新型网络安全漏洞涌现专家:规范披露行为严把风险控制中心环节

光山新闻网 采集侠 2021-06-04 11:00:07
浏览

人民网北京6月4日电 (孙阳)随着数字经济时代的来临,网络安全成为保障社会经济高质量发展的重要前提。同时,5G、AI和工业互联网等信息技术的崛起和应用,也让新型漏洞不断涌现,网络安全压力越来越大。

据统计,2020年我国新增3.5万条漏洞信息,大量的网络失泄密案件和信息安全问题均与漏洞存在息息相关,而网络安全漏洞披露作为网络安全风险控制的中心环节,不规范或非法的网络安全漏洞披露严重危害网络空间整体安全。

对此,中国信通院安全研究所副所长、教授级高级工程师覃庆玲在接受人民网采访时表示,网络安全漏洞可能被恶意利用实施网络攻击,窃取信息或者控制、破坏目标系统,甚至影响国家安全、社会稳定和民众生活。当前,要规范漏洞披露行为,严把网络安全风险控制的中心环节。

新型网络安全漏洞隐藏深、危害大

伴随着5G、人工智能、云计算、大数据、区块链等新技术发展,例如5G空口协议TCP侧信道漏洞、5G网络切片架构漏洞等新型网络安全漏洞出现,通常倾向于藏匿在算法、协议、技术框架或新产品中。

同时,万物互联模糊了网络边界,伴随大量设备的智能化和网络化,车联网设备、工控系统、智能家居设备中存在新型漏洞,例如智能门锁蓝牙漏洞导致门锁失效、车联网设备存在漏洞导致车辆被控制,这些漏洞分布数量庞大,倾向于藏匿在终端产品或组件中。

覃庆玲表示,漏洞是信息技术产品、网络和信息系统在设计、实现、使用过程中产生的缺陷或弱点,可被恶意利用实施网络攻击,窃取信息或者控制、破坏目标系统,甚至影响国家安全、社会稳定和民众生活。

“相较之下,新型漏洞可能会造成更大的危害。由于不少新型漏洞藏匿于技术底层,可能在硬件、软件、中间件等产品链中都存在,易造成全局性影响,完全修复难度大。另外,大量存在新型漏洞的联网设备,被非法控制后可能成为网络攻击源。”覃庆玲介绍说。

及时发现修补 依法依规开展漏洞披露

目前,有哪些手段可以有效预防和管理网络安全漏洞带来的危害?覃庆玲认为,要从三方面着手:

一是及时发现漏洞,调动社会各方力量,拓宽漏洞收集渠道,引导和激励漏洞收集平台、安全厂商等各方报送高价值漏洞。

二是快速修补漏洞,督促产品提供者、基础电信企业或互联网企业落实网络安全主体责任,按照规定时限及时完成自身产品、网络或信息系统的漏洞修补。

三是规范发布漏洞,要求同步发布漏洞修补或防范措施,不得发布在用网络或信息系统漏洞细节,避免漏洞被非法利用实施网络攻击。

如若不按照标准和规定进行漏洞挖掘和发布,将带来什么影响?覃庆玲表示,违规进行漏洞挖掘,可能对网络运营者的相关网络或信息系统造成破坏;违规进行漏洞发布,漏洞可能被非法利用实施网络攻击;以上两种情况都可能导致网络或信息系统被非法控制、业务瘫痪、网络中断、数据泄露或被篡改等危害。

《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。违反规定的,由有关部门责令改正、给予警告或处罚款。因此,要依法依规开展漏洞披露,避免因为违规披露漏洞造成危害,给自己带来法律风险。

我国网络安全漏洞管理正不断健全完善

当前,我国漏洞管理体系正不断健全,出台《中华人民共和国网络安全法》、《公共互联网网络安全威胁监测与处置办法》、《网络安全漏洞管理规定(征求意见稿)》等法律、规章和规范性文件,明确漏洞修补、报告、发布等行为的管理要求。