中国政府采购报社主办 财政部指定政府采购信息发布媒体
当前位置:首页 >>专题 >> 2018年两会报道电子报 >> 防范漏洞 筑起网络安全“护城河”

防范漏洞 筑起网络安全“护城河”

栏目: 2018年两会报道,电子报 时间:2018-03-12 21:54:12 发布:管理员 分享到:
【摘要】

☆两会声音

全国政协委员周鸿祎:

防范漏洞 筑起网络安全“护城河”

■ 本报记者 张明柳

最近两年,数据泄露事件、日益复杂且有针对性的网络攻击事件频频曝出,如何最大限度消除网络漏洞隐患,引发社会各界的广泛关注。全国政协委员、360集团董事长兼CEO周鸿祎认为,破解网络漏洞,需要全民重视,筑起网络安全的“护城河”。

不重视、不敢报给了漏洞可乘之机

网络是一个整体,任何一个单位、任何一个系统存在漏洞,都会成为犯罪分子和敌对势力攻击的跳板,成为整个网络的薄弱环节。周鸿祎更是直言,漏洞是网络安全的命门。360集团一年新发现的网络安全漏洞就超过8万个。

“去年5月12日‘WannaCry’勒索病毒事件爆发,其实微软公司早在3月份就已发布了相应安全漏洞补丁,但我国很多单位却一直没有打补丁,导致近30万台主机和电脑被感染。直到今天,360公司还能监测到我国每天仍有近千台电脑感染此勒索病毒。”周鸿祎说。

在周鸿祎看来,之所以会出现这种现象,首要原因是普通使用者对漏洞不够重视、没有进行及时修复。据360补天漏洞响应平台统计,25.6%的漏洞未进行修复,一些行业漏洞平均修复时间长达数月之久。

普通人是不重视,政企用户则是不敢报。周鸿祎介绍,由于担心承担法律责任,有些政企单位遭受网络攻击后,往往倾向于掩盖和隐瞒。这使得许多网络攻击难以及早发现和防范,有关部门也因此错失了对网络重大攻击追踪溯源和预警通报的有利时机。攻击者可以继续潜伏或实施二次攻击,造成更大危害。

此外,相应处罚机制的缺乏,也给了漏洞更多机会。虽然《网络安全法》去年已经正式实施,这部法律也规定了网络运营者的安全义务以及相应的责任,但是,对网络安全漏洞的管理尚无执行细则,也缺少严格的监督执行和处罚机制。“对于安全漏洞的修复时间等还缺少具体规定,导致很多单位修复周期过长,有时长达数周甚至数月,给攻击者留下机会。” 周鸿祎说。

多措并举鼓励上报漏洞

如何破解上述难题,周鸿祎有“妙招”。他认为,应建立惩罚和鼓励双向机制。

周鸿祎表示,政企单位负有向主管部门主动及时上报网络攻击事件的义务,建议有关部门完善网络安全监管技术手段,加大网络执法力度,对知情不报的相关单位予以严肃查处。同时,要尽快建立漏洞管理全流程监督处罚制度,制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞及时修复,对漏洞修复时间以及违规处罚措施也要有明确规定。

部分政企单位在遭受网络攻击时,既担心单位名誉受损、用户流失、收入下降,又担心受到上级监管部门的严厉处罚。周鸿祎指出,由于计算机系统的天然缺陷,任何网络系统都可能被攻破,这是一个现实问题。因防范措施没有做到位而发生的网络攻击事件应当界定为责任事故并追责,但面对超出当前防御能力的网络攻击,即使所有防护手段都做到位了,系统依然能被攻破,这就需要有责任减免的考量。他还建议政企单位积极选用网络安全企业的监测预警、应急处置、攻击取证服务。在发生网络攻击时,及时向监管部门提供相关证据和解释说明,防止被错判、误判。

强制检测守好最后防线

周鸿祎认为,对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,在上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,还应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。

对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,周鸿祎建议借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。

“网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。” 周鸿祎还建议借鉴一些国家在安全漏洞收集和挖掘方面的做法。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。




本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。

责任编辑:LIZHENG

本文来源:中国政府采购报第745期第4版
欢迎订阅中国政府采购报

我国政府采购领域第一份“中”字头的专业报纸——《中国政府采购报》已于2010年5月7日正式创刊!

《中国政府采购报》由中国财经报社主办,作为财政部指定的政府采购信息发布媒体,服务政府采购改革,支持政府采购事业,推动政府采购发展是国家和时代赋予《中国政府采购报》的重大使命。

《中国政府采购报》的前身是伴随我国政府采购事业一路同行12年的《中国财经报?政府采购周刊》。《中国政府采购报》以专业的水准、丰富的资讯、及时的报道、权威的影响,与您一起把握和感受中国政府采购发展事业的脉搏与动向。

《中国政府采购报》为国际流行对开大报,精美彩色印刷;每周二、周五出版,每期8个版,全年订价276元,每月定价23元,每季定价69元。零售每份3元。可以破月、破季订阅。 可以破月、破季订阅。

欢迎订阅《中国政府采购报》

订阅方式:邮局订阅(请到当地邮局直接订阅)