《中国互联网协会漏洞信息披露和处置自律公约》在京签署

25.06.2015  11:51

    为进一步规范网络安全漏洞的信息披露和处置工作,在工业和信息化部的指导下,中国互联网协会网络与信息安全工作委员会组织有关单位起草了《中国互联网协会漏洞信息披露和处置自律公约》(以下简称公约),并于6月19日组织乌云、补天、漏洞盒子等民间漏洞平台、重要行业部门、基础电信企业、软硬件厂商、网络安全企业与国家计算机网络应急技术处理协调中心(CNCERT)等32家单位举行了签约仪式。

  随着互联网的迅速发展和普及,网络安全事件日益增多,其中信息系统存在高危漏洞已经成为诱发网络安全事件的重要因素。根据国家信息安全漏洞共享平台(CNVD)收录的情况,近三年来新增通用软硬件漏洞的数量年均增长20%左右,漏洞数量呈现快速增长趋势。关键基础设施和重要信息系统存在漏洞会带来极大的安全隐患,一旦被黑客利用,不仅可能威胁到网络数据和用户个人信息的安全,甚至可能会危害整个信息系统的安全运行。

  近年来,国内民间漏洞平台开始出现并迅速发展,对于调动社会力量发现漏洞隐患,及时提醒和督促漏洞所属单位修补漏洞、防范风险,避免漏洞信息地下扩散等具有积极的意义。为充分发挥这些漏洞平台的作用,工业和信息化部指导CNCERT与乌云、补天、漏洞盒子等民间漏洞平台建立了工作联系,重点处置涉及党政机关、重要行业单位的漏洞信息。近三年,CNCERT从各漏洞平台上接收和处置的涉及党政机关、重要行业单位漏洞信息超过1.3万起,及时协助相关单位排除了安全隐患。但民间漏洞平台在发挥积极作用的同时,在漏洞披露方面也带来一些问题,披露漏洞之前未及时通知涉事单位、披露信息过于详细易被黑客组织利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等等,对漏洞信息的披露亟待进一步规范。另外,对漏洞的处置也有待各方共同努力,提高应急响应和处置效率,降低漏洞对党政机关、行业单位和用户造成的威胁和经济损失。

  公约签订是首次以行业自律的方式规范漏洞信息的接收、处置和发布工作。公约规定了CNCERT、漏洞报告平台以及软硬件生产厂商、信息系统管理方在漏洞披露和处置方面的责任和自律条款,提出漏洞信息披露的“客观、适时、适度”三原则,并要求各方加强协同配合,积极做好漏洞的验证、评估、修复和用户的主动响应工作。公约强调要遵守国家政策法规和政府主管部门规定,重点做好涉及政府和重要信息系统部门的漏洞披露和处置工作,同时也要积极保障用户的漏洞知情权和安全利益。

  工业和信息化部、人力资源和社会保障部、水利部、银监会、证监会、国家能源局等有关单位以及银行、电信运营商、非经营性互联单位、民间漏洞报告平台、互联网企业、安全企业、软硬件厂商等近40家单位出席本次签约仪式。