法律漏洞分类研究

法律漏洞分类研究（精选三篇）

法律漏洞分类研究 篇1

数据库安全是当前软件安全的一个重要组成部分。随着计算机技术的飞速发展，数据库的应用十分广泛，已经深入到各个领域，但数据的安全问题也随之产生了。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。

本文从数据库管理员(DBA)的角度对现有的数据库漏洞进行分析，以漏洞预防和修复为主要目的，提出了一个基于数据库管理员视点的分类方法。该方法为管理员提供一条便捷的数据库漏洞预防、发现、解决途径。另外，本文基于该分类实现了一个数据库安全扫描系统，有效地减轻了数据库管理员的压力。

1 相关工作

在过去的四十年里，已经发展了多种软件漏洞分类方法，尽管其中并没有专门针对数据库软件漏洞分类的研究，但我们仍然能从他们之中获得很多启示。

早期的研究工作之一是RISOS(Research Into Secure Operating Systems)项目[1]。该项目专注于操作系统漏洞，阐述了7类不同的操作系统安全漏洞。PA(Protection Analysis)项目[2]更加通用，其主要目的是希望任何人都能通过一个模式发现计算机漏洞，共有四个大类以及四个小类。另外，Bishop与Bailey依据动植物分类的方法，提出了一个新的漏洞分类方式[3]，并指出了RISOS与PA的缺陷。近期的PLOVER(Preliminary List of Vulnerability Examples for Researchers)[4]方法，拥有28个主要分类，近300个小类。同样，基于PLOVER方法的CVE分类也包含了大量的分类条目。

可以看出随着软件产品的不断丰富，软件的漏洞也层出不穷，早期的分类方法对目前种类繁多的漏洞进行分类稍显不足，业界又提出了许多新的漏洞分类方法，如：1)按照漏洞可能对系统造成的直接威胁分类;2)按照漏洞的成因分类;3)按照漏洞的严重性分类;4)按照漏洞被利用的方式分类。

2 分类方法

从数据库管理员的角度来看，管理员需要和两类人接触，一方面是数据库软件生产方，负责软件产品的制作与维护，另一方面则是数据库软件的用户。而软件生产方又可以分为软件设计人员与软件实现人员，管理员又分为系统管理员与应用管理员。在数据库软件的整个生命周期中，共有五类人与数据库管理员接触，包括软件开发人员、软件设计人员，数据库系统管理员，数据库应用管理员，以及最终用户。根据漏洞可能产生的位置，我们将数据库漏洞分为五类，即软件设计漏洞，软件实现漏洞，系统管理漏洞，应用管理漏洞，终端用户相关漏洞，分别对应五类不同的用户，如图1所示。

2.1 软件设计漏洞

软件设计漏洞是由软件产品本身在需求分析以及设计过程中的不完备性与不可靠性引起的，这势必导致软件在使用过程中引发未知的问题或错误。

2.2 软件实现漏洞

软件实现漏洞是由于软件实现人员在实现软件产品的过程中缺乏相应的编写安全代码经验或者没有完全实现软件设计人员设计的要求引起。常见问题如缺乏输入验证，访问验证，对意外情况的处理考虑不足等。软件实现漏洞主要有以下两种：1)缓冲区溢出漏洞;2)SQL注入漏洞。

2.3 系统管理漏洞

管理员又可以分为系统管理员与应用管理员两类，系统管理员主要维护整个系统的运作，拥有最高的权限，对整个数据库的安全负责。系统管理漏洞主要是在系统级别上出现的配置错误，通过对系统配置无意或者恶意的更改，造成系统的不可用或者无授权使用，从而导致信息的完整性，保密性与可用性遭到破坏。1)权限管理漏洞;2)文件系统管理漏洞;3)审计管理漏洞。

2.4 应用管理漏洞

应用管理漏洞主要是指应用管理员无意或者恶意违背了系统管理员的安全策略，对口令，用户以及敏感文件的访问控制不当造成的。应用管理漏洞主要有以下两种：1)口令管理漏洞;2)用户管理漏洞。

