乱码久久久久久按摩| 三级毛片av免费| 色哟哟哟哟哟哟| 国产视频内射| 免费看a级黄色片| 亚洲不卡免费看| 成人国产麻豆网| 国产精品麻豆人妻色哟哟久久 | 夫妻性生交免费视频一级片| 国产精品一区www在线观看| 大香蕉久久网| 国产片特级美女逼逼视频| 亚洲精品久久久久久婷婷小说 | 久久九九热精品免费| 国产精品久久久久久亚洲av鲁大| 国产精华一区二区三区| 此物有八面人人有两片| 亚洲人与动物交配视频| 国产一区二区三区av在线 | 特级一级黄色大片| 在线观看美女被高潮喷水网站| 日韩,欧美,国产一区二区三区 | 久久6这里有精品| 国产亚洲精品久久久久久毛片| 日韩三级伦理在线观看| 欧美日韩国产亚洲二区| 一级毛片我不卡| 99视频精品全部免费 在线| 午夜激情福利司机影院| 成人毛片a级毛片在线播放| 色视频www国产| 99热网站在线观看| av在线老鸭窝| 一级毛片久久久久久久久女| 少妇高潮的动态图| 美女内射精品一级片tv| 国产三级中文精品| 夜夜夜夜夜久久久久| 日日撸夜夜添| 亚洲av成人精品一区久久| 亚洲国产欧洲综合997久久,| 国产探花极品一区二区| 欧美一区二区亚洲| 熟女电影av网| 国产精品一二三区在线看| 黄片无遮挡物在线观看| 观看免费一级毛片| 国产精品国产三级国产av玫瑰| 国产亚洲精品av在线| 一边摸一边抽搐一进一小说| 久久精品91蜜桃| 国产69精品久久久久777片| 精品人妻偷拍中文字幕| 成人av在线播放网站| 国产不卡一卡二| 午夜精品国产一区二区电影 | 级片在线观看| 欧美日韩精品成人综合77777| 天堂网av新在线| 少妇人妻一区二区三区视频| 欧洲精品卡2卡3卡4卡5卡区| .国产精品久久| 午夜精品在线福利| 免费看光身美女| 亚洲欧美日韩高清专用| 不卡视频在线观看欧美| 给我免费播放毛片高清在线观看| 亚洲中文字幕日韩| 干丝袜人妻中文字幕| 蜜臀久久99精品久久宅男| 亚洲国产精品国产精品| 高清日韩中文字幕在线| 中国美白少妇内射xxxbb| 久久精品综合一区二区三区| 免费av不卡在线播放| 亚洲aⅴ乱码一区二区在线播放| 人妻制服诱惑在线中文字幕| 一区二区三区高清视频在线| 最近的中文字幕免费完整| 最好的美女福利视频网| 国产在线精品亚洲第一网站| 国产国拍精品亚洲av在线观看| www.av在线官网国产| 亚洲aⅴ乱码一区二区在线播放| 99久久久亚洲精品蜜臀av| 成人av在线播放网站| 久久亚洲精品不卡| 国产乱人偷精品视频| 日韩强制内射视频| 伦精品一区二区三区| 久久久色成人| 免费观看在线日韩| 日本撒尿小便嘘嘘汇集6| 亚洲欧美精品专区久久| 啦啦啦观看免费观看视频高清| 国产高清视频在线观看网站| 国产毛片a区久久久久| 亚洲国产精品成人综合色| 男的添女的下面高潮视频| 国产精品日韩av在线免费观看| 看十八女毛片水多多多| 亚洲熟妇中文字幕五十中出| 久久精品夜夜夜夜夜久久蜜豆| 99精品在免费线老司机午夜| 99久久无色码亚洲精品果冻| 亚洲精品久久久久久婷婷小说 | 色噜噜av男人的天堂激情| 精品久久久久久成人av| 欧美日本亚洲视频在线播放| 十八禁国产超污无遮挡网站| av在线播放精品| 美女脱内裤让男人舔精品视频 | 亚洲成av人片在线播放无| 亚洲精品国产av成人精品| 成年版毛片免费区| 亚洲成a人片在线一区二区| 又粗又硬又长又爽又黄的视频 | 国产精品不卡视频一区二区| 国国产精品蜜臀av免费| 国产午夜精品一二区理论片| 久久中文看片网| 欧美高清性xxxxhd video| 男人舔女人下体高潮全视频| 久久久国产成人免费| av在线观看视频网站免费| 免费看日本二区|