新型网络安全漏洞涌现 专家:规范披露行为 严把风险控制中心环节

人民网北京6月4日电 (孙阳)随着数字经济时代的来临,网络安全成为保障社会经济高质量发展的重要前提。同时,5G、AI和工业联网信息技术的崛起和应用,也让新型漏洞不断涌现,网络安全压力越来越大。

据统计,2020年我国新增3.5万条漏洞信息,大量的网络失泄密案件和信息安全问题均与漏洞存在息息相关,而网络安全漏洞披露作为网络安全风险控制的中心环节,不规范或非法的网络安全漏洞披露严重危害网络空间整体安全。

对此,中国信通院安全研究所副所长教授级高级工程师覃庆玲在接受人民网采访时表示,网络安全漏洞可能被恶意利用实施网络攻击,窃取信息或者控制、破坏目标系统,甚至影响国家安全、社会稳定和民众生活。当前,要规范漏洞披露行为,严把网络安全风险控制的中心环节。

新型网络安全漏洞隐藏深、危害大

伴随着5G、人工智能、云计算、大数据区块链等新技术发展,例如5G空口协议TCP侧信道漏洞、5G网络切片架构漏洞等新型网络安全漏洞出现,通常倾向于藏匿在算法、协议、技术框架或新产品中。

同时,万物互联模糊了网络边界,伴随大量设备智能化网络化,车联网设备、工控系统、智能家居设备中存在新型漏洞,例如智能门锁蓝牙漏洞导致门锁失效、车联网设备存在漏洞导致车辆被控制,这些漏洞分布数量庞大,倾向于藏匿在终端产品组件中。

覃庆玲表示,漏洞是信息技术产品、网络和信息系统在设计、实现、使用过程中产生的缺陷或弱点,可被恶意利用实施网络攻击,窃取信息或者控制、破坏目标系统,甚至影响国家安全、社会稳定和民众生活。

“相较之下,新型漏洞可能会造成更大的危害。由于不少新型漏洞藏匿于技术底层,可能在硬件、软件、中间件产品链中都存在,易造成全局性影响,完全修复难度大。另外,大量存在新型漏洞的联网设备,被非法控制后可能成为网络攻击源。”覃庆玲介绍说。

及时发现修补 依法依规开展漏洞披露

目前,有哪些手段可以有效预防和管理网络安全漏洞带来的危害?覃庆玲认为,要从三方面着手:

一是及时发现漏洞,调动社会各方力量,拓宽漏洞收集渠道,引导和激励漏洞收集平台、安全厂商等各方报送高价值漏洞。

二是快速修补漏洞,督促产品提供者基础电信企业或互联网企业落实网络安全主体责任,按照规定时限及时完成自身产品、网络或信息系统的漏洞修补。

三是规范发布漏洞,要求同步发布漏洞修补或防范措施,不得发布在用网络或信息系统漏洞细节,避免漏洞被非法利用实施网络攻击。

如若不按照标准和规定进行漏洞挖掘和发布,将带来什么影响?覃庆玲表示,违规进行漏洞挖掘,可能对网络运营者的相关网络或信息系统造成破坏;违规进行漏洞发布,漏洞可能被非法利用实施网络攻击;以上两种情况都可能导致网络或信息系统被非法控制、业务瘫痪、网络中断、数据泄露或被篡改等危害。

中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。违反规定的,由有关部门责令改正、给予警告或处罚款。因此,要依法依规开展漏洞披露,避免因为违规披露漏洞造成危害,给自己带来法律风险。

我国网络安全漏洞管理正不断健全完善

当前,我国漏洞管理体系正不断健全,出台《中华人民共和国网络安全法》、《公共互联网网络安全威胁监测与处置办法》、《网络安全漏洞管理规定(征求意见稿)》等法律、规章规范性文件,明确漏洞修补、报告、发布等行为的管理要求。

同时,漏洞技术标准不断完善,制定和修订《网络安全漏洞管理规范》、《网络安全漏洞分类分级指南》、《网络安全漏洞标识与描述规范》等标准规范,进一步推动漏洞管理工作规范化

覃庆玲介绍说,在工业和信息化部指导下,中国信息通信研究院建设了工业和信息化部网络安全威胁和漏洞信息共享平台,统一汇集、存储、分析、通报、发布漏洞在内的网络安全威胁信息,与国家信息安全漏洞共享平台、国家信息安全漏洞库等平台一道,为漏洞管理提供技术支撑。

覃庆玲认为,下一步,要建立健全漏洞上报、评估、修补、披露等重要环节的工作机制,督促产品提供者、基础电信企业或互联网企业做好漏洞修补;要鼓励相关组织和个人向产品提供者报送产品漏洞,鼓励漏洞收集平台向工业和信息化部网络安全威胁和漏洞信息共享平台等报送漏洞。同时,加强工业和信息化部网络安全威胁和漏洞信息共享平台建设,依托平台做好漏洞收集、评估和处置工作,并做好与其他漏洞平台的信息共享。

“在我们享受着网络带来的便利之际,网络安全问题也已成为影响社会发展和国家经济建设的隐患。为了避免违规的漏洞披露行为给用户或者国家带来不可挽回的二次伤害,我国也在不断完善漏洞披露渠道和机制。”覃庆玲说。