全国政协委员周鸿祎:应建立漏洞管理全流程监督处罚制度

周鸿祎指出,我国网络安全漏洞管理方面存在对漏洞不重视、修复不及时的普遍现象。

3月5日消息,全国政协委员、360董事长周鸿祎在提交的《关于强化网络安全漏洞管理的提案》中指出,我国网络安全漏洞管理方面存在对漏洞不重视、修复不及时的普遍现象,同时,缺少具体的漏洞修复管理细则和处罚机制。

为强化网络安全漏洞管理,降低被攻击风险,提高我国网络安全防护能力,周鸿祎建议:

一、建立漏洞管理全流程监督处罚制度

尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。

二、强制执行重要信息系统上线前漏洞检测

对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。

三、强制召回存在重大网络安全漏洞产品

对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。

四、鼓励政企单位采用众测众包方式发现和收集漏洞

网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。建议借鉴美国在安全漏洞收集和挖掘方面的做法。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。

北京时间财经记者 万珮

转载本公号文章请留言,转载时请在文首注明来源和ID,同时请勿删除文中北京时间财经(ID:caijingbtime)字样,否则本公号将追究其法律责任。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180305A1BP0G00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券