為進(jìn)一步規(guī)范網(wǎng)絡(luò)安全漏洞的信息披露和處置工作�,在工業(yè)和信息化部的指導(dǎo)下���,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)組織有關(guān)單位起草了《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》(以下簡(jiǎn)稱公約)���,并于6月19日組織烏云、補(bǔ)天���、漏洞盒子等民間漏洞平臺(tái)�����、重要行業(yè)部門�����、基礎(chǔ)電信企業(yè)���、軟硬件廠商、網(wǎng)絡(luò)安全企業(yè)與國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)等32家單位舉行了簽約儀式���。
隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及�,網(wǎng)絡(luò)安全事件日益增多�,其中信息系統(tǒng)存在高危漏洞已經(jīng)成為誘發(fā)網(wǎng)絡(luò)安全事件的重要因素。根據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的情況���,近三年來(lái)新增通用軟硬件漏洞的數(shù)量年均增長(zhǎng)20%左右����,漏洞數(shù)量呈現(xiàn)快速增長(zhǎng)趨勢(shì)���。關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)存在漏洞會(huì)帶來(lái)極大的安全隱患���,一旦被黑客利用�����,不僅可能威脅到網(wǎng)絡(luò)數(shù)據(jù)和用戶個(gè)人信息的安全����,甚至可能會(huì)危害整個(gè)信息系統(tǒng)的安全運(yùn)行���。
近年來(lái)��,國(guó)內(nèi)民間漏洞平臺(tái)開(kāi)始出現(xiàn)并迅速發(fā)展���,對(duì)于調(diào)動(dòng)社會(huì)力量發(fā)現(xiàn)漏洞隱患,及時(shí)提醒和督促漏洞所屬單位修補(bǔ)漏洞����、防范風(fēng)險(xiǎn),避免漏洞信息地下擴(kuò)散等具有積極的意義����。為充分發(fā)揮這些漏洞平臺(tái)的作用,工業(yè)和信息化部指導(dǎo)CNCERT與烏云、補(bǔ)天����、漏洞盒子等民間漏洞平臺(tái)建立了工作聯(lián)系,重點(diǎn)處置涉及黨政機(jī)關(guān)����、重要行業(yè)單位的漏洞信息��。近三年��,CNCERT從各漏洞平臺(tái)上接收和處置的涉及黨政機(jī)關(guān)�����、重要行業(yè)單位漏洞信息超過(guò)1.3萬(wàn)起����,及時(shí)協(xié)助相關(guān)單位排除了安全隱患。但民間漏洞平臺(tái)在發(fā)揮積極作用的同時(shí)�,在漏洞披露方面也帶來(lái)一些問(wèn)題,披露漏洞之前未及時(shí)通知涉事單位���、披露信息過(guò)于詳細(xì)易被黑客組織利用�、漏洞信息描述不準(zhǔn)確或漏洞披露信息夸大造成社會(huì)恐慌等等,對(duì)漏洞信息的披露亟待進(jìn)一步規(guī)范�。另外,對(duì)漏洞的處置也有待各方共同努力���,提高應(yīng)急響應(yīng)和處置效率����,降低漏洞對(duì)黨政機(jī)關(guān)��、行業(yè)單位和用戶造成的威脅和經(jīng)濟(jì)損失�����。
公約簽訂是首次以行業(yè)自律的方式規(guī)范漏洞信息的接收����、處置和發(fā)布工作。公約規(guī)定了CNCERT����、漏洞報(bào)告平臺(tái)以及軟硬件生產(chǎn)廠商、信息系統(tǒng)管理方在漏洞披露和處置方面的責(zé)任和自律條款�����,提出漏洞信息披露的“客觀、適時(shí)�����、適度”三原則���,并要求各方加強(qiáng)協(xié)同配合��,積極做好漏洞的驗(yàn)證、評(píng)估��、修復(fù)和用戶的主動(dòng)響應(yīng)工作�����。公約強(qiáng)調(diào)要遵守國(guó)家政策法規(guī)和政府主管部門規(guī)定����,重點(diǎn)做好涉及政府和重要信息系統(tǒng)部門的漏洞披露和處置工作,同時(shí)也要積極保障用戶的漏洞知情權(quán)和安全利益�。
工業(yè)和信息化部、人力資源和社會(huì)保障部�����、水利部、銀監(jiān)會(huì)��、證監(jiān)會(huì)����、國(guó)家能源局等有關(guān)單位以及銀行、電信運(yùn)營(yíng)商���、非經(jīng)營(yíng)性互聯(lián)單位����、民間漏洞報(bào)告平臺(tái)���、互聯(lián)網(wǎng)企業(yè)��、安全企業(yè)�����、軟硬件廠商等近40家單位出席本次簽約儀式����。
