2015年6月19日,国内32家单位在北京共同签署了《中国互联网协会漏洞信息披露和处置自律公约》(以下简称公约),这是首次以行业自律的方式共同规范漏洞信息的接收、处置和发布方面的行为。此次漏洞公约签约仪式由工业和信息化部网络安全管理局、中国互联网协会指导,中国互联网协会网络与信息安全工作委员会(秘书处设在国家互联网应急中心,CNCERT)主办,威客众测平台为此次签约仪式媒体合作伙伴。
随着互联网的迅速发展和普及,网络安全事件日益增多,其中信息系统存在高危漏洞已经成为诱发网络安全事件的重要因素。例如,近年来媒体不断披露的网站数据和用户信息泄露事件大多是由于信息系统存在漏洞造成的。根据国家信息安全漏洞共享平台(CNVD)收录的情况,近三年来新增通用软硬件漏洞的数量年均增长20%左右,漏洞数量呈现现快速增长趋势。关键基础设施和重要信息系统存在漏洞会带来极大的安全隐患,一旦被黑客利用,不仅可能威胁到网络数据和用户个人信息的安全,甚至可能会危害整个信息系统的安全运行。
近几年,国内民间漏洞平台开始出现并迅速发展,对于调动社会力量发现漏洞隐患,及时提醒和督促漏洞所属单位修补漏洞、防范风险,避免漏洞信息地下扩散等具有积极的意义。为发挥这些漏洞平台的积极作用,工业和信息化部指导CNCERT与乌云、补天、漏洞盒子等多家民间漏洞平台建立了工作联系,重点处置涉及党政机关、重要行业单位的漏洞信息。CNCERT近三年从各漏洞平台上接收和处置的涉及党政机关、重要行业单位漏洞信息超过1.3万起,及时协助相关单位排除了安全隐患。但是,民间漏洞平台在发挥积极作用的同时,在漏洞披露方面也带来一些问题。例如:披露漏洞之前未及时通知涉事单位、披露信息过于详细容易被黑客组织利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等等,对漏洞信息的披露亟待进一步规范。同时,对漏洞的处置也有待各方共同努力,提高应急响应和处置效率,降低漏洞对党政机关、行业单位和用户的造成的威胁和经济损失。
为依法维护国家、企业和社会公众互联网安全权益,保障政府和重要信息系统部门信息系统安全,进一步规范国内外漏洞平台、相关厂商、信息系统管理方以及CNCERT在漏洞信息接收、处置和发布方面的行为,遵照“趋利避害、有效管理、积极引导”的基本方针,中国互联网协会网络与信息安全工作委员会在广泛征求相关党政机关部门和行业单位意见的基础上,牵头制定了公约。公约规定了CNCERT、漏洞报告平台以及软硬件生产厂商、信息系统管理方在漏洞披露和处置方面的责任和自律条款,提出漏洞信息披露的“客观、适时、适度”三原则,同时要求各方加强协同配合,积极做好漏洞的验证、评估、修复和用户的主动响应工作。公约强调要遵守国家政策和法律法规,重点做好涉及政府和重要信息系统部门的漏洞披露和处置工作,同时也要积极保障用户的漏洞知情权和安全利益。公约倡议举报和反对通过黑客地下产业购买、交易漏洞的行为,反对非法侵入或破坏他人信息系统,共同防范和抵制漏洞信息的不当传播。
工业和信息化部网络安全管理局副局长李学林在签约仪式上致辞。李学林指出,对漏洞信息的管理,既需要政府主管部门加强监督,同时也要发挥行业自律的作用。在当前有关法律法规还不健全的情况下,本次由中国互联网协会网络与信息安全工作委员会牵头制定的漏洞信息披露和处置自律公约,可进一步发挥漏洞平台、软硬件厂商、信息系统管理方和CNCERT的协同作用,对于加强漏洞信息管理,保障国家、行业和用户的网络安全利益具有重要的现实意义。他希望参与签署自律公约的相关单位,能严格落实公约要求,在实践中不断完善公约内容,更好地服从和服务于国家网络安全工作的需要,为营造安全有序的网络环境做出积极的贡献。
工业和信息化部、人力资源和社会保障部、水利部、银监会、证监会、国家能源局等政府部门单位以及银行、电信运营商、非经营性互联单位、民间漏洞报告平台、互联网企业、安全企业、软硬件厂商等近40家单位出席本次签约仪式。