位置：首頁 > 資訊 > 其他>關于強化網(wǎng)絡安全漏洞管理的提案

關于強化網(wǎng)絡安全漏洞管理的提案

發(fā)布時間：2020-09-17

欄目：其他

帝國cms文章批量更新助手織夢cms內(nèi)容文章批量更新助手 SDCMS文章批量更新助手

　　全國政協(xié)委員集中展示、360集團董事長兼CEO周鴻祎

　　漏洞是網(wǎng)絡安全的“命門”實力增強。軟硬件系統(tǒng)漏洞使得攻擊者可以利用漏洞竊取信息或者控制、破壞目標系統(tǒng)共享，從而引發(fā)各種網(wǎng)絡安全問題網(wǎng)站安全查詢工具信息化。例如，2010年伊朗核設施遭受“震網(wǎng)病毒”攻擊生動，2016年美國東海岸大面積斷網(wǎng)事件新型儲能，以及2017年肆虐全球的“WannaCry”勒索病毒事件，都是由于網(wǎng)絡安全漏洞引發(fā)的新品技。

　　更值得注意的是範圍，網(wǎng)絡是一個整體，任何一個單位紮實做、任何一個系統(tǒng)存在漏洞空間廣闊，都會成為犯罪分子和敵對勢力攻擊的跳板，成為整個網(wǎng)絡的薄弱環(huán)節(jié)提供深度撮合服務。作為中國最大的網(wǎng)絡安全公司服務品質，360集團一年新發(fā)現(xiàn)的網(wǎng)絡安全漏洞就超過8萬個。從我國情況看事關全面，網(wǎng)絡安全漏洞管理方面存在以下問題：

　　1、對漏洞不重視狀態、修復不及時現(xiàn)象普遍存在技術節能。據(jù)360補天漏洞響應平臺統(tǒng)計，25.6%的漏洞未進行修復廣泛認同，一些行業(yè)漏洞平均修復時間長達數(shù)月之久國際要求。去年5月12日“WannaCry”勒索病毒事件爆發(fā)，其實微軟公司早在3月份就已發(fā)布了相應安全漏洞補丁鍛造，但我國很多單位卻一直沒有打補丁競爭激烈，導致近30萬臺主機和電腦被感染。直到今天改善，360公司還能監(jiān)測到我國每天仍有近千臺電腦感染此勒索病毒空白區。

　　2、缺少具體的漏洞修復管理細則和處罰機制信息化⌒蝿?！毒W(wǎng)絡安全法》已經(jīng)正式實施，規(guī)定了網(wǎng)絡運營者的安全義務以及相應的追責。但對網(wǎng)絡安全漏洞管理還沒有執(zhí)行細則約定管轄。如貢獻力量，對于安全漏洞的修復時間等還缺少具體規(guī)定，導致很多單位修復周期過長大幅拓展，有時長達數(shù)周甚至數(shù)月發行速度，給攻擊者留下機會。此外與時俱進，缺少嚴格的監(jiān)督執(zhí)行和處罰機制性能，對未及時修復安全漏洞的單位無法及時發(fā)現(xiàn)和予以處罰。

　　為強化網(wǎng)絡安全漏洞管理實施體系，降低被攻擊風險組建，提高我國網(wǎng)絡安全防護能力，建議：

　　一效果較好、建立漏洞管理全流程監(jiān)督處罰制度

　　盡快制定覆蓋網(wǎng)絡安全漏洞發(fā)現(xiàn)重要的意義、審核、披露等多個領域、通報再獲、修復、追責等全流程的管理細則應用擴展，強制要求漏洞必須及時修復體驗區，對漏洞修復時間以及違規(guī)處罰措施予以明確規(guī)定。此外活動上，應建立監(jiān)督檢查機制和力量有望，及時發(fā)現(xiàn)未及時修復漏洞的行為，并追究相關單位和責任人責任導向作用。

　　二方案、強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測

　　對涉及國計民生、國家關鍵信息基礎設施的重大信息系統(tǒng)工程和項目十大行動，一方面在其上線運行或交付使用之前左右，應強制要求進行網(wǎng)絡安全漏洞的自檢和備案，尤其應加強源代碼層面的安全缺陷和漏洞檢測綜合措施。另一方面可靠保障，國家網(wǎng)絡安全主管部門應對上線系統(tǒng)進行抽檢，發(fā)現(xiàn)問題及時整改設計標準。同時開展，應引導和鼓勵軟硬件系統(tǒng)開發(fā)企業(yè)加強安全開發(fā)規(guī)范和流程，盡量在源頭避免網(wǎng)絡安全漏洞的出現(xiàn)發揮重要帶動作用。

　　三用上了、強制召回存在重大網(wǎng)絡安全漏洞產(chǎn)品

　　對存在嚴重網(wǎng)絡安全漏洞網(wǎng)站安全查詢器提升行動，可能導致大規(guī)模用戶隱私泄露、人身傷害或者影響民生服務關註、關鍵基礎設施正常運行的軟硬件產(chǎn)品研究進展，尤其是物聯(lián)網(wǎng)、智能汽車等產(chǎn)品連日來，應借鑒汽車行業(yè)的做法快速融入，對存在重大網(wǎng)絡安全漏洞產(chǎn)品的實施強制召回，避免造成更大的損失系統。

網(wǎng)站安全性查詢軟件

　　四增強、鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞

　　網(wǎng)絡安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性，需要集合民間智慧交流等。建議借鑒美國在安全漏洞收集和挖掘方面的做法更加廣闊。一方面網(wǎng)站安全性查詢軟件，加強政企單位與專業(yè)網(wǎng)絡安全企業(yè)的深度合作提高，充分利用網(wǎng)絡安全企業(yè)的漏洞挖掘能力和情報優(yōu)勢可以使用，幫助政企單位及早發(fā)現(xiàn)和修復漏洞。另一方面紮實，在安全可控的前提下效高化，鼓勵政企單位采用眾測眾包方式，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞投入力度，提高網(wǎng)絡安全整體防護能力創造。