2.5 终端用户漏洞

用户是数据库软件的最终使用者，数据库软件的各种功能最终是向终端客户提供优质的服务。由于终端用户的安全意识一般比较低，在密码设置，登陆安全等方面，没有足够的重视，这些都有可能引起攻击者的注意，导致数据库软件受到其他人的攻击。终端用户漏洞主要有以下两种：1)用户口令漏洞;2)账号漏洞。

3 数据库安全扫描系统

数据库管理员承担着数据库正常运转的大部分工作，一方面需要持续关注数据库厂商发布的漏洞信息以及补丁信息，另一方面还需要对整个系统有全面和充分的了解，对数据库管理系统的配置以及用户行为有深刻的认识。

基于上述的数据库漏洞分类，我们实现了数据库安全扫描系统。该系统通过对不同数据库漏洞制定策略，可以有效地检测当前数据库存在哪些漏洞，包括软件设计漏洞，软件实现漏洞，系统管理漏洞，应用管理漏洞以及终端用户漏洞。其根本目的是为方便管理员找出数据库系统中可能存在的漏洞并对可能发生的攻击进行防范。根据不同的用户类型，数据库管理员可以采取不同的防治策略以保障数据库系统地安全稳定运行。

4 结论与展望

本文从数据库库管理员的角度提出一种新的数据库漏洞分类方法，其目的主要是为了更快地定位漏洞发生的位置以及有效地修复漏洞，并对数据库安全的预防具有一定的指导意义。

摘要：数据库漏洞是数据库系统受到攻击的主要原因,通过研究数据库漏洞分类,有助于人们对漏洞的深入理解并加以预防和避免。该文从管理员的角度对数据库系统漏洞进行分类,在此基础上实现了数据库安全扫描系统,有效地保障了数据库系统的安全。

关键词：数据库安全,数据库漏洞,分类方法

参考文献

[1]Abbott R P,Chin J S,Donnelley J E,et al.Security Analysis and Enhancements of Computer Operating Systems[J].NBSIR76-1041,Institute for Computer Sciences and Technology,National Bureau of Standards(Apr.1976).

[2]Bisbey R,Hollingsworth D.Protection Analysis Project Final Report[R].Information Sciences Institute,University of Southern California,Marina Del Rey,CA,1978.

[3]Bishop M,Bailey D.A Critical Analysis of Vulnerability Taxonomies[R].Technical Report CSE-96-11,1996.

[4]Christey S.The Preliminary List of Vulnerability Examples for Researchers[EB/OL].http://cve.mitre.org/docs/plover/.(March2006).

[5]Weber S,Paul A,Paradkar A.A Software Flaw Taxonomy:Aiming Tools At Security"Software Engineering for Secure Systems-Building Trust worthy Applications(SESS'05).

[6]单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,28(10):3-6.

[7]戴瑞恩.一种新型的基于规则实现的数据库安全检测方法[D].北京:清华大学,2003.

浅析法律漏洞 篇2

什么是法律漏洞,对此不同的学者有不同的解释。我国台湾学者王泽鉴先生认为:“关于某一法律问题,法律依其内在的目的及规范计划,应有所规定,而未设规定,便构成法律这堵墙上的缺口,斯谓法律漏洞。”梁慧星先生认为:“所谓法律漏洞,涵义如下,其一,指现行制定法系上存在缺陷即不完全性;其二,因此缺陷的存在影响现行法应有的功能;其三,此缺陷之存在违反立法意图。可将法律漏洞定义为,现行法体系上存在影响法律功能且违反立法意图的不完全性”。①从这两位大家的论述中可看出,他们都是从法律目的性出发而得出,法律漏洞是法律规范具有不合目的性,即法律规范本身未能反映立法者所追求的目的。笔者更赞同黄茂荣先生的说法,即法律漏洞是指现行法律体系上违反法律计划的不圆满状态,可通过类推适用、目的性限缩等方法的运用得以完善。

