中国青年网

新闻

首页 >> 2018全国两会原创 >> 正文

全国政协委员周鸿祎:建议建立漏洞管理全流程监督处罚制度

发稿时间:2018-03-05 15:18:00 来源: 中国青年网

全国政协委员、360集团董事长兼CEO周鸿祎。资料图

  中国青年网北京3月5日电(记者 邹畅)漏洞是网络安全的“命门”。2017年肆虐全球的“WannaCry”勒索病毒事件至今让人记忆犹新。全国政协委员、360集团董事长兼CEO周鸿祎4日指出,360集团一年新发现的网络安全漏洞就超8万个。网络安全漏洞管理是周鸿祎今年全国两会重点关注的话题之一,针对我国现有情况,他建议,应建立漏洞管理全流程监督处罚制度,强制执行重要信息系统上线前漏洞检测。

  网络安全漏洞管理方面存在问题

  一方面,对漏洞不重视、修复不及时现象普遍存在。据360补天漏洞响应平台统计,25.6%的漏洞未进行修复,一些行业漏洞平均修复时间长达数月之久。去年5月12日“WannaCry”勒索病毒事件爆发,其实微软公司早在3月份就已发布了相应安全漏洞补丁,但我国很多单位却一直没有“打补丁”,这导致了近30万台主机和电脑被感染。直到今天,360公司还能监测到我国每天仍有近千台电脑感染此勒索病毒。

  另一方面,缺少具体的漏洞修复管理细则和处罚机制。《中华人民共和国网络安全法》已经正式实施,规定了网络运营者的安全义务以及相应的追责。但对网络安全漏洞管理还没有执行细则。如,对于安全漏洞的修复时间等还缺少具体规定,导致很多单位修复周期过长,有时长达数周甚至数月,给攻击者留下机会。此外,缺少严格的监督执行和处罚机制,对未及时修复安全漏洞的单位无法及时发现和予以处罚。

  强化网络安全漏洞管理 提高国家网络安全防护能力

  针对上述问题,周鸿祎提出以下几点建议:

  1.建立漏洞管理全流程监督处罚制度。尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。

  2.强制执行重要信息系统上线前漏洞检测。对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测;另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。

  3.强制召回存在重大网络安全漏洞产品。对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。

  4.鼓励政企单位采用众测众包方式发现和收集漏洞。网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。建议借鉴美国在安全漏洞收集和挖掘方面的做法。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。

责任编辑:刘芊芊
版权声明:凡本网文章下标注有版权声明的均为中国青年网合法拥有版权或有权使用的作品,未经本网授权不得使用。违者本网将依法追究法律责任。如需授权,点击
 
加载更多新闻

关于我们联系我们广告服务人才招聘中国互联网举报中心 Youth.cn. 请发送qnb至10658000 订阅手机青年报

共青团中央主办 共青团中央网络影视中心承办 版权所有:中国青年网
信息网络传播视听节目许可证0105108号 京|ICP备11020872号-17 京公网安备110105007246