筑牢“防火墻” 網絡安全領域再出新規

科技社會日益發展，信息互聯網連接萬物，人們的生產生活方式已與網絡深度聯結。近年來，信息化發展戰略、國家大數據戰略等頻密部署，數字產業化飛速發展。為規范網絡產品安全漏洞收集平臺備案管理，近日，工業和信息化部印發《網絡產品安全漏洞收集平臺備案管理辦法》(下稱《辦法》)。

我國網絡安全政策法規體系不斷健全，網絡安全保障體系和能力建設加快推進。多位專家在接受人民網財經采訪時表示，網絡空間已經成為大國博弈的戰場，對關鍵基礎設施提出新挑戰、新課題。因此，確保網絡信息安全和網絡法治化就成為建設網絡強國的前提條件，要以法治化與標準化夯實網絡安全治理基石。

安全漏洞種類多樣 收集平臺需加強管理

網絡安全漏洞與信息化進程相伴而生。國家信息安全漏洞共享平臺顯示，常見網絡產品安全漏洞有SQL注入漏洞、跨站腳本漏洞、弱口令漏洞、HTTP報頭追蹤漏洞等十一種類型。有報告顯示，2021年，網絡安全漏洞數量和網絡攻擊數量均有增長，其中，Web應用漏洞由于其自身公開屬性，是主要的網絡安全漏洞。

面對類型繁多的網絡產品安全漏洞，近年來，不少專業機構、企業和社會組織等建立了從事漏洞發現和收集的漏洞收集平臺。中國人民大學信息學院副教授李彤介紹，漏洞收集主要面向如QQ、微信、美團、滴滴這樣的軟件平臺和手機、平板、物聯網設備等這類硬件平臺。這些平臺會收集由個人或組織披露的安全漏洞，對其進行分級，并通知軟硬件提供商及時修復漏洞，最大程度避免可能的損失。

《辦法》規定，擬設立漏洞收集平臺的組織或個人，應當通過工業和信息化部網絡安全威脅和漏洞信息共享平臺如實填報網絡產品安全漏洞收集平臺備案登記信息。《辦法》自2023年1月1日起施行。

李彤認為，對收集平臺進行備案管理，是我國網絡安全漏洞收集平臺法規層面的里程碑，它能夠有效防范部分漏洞收集平臺在實際工作中出現的內部運營不規范、擅自發布漏洞、漏洞濫用等風險。

《辦法》公布備案登記項目 信息產業和消費者均受益

在網絡產品安全漏洞領域，工信部、國家互聯網信息辦公室、公安部曾于2021年7月12日聯合印發《網絡產品安全漏洞管理規定》，明確了網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體，對網絡產品提供者提出了漏洞報送的具體時限要求，以及對產品用戶提供技術支持的義務。這是我國首次從產品視角管理網絡產品安全漏洞。

近日公布的《網絡產品安全漏洞收集平臺備案管理辦法》則對《規定》當中提到的收集平臺備案登記信息作了更加細致的解釋。《辦法》第四條提出，網絡產品安全漏洞收集平臺的備案登記項目包括漏洞收集平臺的互聯網信息服務(ICP)許可、主辦單位名稱、漏洞驗證評估規則等六項信息。

李彤認為，《辦法》的出臺對維護我國網絡安全有重大意義，漏洞披露不是兒戲，備案環節能夠防止假冒平臺濫用漏洞，造成隱私數據泄露等不良后果。平臺數據敏感度高，在有效的監管體系下，有利于發揮平臺的正面效果，為互聯網信息產業和消費者提供優質服務。對企業來說，平臺備案也可以間接地提升網站的搜索引擎收錄率，幫助平臺企業擴大自身影響力。

健全完善政策法規 加快推進網絡安全頂層設計

網絡法治化是保護網民合法權益和網絡經濟發展的應有之義，也是維護國家網絡主權和國防安全的必要條件。

今年6月1日，我國網絡安全法正式施行五周年。這部我國網絡安全領域的基礎性法律，對保護個人信息、治理網絡詐騙等方面作出明確規定，成為我國網絡空間法治化建設的重要里程碑。

在網絡安全法實施之后，我國相繼頒布《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規，出臺《網絡安全審查辦法》《云計算服務安全評估辦法》等政策文件，建立網絡安全審查、云計算服務安全評估、數據安全管理、個人信息保護等一批重要制度，制定發布300余項網絡安全領域國家標準，基本構建起網絡安全政策法規體系的“四梁八柱”。

“一系列配套法規及相關實施標準的出臺，形成了有中國特色的法律體系，對維護國家安全、網絡主權，保護公民權利，促進數據流動應用及經濟發展都起到了重要作用。”中國人民大學法學院教授張新寶在采訪中表示。

未來，新的安全時代正在到來。居家辦公、遠程學習推動網絡環境開放、防護邊界擴張，帶來各類新安全風險；5G商用推進工業互聯網發展，企業內外網關聯增加了工業互聯網安全風險；智慧城市、物聯網和車聯網在開啟萬物互聯的同時，城市安全越來越受重視……與新應用、新業態伴生的法律規范調整與完善將一直在路上。