二、法律漏洞的分类

(一)笔者认为法律漏洞可分为以下几类

1、规范法律漏洞。即某个法律规定的规范结构不完整,缺少必要的组成部分,就是规范漏洞。我国法律中也不乏这样的法律漏洞。例如,婚姻法第10条对无效婚姻做出了规定。

2、法律漏洞,这可能是颁布时即已存在,也可能因为社会迅速变化而致使漏洞产生或者增加。这些漏洞可分为有意识的漏洞与无意识的漏洞。如果立法者希望司法做出规定,就是有意识的漏洞。如果法律漏洞忽略了根据立法目的需要调整的法律问题就是属于无意识的漏洞。②

3、领域漏洞,是指法律规范存在的超越立法者计划的漏洞。

(二)文献上的分类

1、认知的与无认知的漏洞

这是以历史上之立法者(der historische Gesetzgeber)在其制定系争法律时是否对系争规范之不圆满状态已有认知为标准,对法律漏洞所做的分类。在制定时已有认知者为认知的漏洞,尚未认知者为无认知的漏洞。

2、自始的与嗣后的漏洞

这是以法律漏洞是否在法律制定时即已存在为标准所做的分类。制定时已存在者是自始的漏洞;制定后始因经济的、技术的、社会的、伦理的或其他事实之变迁而发生的漏洞是嗣后的漏洞。③

3、部分漏洞与全部漏洞

这是已经判断有规范之需要的问题是否根本未为法律所规范,或虽已为其所规范但不完全为标准所做的分类。完全未为规范所者是全部漏洞;有规定而不完全规定者是部分漏洞。④

4、真正的和不真正的漏洞

该分类的代表者是Zittelmann,他认为真正的漏洞是指法律对应于规范之案例根本就未加规范;不真正的漏洞是指法律对应于规范之案例,未为异于一般规定之特别规定的情形而言。

三、法律漏洞的填补

在法律存在漏洞的情况下,法官如何裁判个案?填补法律漏洞是法官适用法律的题中之义。填补漏洞的方法总体而言,主要有四种:类推适用、目的性限缩、目的性扩张以及创造性补充。

(一)类推适用

类推在法律适用中非常重要,这是人尽皆知的事情。博登海默指出“类推,亦就是将一条法律规则扩大适用于一种并不为该规则的词语所涉及的但却被认为构成该规则之基础的政策原则范围之内的事实情形”⑤这就是说在缺乏待决法律问题的法律规范时,就要参考其他调整类似问题的法律规定。这种类推就是将有着不用事实构成前提的法律规范适用类似的、没有法律规定的事实情况。这些法律未规定的事项,性质上就属于法律漏洞,用类推适用即填补漏洞,我们不必担心以类推的方式进行法律适用会代替立法,它只是创造新法,它只是从现有的法律中发现没有清楚表述的、被隐藏的评价。

(二)目的性限缩

将不符合立法意图的内容排除出去,保留符合立法意图的部分。这种按照立法意图限定法律规范适用范围的漏洞填补方法称为“目的性限缩”⑥

该填补方法产生的原因是法律概念过度抽象化,致使法律规范的适用范围过于广泛,按规范文义所适用的部分事项与它的立法目的不符合致使在同一规定下出现了不同的情形却产生了相同的结果。

目的性限缩补充的漏洞是隐藏漏洞,即按照法律规定的宗旨,本来应当对某种类型做出消极的限制,但却未能限定限制而必须通过目的性限缩排除其中的一部分。不过在适用目的性限缩时,应当对法律规定所包含的类型加以分析,按照法律规定的目的,将其区分为合乎规范目的的类型和不适合目的的类型,而将后者从法律规定的适用范围中排除出去,从而弥补法律规定的漏洞。⑦

(三)目的性扩张

除了存在法律规范文义过宽的情形外,还存在法律规范的事实构成过于狭窄,从而导致根据法律规范的目的必须包含而事实上并未包括在其中的事项,此时,就有必要根据立法目的扩张规范的适用范围。

目的性扩张是指法律规范文义未能反映法律目的所包含的范围,为了实现法律目的,就必须扩张法律文义的适用范围。这种漏洞填补的方法和目的性限缩一样也是解决文义与目的冲突的产物,只不过它是通过扩张的方式使法律规范的适用范围与其立法目的相一致。

采用这种方法的主要原因是与立法意图的要求相对照,法律规定的文义太过于具体化,以至于不能包含法律目的欲调整的内容,为贯彻法律的目的就必须将其适用范围予以扩张,扩大其适用的对象。

注释:

①梁慧星.民法解释学[M].中国政法大学出版社,1995.

