新聞源 財富源

2024年11月27日 星期三

財經 > 滾動新聞 > 正文

字號:  

《中國網際網路協會漏洞資訊披露和處置自律公約》在京簽署

  • 發佈時間:2015-06-19 18:30:20  來源:工信部網站  作者:佚名  責任編輯:羅伯特

  為進一步規範網路安全漏洞的資訊披露和處置工作,在工業和資訊化部的指導下,中國網際網路協會網路與資訊安全工作委員會組織有關單位起草了《中國網際網路協會漏洞資訊披露和處置自律公約》(以下簡稱公約),並於6月19日組織烏雲、補天、漏洞盒子等民間漏洞平臺、重要行業部門、基礎電信企業、軟硬體廠商、網路安全企業與國家電腦網路應急技術處理協調中心(CNCERT)等32家單位舉行了簽約儀式。

  隨著網際網路的迅速發展和普及,網路安全事件日益增多,其中資訊系統存在高危漏洞已經成為誘發網路安全事件的重要因素。根據國家資訊安全漏洞共用平臺(CNVD)收錄的情況,近三年來新增通用軟硬體漏洞的數量年均增長20%左右,漏洞數量呈現快速增長趨勢。關鍵基礎設施和重要資訊系統存在漏洞會帶來極大的安全隱患,一旦被駭客利用,不僅可能威脅到網路數據和用戶個人資訊的安全,甚至可能會危害整個資訊系統的安全運作。

  近年來,國內民間漏洞平臺開始出現並迅速發展,對於調動社會力量發現漏洞隱患,及時提醒和督促漏洞所屬單位修補漏洞、防範風險,避免漏洞資訊地下擴散等具有積極的意義。為充分發揮這些漏洞平臺的作用,工業和資訊化部指導CNCERT與烏雲、補天、漏洞盒子等民間漏洞平臺建立了工作聯繫,重點處置涉及黨政機關、重要行業單位的漏洞資訊。近三年,CNCERT從各漏洞平臺上接收和處置的涉及黨政機關、重要行業單位漏洞資訊超過1.3萬起,及時協助相關單位排除了安全隱患。但民間漏洞平臺在發揮積極作用的同時,在漏洞披露方面也帶來一些問題,披露漏洞之前未及時通知涉事單位、披露資訊過於詳細易被駭客組織利用、漏洞資訊描述不準確或漏洞披露資訊誇大造成社會恐慌等等,對漏洞資訊的披露亟待進一步規範。另外,對漏洞的處置也有待各方共同努力,提高應急響應和處置效率,降低漏洞對黨政機關、行業單位和用戶造成的威脅和經濟損失。

  公約簽訂是首次以行業自律的方式規範漏洞資訊的接收、處置和發佈工作。公約規定了CNCERT、漏洞報告平臺以及軟硬體生産廠商、資訊系統管理方在漏洞披露和處置方面的責任和自律條款,提出漏洞資訊披露的“客觀、適時、適度”三原則,並要求各方加強協同配合,積極做好漏洞的驗證、評估、修復和用戶的主動響應工作。公約強調要遵守國家政策法規和政府主管部門規定,重點做好涉及政府和重要資訊系統部門的漏洞披露和處置工作,同時也要積極保障用戶的漏洞知情權和安全利益。

  工業和資訊化部、人力資源和社會保障部、水利部、銀監會、證監會、國家能源局等有關單位以及銀行、電信運營商、非經營性互聯單位、民間漏洞報告平臺、網際網路企業、安全企業、軟硬體廠商等近40家單位出席本次簽約儀式。

熱圖一覽

  • 股票名稱 最新價 漲跌幅