網絡產品安全漏洞管理淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網絡產品安全漏洞管理淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

數字經濟時代，網絡安全已經成為國家安全的重要組成部分，被稱為數字經濟發展的“生命線”。近年來，我國網絡安全立法取得積極進展。《數據安全法》《個人信息保護法》《網絡安全審查辦法》《國家網絡空間安全戰略》《關鍵信息基礎設施安全保護條例》等相關法律法規、戰略規劃不斷出臺和修訂，表明我國網絡空間法治進程邁入新時代。

在日前舉辦的從典型案例看網絡安全和個人信息保護領域的典型問題活動上，達曉律師事務所律師鄧勇以Apache安全漏洞事件為例，對網絡安全規制現狀進行了介紹。

鄧勇介紹說，去年年底工信部發布關于阿帕奇Log4j2組件重大安全漏洞風險提示，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本，以降低網絡安全風險。

去年12月22日，工信部再次通報，由于阿里云發現阿帕奇嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理，決定暫停該公司作為工信部網絡安全威脅信息共享平臺合作單位6個月。

12月23日，阿里云發布關于開源社區阿帕奇log4j2漏洞情況的說明稱，因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息，將強化漏洞管理、提升合規意識，積極協同各方做好網絡安全風險防范工作。

據悉，阿帕奇漏洞被認為是近年來最大的高危型計算機漏洞，該漏洞影響范圍極其廣泛，波及到全球數億臺網絡設備。因此，阿帕奇安全漏洞事件自發酵起，引發了社會各界的廣泛關注，從專業技術層面、數據合規方面都有不同的觀點出現。

而根據《網絡產品安全漏洞管理規定》（以下簡稱《規定》）第二條規定：中華人民共和國境內的網絡產品（含硬件、軟件）提供者和網絡運營者，以及從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人，應當遵守本規定。

“網絡產品提供者在發現產品安全漏洞后有驗證、評估、通知、報送、修補、告知義務。其中，阿里云公司正是因為沒有履行‘報送義務’，直接導致了此次阿帕奇漏洞事件的發酵。”鄧勇表示，《規定》中沒有明文規定如何處罰，只能以《網絡安全法》第六十條的規定作為處罰依據。在該條規定中，“責令改正，給予警告”是首要處罰措施，“罰款”是在拒不改正或導致危害后果時才能適用的處罰措施。因此，暫停合作單位6個月嚴格來說并不屬于法定處罰措施，更多是象征意義上的“警告”。同時，行政機關在履行其法定職責時，也要遵循行政法律法規的合規要求，對于沒有法律明文規定處罰措施的違規行為，行政機關也不能濫用權力予以處罰。

鄧勇稱，《規定》于2021年7月12日發布，同年9月1日正式實施，中間留有一個半月的“緩沖期”。屬于規制范圍內的主體阿里云在發現安全漏洞信息后只是根據業界慣例向境外基金會報告，沒有按照《規定》的流程履行報送義務，說明該主體內部缺乏合規流程。同時，阿里云公司按照既往慣例首先向美國阿帕奇基金會而非國家工信部報告的行為，從現行的法律規制來看，也隱含一定的合規風險。阿里云作為關鍵信息基礎設施運營者，其掌握的數據信息與國家安全息息相關，這些數據能否出境、出境是否需要審查，都應引以重視。我國的《網絡安全法》、《數據安全法》等對于重要數據的跨境流動和傳輸已有較為明確的規定。

“從企業合規運作的角度來看，涉及重要數據、敏感信息的出境問題，數據運營者應當慎之又慎，做好前期預案，逐步建立起企業合規管理體系，避免再次出現此類違規事件。”鄧勇表示。

作者:穆青風 單位:中國貿易報