全國政協(xié)委員飛躍、360集團(tuán)董事長兼CEO周鴻祎

　　漏洞是網(wǎng)絡(luò)安全的“命門”。軟硬件系統(tǒng)漏洞使得攻擊者可以利用漏洞竊取信息或者控制全面協議、破壞目標(biāo)系統(tǒng)重要部署，從而引發(fā)各種網(wǎng)絡(luò)安全問題網(wǎng)站安全查詢工具。例如工具，2010年伊朗核設(shè)施遭受“震網(wǎng)病毒”攻擊智慧與合力，2016年美國東海岸大面積斷網(wǎng)事件，以及2017年肆虐全球的“WannaCry”勒索病毒事件重要的角色，都是由于網(wǎng)絡(luò)安全漏洞引發(fā)的開放要求。

　　更值得注意的是，網(wǎng)絡(luò)是一個(gè)整體平臺建設，任何一個(gè)單位服務機製、任何一個(gè)系統(tǒng)存在漏洞，都會(huì)成為犯罪分子和敵對(duì)勢(shì)力攻擊的跳板重要的作用，成為整個(gè)網(wǎng)絡(luò)的薄弱環(huán)節(jié)更多可能性。作為中國最大的網(wǎng)絡(luò)安全公司，360集團(tuán)一年新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞就超過8萬個(gè)足夠的實力。從我國情況看緊迫性，網(wǎng)絡(luò)安全漏洞管理方面存在以下問題：

　　1、對(duì)漏洞不重視更適合、修復(fù)不及時(shí)現(xiàn)象普遍存在高效。據(jù)360補(bǔ)天漏洞響應(yīng)平臺(tái)統(tǒng)計(jì)，25.6%的漏洞未進(jìn)行修復(fù)擴大公共數據，一些行業(yè)漏洞平均修復(fù)時(shí)間長達(dá)數(shù)月之久深度。去年5月12日“WannaCry”勒索病毒事件爆發(fā)，其實(shí)微軟公司早在3月份就已發(fā)布了相應(yīng)安全漏洞補(bǔ)丁核心技術體系，但我國很多單位卻一直沒有打補(bǔ)丁開拓創新，導(dǎo)致近30萬臺(tái)主機(jī)和電腦被感染。直到今天必然趨勢，360公司還能監(jiān)測(cè)到我國每天仍有近千臺(tái)電腦感染此勒索病毒促進善治。

　　2、缺少具體的漏洞修復(fù)管理細(xì)則和處罰機(jī)制多樣性“l揮效力！毒W(wǎng)絡(luò)安全法》已經(jīng)正式實(shí)施新格局，規(guī)定了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)以及相應(yīng)的追責(zé)。但對(duì)網(wǎng)絡(luò)安全漏洞管理還沒有執(zhí)行細(xì)則安全鏈。如顯示，對(duì)于安全漏洞的修復(fù)時(shí)間等還缺少具體規(guī)定，導(dǎo)致很多單位修復(fù)周期過長真正做到，有時(shí)長達(dá)數(shù)周甚至數(shù)月科普活動，給攻擊者留下機(jī)會(huì)。此外強化意識，缺少嚴(yán)格的監(jiān)督執(zhí)行和處罰機(jī)制長期間，對(duì)未及時(shí)修復(fù)安全漏洞的單位無法及時(shí)發(fā)現(xiàn)和予以處罰。

　　為強(qiáng)化網(wǎng)絡(luò)安全漏洞管理現場，降低被攻擊風(fēng)險(xiǎn)高端化，提高我國網(wǎng)絡(luò)安全防護(hù)能力，建議：

　　一探討、建立漏洞管理全流程監(jiān)督處罰制度

　　盡快制定覆蓋網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)不負眾望、審核、披露調解製度、通報(bào)密度增加、修復(fù)、追責(zé)等全流程的管理細(xì)則創新內容，強(qiáng)制要求漏洞必須及時(shí)修復(fù)，對(duì)漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定廣泛關註。此外善於監督，應(yīng)建立監(jiān)督檢查機(jī)制和力量，及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞的行為就能壓製，并追究相關(guān)單位和責(zé)任人責(zé)任更合理。

　　二、強(qiáng)制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測(cè)

　　對(duì)涉及國計(jì)民生更優美、國家關(guān)鍵信息基礎(chǔ)設(shè)施的重大信息系統(tǒng)工程和項(xiàng)目各方面，一方面在其上線運(yùn)行或交付使用之前，應(yīng)強(qiáng)制要求進(jìn)行網(wǎng)絡(luò)安全漏洞的自檢和備案成效與經驗，尤其應(yīng)加強(qiáng)源代碼層面的安全缺陷和漏洞檢測(cè)適應性。另一方面，國家網(wǎng)絡(luò)安全主管部門應(yīng)對(duì)上線系統(tǒng)進(jìn)行抽檢稍有不慎，發(fā)現(xiàn)問題及時(shí)整改重要作用。同時(shí)，應(yīng)引導(dǎo)和鼓勵(lì)軟硬件系統(tǒng)開發(fā)企業(yè)加強(qiáng)安全開發(fā)規(guī)范和流程最為顯著，盡量在源頭避免網(wǎng)絡(luò)安全漏洞的出現(xiàn)尤為突出。

　　三規定、強(qiáng)制召回存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品

　　對(duì)存在嚴(yán)重網(wǎng)絡(luò)安全漏洞網(wǎng)站安全查詢器，可能導(dǎo)致大規(guī)模用戶隱私泄露空間載體、人身傷害或者影響民生服務(wù)高質量、關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)行的軟硬件產(chǎn)品，尤其是物聯(lián)網(wǎng)重要組成部分、智能汽車等產(chǎn)品流程，應(yīng)借鑒汽車行業(yè)的做法，對(duì)存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品的實(shí)施強(qiáng)制召回有力扭轉，避免造成更大的損失上高質量。

　　四、鼓勵(lì)政企單位采用眾測(cè)眾包方式發(fā)現(xiàn)和收集漏洞

　　網(wǎng)絡(luò)安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性慢體驗，需要集合民間智慧著力增加。建議借鑒美國在安全漏洞收集和挖掘方面的做法。一方面網(wǎng)站安全性查詢軟件科技實力，加強(qiáng)政企單位與專業(yè)網(wǎng)絡(luò)安全企業(yè)的深度合作處理，充分利用網(wǎng)絡(luò)安全企業(yè)的漏洞挖掘能力和情報(bào)優(yōu)勢(shì)，幫助政企單位及早發(fā)現(xiàn)和修復(fù)漏洞在此基礎上。另一方面助力各行，在安全可控的前提下，鼓勵(lì)政企單位采用眾測(cè)眾包方式自主研發，充分發(fā)動(dòng)民間安全研究力量發(fā)現(xiàn)和收集漏洞確定性，提高網(wǎng)絡(luò)安全整體防護(hù)能力。