白帽子注意!30多家厂商签署 漏洞信息披露和处置自律公约
(admin5.com)6月19日消息,为规范漏洞信息披露和处置工作,工信部网络安全管理局指导,中国互联网协会网络与信息安全工作委员组织了32家单位 ,签署了《中国互联网协会漏洞信息披露和处置自律公约》,公约提出了漏洞信息披露原则、处置流程等,呼吁不公开漏洞细节、入口地址等信息、涉及知识产权等敏感信息,避免漏洞被不法之徒利用。
这是首次以行业自律的方式共同规范漏洞信息的接收、处置和发布方面的行为。
公约规定了CNCERT、漏洞报告平台以及软硬件生产厂商、信息系统管理方在漏洞披露和处置方面的责任和自律条款,提出漏洞信息披露的“客观、适时、适度”三原则,同时要求各方加强协同配合,积极做好漏洞的验证、评估、修复和用户的主动响应工作。
公约强调要遵守国家政策和法律法规,重点做好涉及政府和重要信息系统部门的漏洞披露和处置工作,同时也要积极保障用户的漏洞知情权和安全利益。
公约倡议举报和反对通过黑客地下产业购买、交易漏洞的行为,反对非法侵入或破坏他人信息系统,共同防范和抵制漏洞信息的不当传播。
据中国互联网协会统计,65.5%的网站存在安全漏洞。互联网的迅速发展和普及,网络安全事件日益增多,其中“信息系统存在高危漏洞”已经成为诱发网络安全事件的重要因素,媒体不断披露的网站数据和用户信息泄露事件大多是由信息系统存在漏洞造成。
根据国家信息安全漏洞共享平台(CNVD)收录的情况,近三年来新增通用软硬件漏洞的数量年均增长20%左右,漏洞数量呈现现快速增长趋势。关键基础设施和重要信息系统存在漏洞会带来极大的安全隐患,一旦被黑客利用,不仅可能威胁到网络数据和用户个人信息的安全,甚至可能会危害整个信息系统的安全运行。
为发挥漏洞平台的积极作用,工业和信息化部指导CNCERT与乌云、补天、漏洞盒子等多家民间漏洞平台建立了工作联系。
据悉,工业和信息化部、人力资源和社会保障部、水利部、银监会、证监会、国家能源局等政府部门单位以及银行、电信运营商、非经营性互联单位、民间漏洞报告平台、互联网企业、安全企业、软硬件厂商等近40家单位出席本次签约仪式。
。- 标签:
- 编辑:刘柳
- 相关文章