当前位置:主页 > SEO优化 >

周鸿祎建议:重要信息系统上线前强制执行漏洞检测

作者: 奕星SEO 分类: SEO优化 发布时间: 2019-09-11 20:47 内容来源:网络整理阅读量:

  在《关于强化网络安全漏洞管理的提案》中,周鸿祎提出,漏洞是网络安全的“命门”。软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统,从而引发各种网络安全问题。当前中国在网络安全漏洞管理方面存在对漏洞不重视、修复不及时,缺少具体的漏洞修复管理细则和处罚机制等问题。

  “去年5月12日‘WannaCry’勒索病毒事件爆发,其实微软公司早在3月份就已发布了相应安全漏洞补丁,但我国很多单位却一直没有打补丁,导致近30万台主机和电脑被感染。直到今天,360公司还能监测到我国每天仍有近千台电脑感染此勒索病毒。”周鸿祎表示。“另外,《网络安全法》已经正式实施,规定了网络运营者的安全义务以及相应的追责。但对网络安全漏洞管理还没有执行细则。此外,缺少严格的监督执行和处罚机制,对未及时修复安全漏洞的单位无法及时发现和予以处罚。”

  据此,周鸿祎在提案中建议,为强化网络安全漏洞管理,降低被攻击风险,提高我国网络安全防护能力,一要建立漏洞管理全流程监督处罚制度,尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。

  二要强制执行重要信息系统上线前漏洞检测,对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。

  三要强制召回存在重大网络安全漏洞产品。对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。

  四要鼓励政企单位采用众测众包方式发现和收集漏洞。网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。建议借鉴美国在安全漏洞收集和挖掘方面的做法。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。

  在第二份提案《关于鼓励政企单位上报网络攻击信息的提案》中,周鸿祎提出,网络攻击具有极强的隐蔽性和突发性。政企单位及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大,保障国家网络安全具有重大价值和意义。

  “去年《网络安全法》实施以来,随着有关部门监管力度的加大,政企单位在应对网络攻击和事件通报方面取得了积极进展,一些单位积极配合监管部门开展网络攻击事件追踪调查和犯罪打击,效果良好。但从现实情况看,政企单位上报网络攻击事件还存在一些问题亟待解决。”周鸿祎举例称,一是遭受网络攻击时不愿及时上报,二是缺乏鼓励上报措施。

  “从国内外网络安全实践来看,及时上报网络攻击事件,是国家应对网络威胁,提高网络安全防护水平的重要途径。”周鸿祎建议,一要出台鼓励网络攻击事件上报的相关政策。二要规范网络攻击事件上报流程。三要加大对知情不报企业查处惩戒力度。四要鼓励政企单位选用网络安全企业专业服务。

  在《关于完善网络安全人才培养体系的提案》中,周鸿祎指出,尽管近年来国家网络安全人才培养取得重要进展,但与打造网络强国对人才的需求规模相比还存在较大差距,网络安全人才培养体系亟待完善。

  周鸿祎称,当前我国网络安全人才缺口巨大。据教育部有关机构和专家预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。近3年来,全国高校网络安全相关专业年均招生1万人左右,主要依靠高校培养网络安全人才的方式远不能满足网络安全的需要。并同时存在着高校人才培养难以满足网络安全实战需求、网络安全职业培训质量有待提高、网络安全从业人员缺乏必要的职业技能鉴定等方面的问题。


本文链接地址:http://www.seohuizhou.com/seoyouhua/3886.html
上一篇:<<Asda网站漏洞导致数百万客户面临黑客攻击的风险
下一篇:上海快照优化排名中蹭热点营销你知道多少>>