科技社会日益发展,信息互联网连接万物,人们的生产生活方式已与网络深度联结。近年来,信息化发展战略、国家大数据战略等频密部署,数字产业化飞速发展。为规范网络产品安全漏洞收集平台备案管理,近日,工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》(下称《办法》)。

我国网络安全政策法规体系不断健全,网络安全保障体系和能力建设加快推进。多位专家在接受人民网财经采访时表示,网络空间已经成为大国博弈的战场,对关键基础设施提出新挑战、新课题。因此,确保网络信息安全和网络法治化就成为建设网络强国的前提条件,要以法治化与标准化夯实网络安全治理基石。

安全漏洞种类多样 收集平台需加强管理

网络安全漏洞与信息化进程相伴而生。国家信息安全漏洞共享平台显示,常见网络产品安全漏洞有SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞等十一种类型。有报告显示,2021年,网络安全漏洞数量和网络攻击数量均有增长,其中,Web应用漏洞由于其自身公开属性,是主要的网络安全漏洞。

面对类型繁多的网络产品安全漏洞,近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台。中国人民大学信息学院副教授李彤介绍,漏洞收集主要面向如QQ、微信、美团、滴滴这样的软件平台和手机、平板、物联网设备等这类硬件平台。这些平台会收集由个人或组织披露的安全漏洞,对其进行分级,并通知软硬件提供商及时修复漏洞,最大程度避免可能的损失。

《办法》规定,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。《办法》自2023年1月1日起施行。

李彤认为,对收集平台进行备案管理,是我国网络安全漏洞收集平台法规层面的里程碑,它能够有效防范部分漏洞收集平台在实际工作中出现的内部运营不规范、擅自发布漏洞、漏洞滥用等风险。

《办法》公布备案登记项目 信息产业和消费者均受益

在网络产品安全漏洞领域,工信部、国家互联网信息办公室、公安部曾于2021年7月12日联合印发《网络产品安全漏洞管理规定》,明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。这是我国首次从产品视角管理网络产品安全漏洞。

近日公布的《网络产品安全漏洞收集平台备案管理办法》则对《规定》当中提到的收集平台备案登记信息作了更加细致的解释。《办法》第四条提出,网络产品安全漏洞收集平台的备案登记项目包括漏洞收集平台的互联网信息服务(ICP)许可、主办单位名称、漏洞验证评估规则等六项信息。

李彤认为,《办法》的出台对维护我国网络安全有重大意义,漏洞披露不是儿戏,备案环节能够防止假冒平台滥用漏洞,造成隐私数据泄露等不良后果。平台数据敏感度高,在有效的监管体系下,有利于发挥平台的正面效果,为互联网信息产业和消费者提供优质服务。对企业来说,平台备案也可以间接地提升网站的搜索引擎收录率,帮助平台企业扩大自身影响力。

健全完善政策法规 加快推进网络安全顶层设计

网络法治化是保护网民合法权益和网络经济发展的应有之义,也是维护国家网络主权和国防安全的必要条件。

今年6月1日,我国网络安全法正式施行五周年。这部我国网络安全领域的基础性法律,对保护个人信息、治理网络诈骗等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。

在网络安全法实施之后,我国相继颁布《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,出台《网络安全审查办法》《云计算服务安全评估办法》等政策文件,建立网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一批重要制度,制定发布300余项网络安全领域国家标准,基本构建起网络安全政策法规体系的“四梁八柱”。

“一系列配套法规及相关实施标准的出台,形成了有中国特色的法律体系,对维护国家安全、网络主权,保护公民权利,促进数据流动应用及经济发展都起到了重要作用。”中国人民大学法学院教授张新宝在采访中表示。

未来,新的安全时代正在到来。居家办公、远程学习推动网络环境开放、防护边界扩张,带来各类新安全风险;5G商用推进工业互联网发展,企业内外网关联增加了工业互联网安全风险;智慧城市、物联网和车联网在开启万物互联的同时,城市安全越来越受重视……与新应用、新业态伴生的法律规范调整与完善将一直在路上。