網(wǎng)絡(luò)產(chǎn)品安全漏洞管理淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

數(shù)字經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)安全已經(jīng)成為國家安全的重要組成部分，被稱為數(shù)字經(jīng)濟(jì)發(fā)展的“生命線”。近年來，我國網(wǎng)絡(luò)安全立法取得積極進(jìn)展?！稊?shù)據(jù)安全法》《個人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)、戰(zhàn)略規(guī)劃不斷出臺和修訂，表明我國網(wǎng)絡(luò)空間法治進(jìn)程邁入新時(shí)代。

在日前舉辦的從典型案例看網(wǎng)絡(luò)安全和個人信息保護(hù)領(lǐng)域的典型問題活動上，達(dá)曉律師事務(wù)所律師鄧勇以Apache安全漏洞事件為例，對網(wǎng)絡(luò)安全規(guī)制現(xiàn)狀進(jìn)行了介紹。

鄧勇介紹說，去年年底工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風(fēng)險(xiǎn)提示，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級組件版本，以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

去年12月22日，工信部再次通報(bào)，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

12月23日，阿里云發(fā)布關(guān)于開源社區(qū)阿帕奇log4j2漏洞情況的說明稱，因在早期未意識到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息，將強(qiáng)化漏洞管理、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作。

據(jù)悉，阿帕奇漏洞被認(rèn)為是近年來最大的高危型計(jì)算機(jī)漏洞，該漏洞影響范圍極其廣泛，波及到全球數(shù)億臺網(wǎng)絡(luò)設(shè)備。因此，阿帕奇安全漏洞事件自發(fā)酵起，引發(fā)了社會各界的廣泛關(guān)注，從專業(yè)技術(shù)層面、數(shù)據(jù)合規(guī)方面都有不同的觀點(diǎn)出現(xiàn)。

而根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）第二條規(guī)定：中華人民共和國境內(nèi)的網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營者，以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或者個人，應(yīng)當(dāng)遵守本規(guī)定。

“網(wǎng)絡(luò)產(chǎn)品提供者在發(fā)現(xiàn)產(chǎn)品安全漏洞后有驗(yàn)證、評估、通知、報(bào)送、修補(bǔ)、告知義務(wù)。其中，阿里云公司正是因?yàn)闆]有履行‘報(bào)送義務(wù)’，直接導(dǎo)致了此次阿帕奇漏洞事件的發(fā)酵。”鄧勇表示，《規(guī)定》中沒有明文規(guī)定如何處罰，只能以《網(wǎng)絡(luò)安全法》第六十條的規(guī)定作為處罰依據(jù)。在該條規(guī)定中，“責(zé)令改正，給予警告”是首要處罰措施，“罰款”是在拒不改正或?qū)е挛：蠊麜r(shí)才能適用的處罰措施。因此，暫停合作單位6個月嚴(yán)格來說并不屬于法定處罰措施，更多是象征意義上的“警告”。同時(shí)，行政機(jī)關(guān)在履行其法定職責(zé)時(shí)，也要遵循行政法律法規(guī)的合規(guī)要求，對于沒有法律明文規(guī)定處罰措施的違規(guī)行為，行政機(jī)關(guān)也不能濫用權(quán)力予以處罰。

鄧勇稱，《規(guī)定》于2021年7月12日發(fā)布，同年9月1日正式實(shí)施，中間留有一個半月的“緩沖期”。屬于規(guī)制范圍內(nèi)的主體阿里云在發(fā)現(xiàn)安全漏洞信息后只是根據(jù)業(yè)界慣例向境外基金會報(bào)告，沒有按照《規(guī)定》的流程履行報(bào)送義務(wù)，說明該主體內(nèi)部缺乏合規(guī)流程。同時(shí)，阿里云公司按照既往慣例首先向美國阿帕奇基金會而非國家工信部報(bào)告的行為，從現(xiàn)行的法律規(guī)制來看，也隱含一定的合規(guī)風(fēng)險(xiǎn)。阿里云作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，其掌握的數(shù)據(jù)信息與國家安全息息相關(guān)，這些數(shù)據(jù)能否出境、出境是否需要審查，都應(yīng)引以重視。我國的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等對于重要數(shù)據(jù)的跨境流動和傳輸已有較為明確的規(guī)定。

“從企業(yè)合規(guī)運(yùn)作的角度來看，涉及重要數(shù)據(jù)、敏感信息的出境問題，數(shù)據(jù)運(yùn)營者應(yīng)當(dāng)慎之又慎，做好前期預(yù)案，逐步建立起企業(yè)合規(guī)管理體系，避免再次出現(xiàn)此類違規(guī)事件?！编囉卤硎尽?/p>

作者:穆青風(fēng) 單位:中國貿(mào)易報(bào)