Bl00dy 勒索軟件團伙襲擊教育部門，存在嚴重的剪紙漏洞

明確各級網絡安全責任人。充分利用云原生技術，推進以微服務模式提供各類安全能力組件接口，推進數字電網安全“中樞”所有專業功能組件分層解耦和接口標準化，建立開放生態，支持后續功能疊加演進。增強產品服務供應鏈入網安全。提升已入網產品、服務供應鏈應急能力。實戰化錘煉網絡安全隊伍，加強應急指揮與處置能力。

網絡安全漏洞(以下簡稱“漏洞”)作為信息通信網絡中在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，隨著經濟社會信息化、網絡化、數字化和智能化程度的加深，對國家網絡安全的影響也日益加劇。世界各主要國家和組織為了切實提升國家網絡安全防護能力，圍繞漏洞的研究、收集和利用，紛紛建立國家級漏洞通報平臺或漏洞數據庫。日本于2003年開始建設“日本漏洞通報”(JVN)平臺；美國于 2005 年開始建設“

利用網絡安全漏洞實施攻擊的安全事件頻發，使網絡安全漏洞治理成為保障國家網絡安全的重要議程。當前，囿于在漏洞評級指標、漏洞披露政策以及“白帽子”法律責任層面缺乏整體性考量，我國網絡安全漏洞治理框架亟待面向“合作主義”轉型。為此，需通過行政與司法的合作明晰“白帽子”法律責任的邊界，通過行政部門之間的合作搭建網絡安全漏洞協同機制，通過行政與公眾的合作拓寬社會公眾參與漏洞治理的渠道，協力共筑網絡安全漏洞治

網絡安全漏洞披露已成為網絡安全風險控制的中心環節。不規范或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯法律規定的灰色地帶。實踐中網絡安全漏洞披露表現為不披露、完全披露、負責任披露和協同披露等類型。美國從法律和政策層面分別構建網絡安全漏洞披露規則，并根據形勢不斷進行調整，規則設計呈現從負責任披露到協同披露的變化趨勢，國家層面統一的網絡安全漏洞披露協調和決策機制也在進一步完善中。我國現行立法從產品

本文是在CNVD數據基礎上，針對網絡安全產品安全漏洞分布的統計分析，不包含非安全類信息系統，以上請讀者悉知。數說安全根據CNVD公開數據整理 下面是2010年至今，CNVD披露的漏洞信息中，最受關注的20個高危漏洞，其中國外產品占據8個，國內產品占據12個。數說安全根據CNVD公開數據整理 來源：數說安全

對企業而言，資產清單必須經常更新，并作為活躍文檔加以維護。根據漏洞的嚴重程度、影響范圍和可能性，對漏洞進行分類和排序。漏洞修復計劃應該包括漏洞修復的時間表、責任人和所需資源。報告既需要包括已修復的漏洞信息，包括檢測到的漏洞、嚴重程度、完成的補救工作以及確認成功解決等；還應該顯示未解決的漏洞，以及未解決的具體原因和下一步計劃。因此，企業要創建定期漏洞掃描計劃，以便持續監控和快速修復漏洞。

網絡安全基礎設施和安全局周二為聯邦民事機構推出了兩本手冊，用于規劃和實施網絡安全漏洞和事件響應。

具體來說，HARDEN將通過破壞攻擊者使用的持久的漏洞可利用模式，并剝奪攻擊者的“緊急執行引擎”，來防止其對集成系統的利用。HARDEN分析和工具將破壞UEFI架構所有抽象層上EE行為的可組合性，以防御最新的威脅并預測未來的威脅。SOSA是由空軍生命周期管理中心提出的，具有廣泛的行業參與其中。SOSA關注的重點領域是對傳感器系統的啟動過程進行建模和驗證，以確保系統在傳感器投入運行之前的完整性。

當今世界正處于百年未有之大變局，國際形勢風云變幻，推動全球治理體系深刻變革，網絡空間治理作為全球治理的全新命題和重要領域，關系著全人類的命運。