返回
自律公约能否强化漏洞信息管理

自律公约能否强化漏洞信息管理

ID:21649993

大小:54.00 KB

页数:6页

时间:2018-10-23

自律公约能否强化漏洞信息管理_第1页
自律公约能否强化漏洞信息管理_第2页
自律公约能否强化漏洞信息管理_第3页
自律公约能否强化漏洞信息管理_第4页
自律公约能否强化漏洞信息管理_第5页
资源描述:

《自律公约能否强化漏洞信息管理》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、自律公约能否强化漏洞信息管理国内时常曝出企业数据泄露、X站被黑、账号被控制等事件,多数情况是被黑客掌握该企业系统、X站漏洞的结果,使得系统出现异常。漏洞,对企业而言是噩梦,对黑客而言是聚宝盆。当漏洞被黑客发现并被利用时,可能对企业产生极大的危害,也可能引发严重的X络安全事件。于是,旨在帮助企业查找和修补漏洞的漏洞平台便出现了。然而,未经管理的漏洞平台,也会给企业和国家带来巨大危害。近日,中国互联X协会X络与信息安全工作委员会组织有关单位起草了《中国互联X协会漏洞信息披露和处置自律公约》,或可使漏洞的处置更加高效。我国漏洞发现主要依赖“白

2、帽子”与国外情况不同,我国漏洞信息的发现主要依赖“白帽子”,披露主要靠漏洞报告平台。“白帽子”指的是正面黑客,他们善于发现计算机系统漏洞,但不会恶意利用漏洞谋取私利,而是公布它们。国内的漏洞报告平台有官方的,也有民间的,他们之间共享漏洞信息,互通有无,主要从维护整个信息安全的大局着眼。民间有三大漏洞发布平台:乌云、补天和漏洞盒子。乌云漏洞平台负责人孟卓告诉《中国电子报》记者,在漏洞报告平台之前,国内几乎没有正规的漏洞报告方式,全依赖“白帽子”个人与企业的沟通技巧,或者说发现者本人与企业相熟。有不少血淋淋的例子,2003年的冲击波病毒,发

3、现者1年前就发现并提交给微软,但微软在病毒波及全球后才发布补丁。现在,微软很重视安全,产品漏洞都会在更新补丁中披露,但国内很多企业还处于2002年微软的阶段甚至更早的阶段。记者整理资料发现,从去年到今年,漏洞安全事件被公众知晓的越来越多,例如,携程信用卡信息泄露、小米论坛用户资料流出、12306X站用户资料被撞库等等。每次事件发生时,越来越多的普通民众了解了事件的始末,那些发生安全事件的企业处理漏洞的速度也有所加快。这些漏洞的披露,基本来自这三大民间漏洞平台,可以说,他们在提高民众和企业的安全意识上功不可没。根据国家信息安全漏洞共享平台

4、(VD)收录的情况,近3年来新增通用软硬件漏洞的数量年均增长20%左右,漏洞数量呈现快速增长趋势。截至目前,乌云平台上提交了12万条漏洞,补天共收到漏洞5万余处,漏洞盒子共发现了3万多条漏洞。知道创宇公司副总裁余弦告诉记者,漏洞平台的另一个功劳是“可以很好地促进漏洞生态圈发展与健壮”。因为漏洞的价值可大可小,有的还能得到高价。余弦举例,浏览器跨域ODAY是可以直接控制目标机器或相关X站账号权限的漏洞,买家出价几十万元从发现者手中购买都有可能。因为价高,也可能产生黑市。孟卓表示,“白帽子”可以通过平台发布漏洞,获得奖励,厂商可以通过平台发

5、现自己的问题,这有利于构建健康良性的安全漏洞生态环境,使安全行业得到更好的发展。漏洞关系X络和国家安全披露方式非常重要因为信息安全的重要性,漏洞也是国家战略资源之一,不能随意公开。余弦向《中国电子报》记者解释,攻击也好,防御也罢,安全人员或黑客的一切行为都是围绕漏洞进行。现在很多设备、资产属于国家,可能会因为一个漏洞导致问题出现,从而间接或直接危害到国家安全,所以国家往往会把漏洞作为战略资源储备。补天漏洞响应平台负责人林伟告诉记者,漏洞中被公开的漏洞危害最大。因为大部分企业无法及时对漏洞进行彻底有效的修复,而公开的细节却很容易被黑客关注

6、和利用。恶意的攻击者利用这些漏洞可以轻易入侵企业的X络获取机密信息,这些信息或被黑客收藏和使用、或被用于黑产的各个环节,情节严重的甚至可以搞垮目标公司。“国外的安全机构往往会公布漏洞细节,这就会被黑客利用并快速运用于黑产。”林伟说。由于关系到X络安全和国家安全,民间漏洞平台披露漏洞的方式、细节就显得非常重要。“漏洞处理是一个有意义且需要摸索的过程,如何做到在合法、合规又不会造成负面效应的大前提下将漏洞很好地利用起来,是个难题。”运营漏洞盒子的上海斗象科技公司coo谢忱对《中国电子报》记者说。虽然民间漏洞平台发挥了不少作用,但是在漏洞披露

7、方面,也发生过披露之前未及时通知涉事单位、披露信息过于详细易被黑客利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等先例。为此,中国互联X协会X络与信息安全工作委员会组织三大民间平台、相关企业、国家计算机X络应急技术处理协调中心(-CERT)签订了关于漏洞披露的自律条约,提出了漏洞信息披露的“客观、适时、适度”三原则。中国互联X协会X络与信息安全工作委员会副秘书长何世平告诉《中国电子报》记者,在当前有关法律法规还不健全的情况下,这份《漏洞信息披露和处置自律公约》将能进一步发挥漏洞平台、软硬件厂商、信息系统管理方和CERT的协同作用

8、,对于加强漏洞信息管理,保障国家、行业和用户的X络安全利益具有重要的现实意义。政府企业民间三方协同建漏洞发现机制记者了解到,对漏洞等威胁X络安全信息的治理是工信部X络安全管理工作的一项重要内容,一方面工信部

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。