網(wǎng)絡產(chǎn)品安全漏洞管理淺析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡產(chǎn)品安全漏洞管理淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
數(shù)字經(jīng)濟時代,網(wǎng)絡安全已經(jīng)成為國家安全的重要組成部分,被稱為數(shù)字經(jīng)濟發(fā)展的“生命線”。近年來,我國網(wǎng)絡安全立法取得積極進展。《數(shù)據(jù)安全法》《個人信息保護法》《網(wǎng)絡安全審查辦法》《國家網(wǎng)絡空間安全戰(zhàn)略》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等相關(guān)法律法規(guī)、戰(zhàn)略規(guī)劃不斷出臺和修訂,表明我國網(wǎng)絡空間法治進程邁入新時代。
在日前舉辦的從典型案例看網(wǎng)絡安全和個人信息保護領(lǐng)域的典型問題活動上,達曉律師事務所律師鄧勇以Apache安全漏洞事件為例,對網(wǎng)絡安全規(guī)制現(xiàn)狀進行了介紹。
鄧勇介紹說,去年年底工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風險提示,提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網(wǎng)絡安全風險。
去年12月22日,工信部再次通報,由于阿里云發(fā)現(xiàn)阿帕奇嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理,決定暫停該公司作為工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。
12月23日,阿里云發(fā)布關(guān)于開源社區(qū)阿帕奇log4j2漏洞情況的說明稱,因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息,將強化漏洞管理、提升合規(guī)意識,積極協(xié)同各方做好網(wǎng)絡安全風險防范工作。
據(jù)悉,阿帕奇漏洞被認為是近年來最大的高危型計算機漏洞,該漏洞影響范圍極其廣泛,波及到全球數(shù)億臺網(wǎng)絡設(shè)備。因此,阿帕奇安全漏洞事件自發(fā)酵起,引發(fā)了社會各界的廣泛關(guān)注,從專業(yè)技術(shù)層面、數(shù)據(jù)合規(guī)方面都有不同的觀點出現(xiàn)。
而根據(jù)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)第二條規(guī)定:中華人民共和國境內(nèi)的網(wǎng)絡產(chǎn)品(含硬件、軟件)提供者和網(wǎng)絡運營者,以及從事網(wǎng)絡產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或者個人,應當遵守本規(guī)定。
“網(wǎng)絡產(chǎn)品提供者在發(fā)現(xiàn)產(chǎn)品安全漏洞后有驗證、評估、通知、報送、修補、告知義務。其中,阿里云公司正是因為沒有履行‘報送義務’,直接導致了此次阿帕奇漏洞事件的發(fā)酵。”鄧勇表示,《規(guī)定》中沒有明文規(guī)定如何處罰,只能以《網(wǎng)絡安全法》第六十條的規(guī)定作為處罰依據(jù)。在該條規(guī)定中,“責令改正,給予警告”是首要處罰措施,“罰款”是在拒不改正或?qū)е挛:蠊麜r才能適用的處罰措施。因此,暫停合作單位6個月嚴格來說并不屬于法定處罰措施,更多是象征意義上的“警告”。同時,行政機關(guān)在履行其法定職責時,也要遵循行政法律法規(guī)的合規(guī)要求,對于沒有法律明文規(guī)定處罰措施的違規(guī)行為,行政機關(guān)也不能濫用權(quán)力予以處罰。
鄧勇稱,《規(guī)定》于2021年7月12日發(fā)布,同年9月1日正式實施,中間留有一個半月的“緩沖期”。屬于規(guī)制范圍內(nèi)的主體阿里云在發(fā)現(xiàn)安全漏洞信息后只是根據(jù)業(yè)界慣例向境外基金會報告,沒有按照《規(guī)定》的流程履行報送義務,說明該主體內(nèi)部缺乏合規(guī)流程。同時,阿里云公司按照既往慣例首先向美國阿帕奇基金會而非國家工信部報告的行為,從現(xiàn)行的法律規(guī)制來看,也隱含一定的合規(guī)風險。阿里云作為關(guān)鍵信息基礎(chǔ)設(shè)施運營者,其掌握的數(shù)據(jù)信息與國家安全息息相關(guān),這些數(shù)據(jù)能否出境、出境是否需要審查,都應引以重視。我國的《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等對于重要數(shù)據(jù)的跨境流動和傳輸已有較為明確的規(guī)定。
“從企業(yè)合規(guī)運作的角度來看,涉及重要數(shù)據(jù)、敏感信息的出境問題,數(shù)據(jù)運營者應當慎之又慎,做好前期預案,逐步建立起企業(yè)合規(guī)管理體系,避免再次出現(xiàn)此類違規(guī)事件。”鄧勇表示。
作者:穆青風 單位:中國貿(mào)易報