筑牢“防火墙”网络安全领域再出新规

本文转自：人民网
科技社会日益发展，信息互联网连接万物，人们的生产生活方式已与网络深度联结。近年来，信息化发展战略、国家大数据战略等频密部署，数字产业化飞速发展。为规范网络产品安全漏洞收集平台备案管理，近日，工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》（下称《办法》）。
我国网络安全政策法规体系不断健全，网络安全保障体系和能力建设加快推进。多位专家在接受人民网财经采访时表示，网络空间已经成为大国博弈的战场，对关键基础设施提出新挑战、新课题。因此，确保网络信息安全和网络法治化就成为建设网络强国的前提条件，要以法治化与标准化夯实网络安全治理基石。
安全漏洞种类多样 收集平台需加强管理
网络安全漏洞与信息化进程相伴而生。国家信息安全漏洞共享平台显示，常见网络产品安全漏洞有SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞等十一种类型。有报告显示，2021年，网络安全漏洞数量和网络攻击数量均有增长，其中，Web应用漏洞由于其自身公开属性，是主要的网络安全漏洞。
面对类型繁多的网络产品安全漏洞，近年来，不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台。中国人民大学信息学院副教授李彤介绍，漏洞收集主要面向如QQ、微信、美团、滴滴这样的软件平台和手机、平板、物联网设备等这类硬件平台。这些平台会收集由个人或组织披露的安全漏洞，对其进行分级，并通知软硬件提供商及时修复漏洞，最大程度避免可能的损失。
《办法》规定，拟设立漏洞收集平台的组织或个人，应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。《办法》自2023年1月1日起施行。
李彤认为，对收集平台进行备案管理，是我国网络安全漏洞收集平台法规层面的里程碑，它能够有效防范部分漏洞收集平台在实际工作中出现的内部运营不规范、擅自发布漏洞、漏洞滥用等风险。
《办法》公布备案登记项目 信息产业和消费者均受益
在网络产品安全漏洞领域，工信部、国家互联网信息办公室、公安部曾于2021年7月12日联合印发《网络产品安全漏洞管理规定》，明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，对网络产品提供者提出了漏洞报送的具体时限要求，以及对产品用户提供技术支持的义务。这是我国首次从产品视角管理网络产品安全漏洞。