②孔祥俊.法学方法论第三卷.人民法院出版社,2006:1426.

③参见Larenz,aaO.S.360f.

④参见Dahm,aaO.S.49

⑤[美]E.博登海默.法理学. 法哲学与法律方法[M].邓正来译 ,北京:中国政法大学出版社,1999:494.

⑥孔祥俊.法学方法论第三卷[M].北京:人民法院出版社,2006:1467.

⑦杨仁寿.法学方法论[M].北京:中国政法大学出版社,1999.

法律文件执行漏洞不可小视 篇3

表现一：口头承诺和实际签署文件不一致

这在创业公司中非常普遍。在就融资展开的尽职调查进行过程中，投资人及律师经常发现，创始人说的东西得不到文件的支持，或者和书面文件不完全一致；另常有员工反映，公司或创始人承诺了很多，但这些承诺并未落实到书面文件上。

以上两种情况导致的结果是，投资人或员工对创始人的诚信提出了质疑。事实上，笔者并不赞同任何约定均写入书面文件，这也不现实，但重大事项比如股权结构、期权奖励等，最好还是以书面形式说清楚，和公开登记不一致的话，也需要有个合理的解释。

表现二：不区分重大合同和日常文件

对于早期创业公司来说，聘请专业的法务或外部律师，可能过于奢侈。因此，在法律问题上，目前它们基本仍停留在“百度搜合同范本”的状态。

法律文件分为对公司会产生重大深远影响的合同和只是在短期内履行的合同，前者的代表是投资合同、知识产权授权合同，后者的代表是采购合同、租赁合同。笔者的建议是，重大合同，即今后长期生效且涉及金额巨大的合同，尽量交由专业人士处理，否则后面付出的代价将非常高昂。

以笔者接触过的一些B轮、C轮项目为例，尽管它们业务做得很好，但因为天使轮、A轮的投资协议陷阱较多，而投资人并不让步，创始团队非常被动，这有时会影响到后续融资；对于较为标准化的交易，如果已形成一些行业惯例，只要找到相对有口碑的供应商、服务商，发生纠纷的概率并不大，仅需在付款时间、质量、违约责任上尽量约定清楚即可，并不一定要专业人士介入。

表现三：法律文件重签订、不重履行

不少创业公司为能拿下业务，在与合作方签合同时，往往会答应对方提出的各种条件，但后期并不认真履行，有的则只注重结果、不注重过程，有的连结果都不够重视。这将导致合作方此后不愿合作或提出苛刻条件，比如必须预付大部分费用甚至全款才行。潜在投资人则担心合同的未能如约履行或将在未来给公司造成损失，因此会压低估值，或在投资协议中对创始人提出非常苛刻的要求。

表现四：法律文件管理混乱

公司正式签署过的合同、履行中的相关书面凭证（如对方或第三方的确认），都是非常重要的文件，但有些公司对此重视不够，并没有进行统一汇总管理，而是由经办人分别保管，一旦发生人事变更，很容易出现找不到合同原件、付款凭证、对方确认邮件的情况。

另需提醒的是，与合作方就重大事项的讨论，若仅通过即时通讯工具（如QQ、微信）完成而无邮件确认，一旦聊天记录因技术原因丢失，合同履行情况将无法证明。

企业要想做大，需汇集各种资源，尤其是钱和人，而法律文件是钱和人引入公司前的必需，创始人对此既要有思想上的重视，也要有制度上的安排。