《中國互聯網協會漏洞信息披露和處置自律公約》簽署

要聞

作者：於傑

本報訊 為進一步規範網絡安全漏洞的信息披露和處置工作，在工業和信息化部的指導下，中國互聯網協會網絡與信息安全工作委員會組織有關單位起草了《中國互聯網協會漏洞信息披露和處置自律公約》（以下簡稱《公約》），並於6月19日組織烏雲、補天、漏洞盒子等民間漏洞平台，重要行業部門，基礎電信企業，軟硬件廠商，網絡安全企業與國家計算機網絡應急技術處理協調中心（CNCERT）等32家單位舉行了簽約儀式。

隨著互聯網的迅速發展和普及，網絡安全事件日益增多，其中信息係統存在高危漏洞已經成為誘發網絡安全事件的重要因素。根據國家信息安全漏洞共享平台（CNVD）收錄的情況，近三年來新增通用軟硬件漏洞的數量年均增長20%左右，漏洞數量呈現快速增長趨勢。關鍵基礎設施和重要信息係統存在漏洞會帶來極大的安全隱患，一旦被黑客利用，不僅可能威脅到網絡數據和用戶個人信息的安全，甚至可能會危害整個信息係統的安全運行。

近年來，國內民間漏洞平台開始出現並迅速發展，對於調動社會力量發現漏洞隱患，及時提醒和督促漏洞所屬單位修補漏洞、防範風險，避免漏洞信息地下擴散等具有積極的意義。為充分發揮這些漏洞平台的作用，工業和信息化部指導CNCERT與烏雲、補天、漏洞盒子等民間漏洞平台建立了工作聯係，重點處置涉及黨政機關、重要行業單位的漏洞信息。近三年，CNCERT從各漏洞平台上接收和處置的涉及黨政機關、重要行業單位的漏洞信息超過1.3萬條，及時協助相關單位排除了安全隱患。但民間漏洞平台在發揮積極作用的同時，在漏洞披露方麵也帶來一些問題，如披露漏洞之前未及時通知涉事單位、披露信息過於詳細易被黑客組織利用、漏洞信息描述不準確或漏洞披露信息誇大造成社會恐慌等，對漏洞信息的披露亟待進一步規範。另外，對漏洞的處置也有待各方共同努力，提高應急響應和處置效率，降低漏洞對黨政機關、行業單位和用戶造成的危害和經濟損失。

公約簽訂是首次以行業自律的方式規範漏洞信息的接收、處置和發布工作。公約規定了CNCERT、漏洞報告平台以及軟硬件生產廠商、信息係統管理方在漏洞披露和處置方麵的責任和自律條款，提出漏洞信息披露的“客觀、適時、適度”三原則，並要求各方加強協同配合，積極做好漏洞的驗證、評估、修複和用戶的主動響應工作。公約強調要遵守國家政策法規和政府主管部門規定，重點做好涉及政府和重要信息係統部門的漏洞披露和處置工作，同時也要積極保障用戶的漏洞知情權和安全利益。（於傑）