全國政協委員周鴻祎:建議強化網絡安全漏洞管理
在今年全國兩會上,全國政協委員、360集團董事長兼CEO周鴻祎提交了《關于強化網絡安全漏洞管理的提案》。周鴻祎在提案中表示,從我國情況看,網絡安全漏洞管理方面存在對漏洞不重視、修復不及時,缺少具體的漏洞修復管理細則和處罰機制等問題,建議從建立漏洞管理全流程監督處罰制度、強制召回存在重大網絡安全漏洞產品等方面提高我國網絡安全防護能力。
《關于強化網絡安全漏洞管理的提案》全文
漏洞是網絡安全的“命門”。軟硬件系統漏洞使得攻擊者可以利用漏洞竊取信息或者控制、破壞目標系統,從而引發各種網絡安全問題。例如,2010年伊朗核設施遭受“震網病毒”攻擊,2016年美國東海岸大面積斷網事件,以及2017年肆虐全球的“WannaCry”勒索病毒事件,都是由于網絡安全漏洞引發的。
更值得注意的是,網絡是一個整體,任何一個單位、任何一個系統存在漏洞,都會成為犯罪分子和敵對勢力攻擊的跳板,成為整個網絡的薄弱環節。作為中國最大的網絡安全公司,360集團一年新發現的網絡安全漏洞就超過8萬個。從我國情況看,網絡安全漏洞管理方面存在以下問題:
1、對漏洞不重視、修復不及時現象普遍存在。據360補天漏洞響應平臺統計,25.6%的漏洞未進行修復,一些行業漏洞平均修復時間長達數月之久。去年5月12日“WannaCry”勒索病毒事件爆發,其實微軟公司早在3月份就已發布了相應安全漏洞補丁,但我國很多單位卻一直沒有打補丁,導致近30萬臺主機和電腦被感染。直到今天,360公司還能監測到我國每天仍有近千臺電腦感染此勒索病毒。
2、缺少具體的漏洞修復管理細則和處罰機制。《網絡安全法》已經正式實施,規定了網絡運營者的安全義務以及相應的追責。但對網絡安全漏洞管理還沒有執行細則。如,對于安全漏洞的修復時間等還缺少具體規定,導致很多單位修復周期過長,有時長達數周甚至數月,給攻擊者留下機會。此外,缺少嚴格的監督執行和處罰機制,對未及時修復安全漏洞的單位無法及時發現和予以處罰。
為強化網絡安全漏洞管理,降低被攻擊風險,提高我國網絡安全防護能力,建議:
一、建立漏洞管理全流程監督處罰制度
盡快制定覆蓋網絡安全漏洞發現、審核、披露、通報、修復、追責等全流程的管理細則,強制要求漏洞必須及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。此外,應建立監督檢查機制和力量,及時發現未及時修復漏洞的行為,并追究相關單位和責任人責任。
二、強制執行重要信息系統上線前漏洞檢測
對涉及國計民生、國家關鍵信息基礎設施的重大信息系統工程和項目,一方面在其上線運行或交付使用之前,應強制要求進行網絡安全漏洞的自檢和備案,尤其應加強源代碼層面的安全缺陷和漏洞檢測。另一方面,國家網絡安全主管部門應對上線系統進行抽檢,發現問題及時整改。同時,應引導和鼓勵軟硬件系統開發企業加強安全開發規范和流程,盡量在源頭避免網絡安全漏洞的出現。
三、強制召回存在重大網絡安全漏洞產品
對存在嚴重網絡安全漏洞,可能導致大規模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬件產品,尤其是物聯網、智能汽車等產品,應借鑒汽車行業的做法,對存在重大網絡安全漏洞產品的實施強制召回,避免造成更大的損失。
四、鼓勵政企單位采用眾測眾包方式發現和收集漏洞
網絡安全漏洞的挖掘和發現具有一定的偶然性,需要集合民間智慧。建議借鑒美國在安全漏洞收集和挖掘方面的做法。一方面,加強政企單位與專業網絡安全企業的深度合作,充分利用網絡安全企業的漏洞挖掘能力和情報優勢,幫助政企單位及早發現和修復漏洞。另一方面,在安全可控的前提下,鼓勵政企單位采用眾測眾包方式,充分發動民間安全研究力量發現和收集漏洞,提高網絡安全整體防護能力。
來源:中國經濟網
