新型網絡安全漏洞涌現 專家:規範披露行爲 嚴把風險控制中心環節

人民網北京6月4日電 (孫陽)隨着數字經濟時代的來臨,網絡安全成爲保障社會經濟高質量發展的重要前提。同時,5G、AI和工業聯網信息技術的崛起和應用,也讓新型漏洞不斷涌現,網絡安全壓力越來越大。

據統計,2020年我國新增3.5萬條漏洞信息,大量的網絡失泄密案件和信息安全問題均與漏洞存在息息相關,而網絡安全漏洞披露作爲網絡安全風險控制的中心環節,不規範或非法的網絡安全漏洞披露嚴重危害網絡空間整體安全。

對此,中國信通院安全研究所副所長教授級高級工程師覃慶玲在接受人民網採訪時表示,網絡安全漏洞可能被惡意利用實施網絡攻擊,竊取信息或者控制、破壞目標系統,甚至影響國家安全、社會穩定和民衆生活。當前,要規範漏洞披露行爲,嚴把網絡安全風險控制的中心環節。

新型網絡安全漏洞隱藏深、危害大

伴隨着5G、人工智能、雲計算、大數據區塊鏈等新技術發展,例如5G空口協議TCP側信道漏洞、5G網絡切片架構漏洞等新型網絡安全漏洞出現,通常傾向於藏匿在算法、協議、技術框架或新產品中。

同時,萬物互聯模糊了網絡邊界,伴隨大量設備智能化網絡化,車聯網設備、工控系統、智能家居設備中存在新型漏洞,例如智能門鎖藍牙漏洞導致門鎖失效、車聯網設備存在漏洞導致車輛被控制,這些漏洞分佈數量龐大,傾向於藏匿在終端產品組件中。

覃慶玲表示,漏洞是信息技術產品、網絡和信息系統在設計、實現、使用過程中產生的缺陷或弱點,可被惡意利用實施網絡攻擊,竊取信息或者控制、破壞目標系統,甚至影響國家安全、社會穩定和民衆生活。

“相較之下,新型漏洞可能會造成更大的危害。由於不少新型漏洞藏匿於技術底層,可能在硬件、軟件、中間件產品鏈中都存在,易造成全局性影響,完全修復難度大。另外,大量存在新型漏洞的聯網設備,被非法控制後可能成爲網絡攻擊源。”覃慶玲介紹說。

及時發現修補 依法依規開展漏洞披露

目前,有哪些手段可以有效預防和管理網絡安全漏洞帶來的危害?覃慶玲認爲,要從三方面着手:

一是及時發現漏洞,調動社會各方力量,拓寬漏洞收集渠道,引導和激勵漏洞收集平臺、安全廠商等各方報送高價值漏洞。

二是快速修補漏洞,督促產品提供者基礎電信企業或互聯網企業落實網絡安全主體責任,按照規定時限及時完成自身產品、網絡或信息系統的漏洞修補。

三是規範發佈漏洞,要求同步發佈漏洞修補或防範措施,不得發佈在用網絡或信息系統漏洞細節,避免漏洞被非法利用實施網絡攻擊。

如若不按照標準和規定進行漏洞挖掘和發佈,將帶來什麼影響?覃慶玲表示,違規進行漏洞挖掘,可能對網絡運營者的相關網絡或信息系統造成破壞;違規進行漏洞發佈,漏洞可能被非法利用實施網絡攻擊;以上兩種情況都可能導致網絡或信息系統被非法控制、業務癱瘓、網絡中斷、數據泄露或被篡改等危害。

中華人民共和國網絡安全法》規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。違反規定的,由有關部門責令改正、給予警告或處罰款。因此,要依法依規開展漏洞披露,避免因爲違規披露漏洞造成危害,給自己帶來法律風險。

我國網絡安全漏洞管理正不斷健全完善

當前,我國漏洞管理體系正不斷健全,出臺《中華人民共和國網絡安全法》、《公共互聯網網絡安全威脅監測與處置辦法》、《網絡安全漏洞管理規定(徵求意見稿)》等法律、規章規範性文件,明確漏洞修補、報告、發佈等行爲的管理要求。

同時,漏洞技術標準不斷完善,制定和修訂《網絡安全漏洞管理規範》、《網絡安全漏洞分類分級指南》、《網絡安全漏洞標識與描述規範》等標準規範,進一步推動漏洞管理工作規範化

覃慶玲介紹說,在工業和信息化部指導下,中國信息通信研究院建設了工業和信息化部網絡安全威脅和漏洞信息共享平臺,統一彙集、存儲、分析、通報、發佈漏洞在內的網絡安全威脅信息,與國家信息安全漏洞共享平臺、國家信息安全漏洞庫等平臺一道,爲漏洞管理提供技術支撐。

覃慶玲認爲,下一步,要建立健全漏洞上報、評估、修補、披露等重要環節的工作機制,督促產品提供者、基礎電信企業或互聯網企業做好漏洞修補;要鼓勵相關組織和個人向產品提供者報送產品漏洞,鼓勵漏洞收集平臺向工業和信息化部網絡安全威脅和漏洞信息共享平臺等報送漏洞。同時,加強工業和信息化部網絡安全威脅和漏洞信息共享平臺建設,依託平臺做好漏洞收集、評估和處置工作,並做好與其他漏洞平臺的信息共享。

“在我們享受着網絡帶來的便利之際,網絡安全問題也已成爲影響社會發展和國家經濟建設的隱患。爲了避免違規的漏洞披露行爲給用戶或者國家帶來不可挽回的二次傷害,我國也在不斷完善漏洞披露渠道和機制。”覃慶玲說。