前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡產品安全漏洞管理淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
數(shù)字經濟時代,網絡安全已經成為國家安全的重要組成部分,被稱為數(shù)字經濟發(fā)展的“生命線”。近年來,我國網絡安全立法取得積極進展。《數(shù)據(jù)安全法》《個人信息保護法》《網絡安全審查辦法》《國家網絡空間安全戰(zhàn)略》《關鍵信息基礎設施安全保護條例》等相關法律法規(guī)、戰(zhàn)略規(guī)劃不斷出臺和修訂,表明我國網絡空間法治進程邁入新時代。
在日前舉辦的從典型案例看網絡安全和個人信息保護領域的典型問題活動上,達曉律師事務所律師鄧勇以Apache安全漏洞事件為例,對網絡安全規(guī)制現(xiàn)狀進行了介紹。
鄧勇介紹說,去年年底工信部發(fā)布關于阿帕奇Log4j2組件重大安全漏洞風險提示,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網絡安全風險。
去年12月22日,工信部再次通報,由于阿里云發(fā)現(xiàn)阿帕奇嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理,決定暫停該公司作為工信部網絡安全威脅信息共享平臺合作單位6個月。
12月23日,阿里云發(fā)布關于開源社區(qū)阿帕奇log4j2漏洞情況的說明稱,因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息,將強化漏洞管理、提升合規(guī)意識,積極協(xié)同各方做好網絡安全風險防范工作。
據(jù)悉,阿帕奇漏洞被認為是近年來最大的高危型計算機漏洞,該漏洞影響范圍極其廣泛,波及到全球數(shù)億臺網絡設備。因此,阿帕奇安全漏洞事件自發(fā)酵起,引發(fā)了社會各界的廣泛關注,從專業(yè)技術層面、數(shù)據(jù)合規(guī)方面都有不同的觀點出現(xiàn)。
而根據(jù)《網絡產品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)第二條規(guī)定:中華人民共和國境內的網絡產品(含硬件、軟件)提供者和網絡運營者,以及從事網絡產品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或者個人,應當遵守本規(guī)定。
“網絡產品提供者在發(fā)現(xiàn)產品安全漏洞后有驗證、評估、通知、報送、修補、告知義務。其中,阿里云公司正是因為沒有履行‘報送義務’,直接導致了此次阿帕奇漏洞事件的發(fā)酵?!编囉卤硎?,《規(guī)定》中沒有明文規(guī)定如何處罰,只能以《網絡安全法》第六十條的規(guī)定作為處罰依據(jù)。在該條規(guī)定中,“責令改正,給予警告”是首要處罰措施,“罰款”是在拒不改正或導致危害后果時才能適用的處罰措施。因此,暫停合作單位6個月嚴格來說并不屬于法定處罰措施,更多是象征意義上的“警告”。同時,行政機關在履行其法定職責時,也要遵循行政法律法規(guī)的合規(guī)要求,對于沒有法律明文規(guī)定處罰措施的違規(guī)行為,行政機關也不能濫用權力予以處罰。
鄧勇稱,《規(guī)定》于2021年7月12日發(fā)布,同年9月1日正式實施,中間留有一個半月的“緩沖期”。屬于規(guī)制范圍內的主體阿里云在發(fā)現(xiàn)安全漏洞信息后只是根據(jù)業(yè)界慣例向境外基金會報告,沒有按照《規(guī)定》的流程履行報送義務,說明該主體內部缺乏合規(guī)流程。同時,阿里云公司按照既往慣例首先向美國阿帕奇基金會而非國家工信部報告的行為,從現(xiàn)行的法律規(guī)制來看,也隱含一定的合規(guī)風險。阿里云作為關鍵信息基礎設施運營者,其掌握的數(shù)據(jù)信息與國家安全息息相關,這些數(shù)據(jù)能否出境、出境是否需要審查,都應引以重視。我國的《網絡安全法》、《數(shù)據(jù)安全法》等對于重要數(shù)據(jù)的跨境流動和傳輸已有較為明確的規(guī)定。
“從企業(yè)合規(guī)運作的角度來看,涉及重要數(shù)據(jù)、敏感信息的出境問題,數(shù)據(jù)運營者應當慎之又慎,做好前期預案,逐步建立起企業(yè)合規(guī)管理體系,避免再次出現(xiàn)此類違規(guī)事件。”鄧勇表示。
作者:穆青風 單位:中國貿易報