網(wǎng)絡(luò)產(chǎn)品安全漏洞管理淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理淺析范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

數(shù)字經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全的重要組成部分，被稱為數(shù)字經(jīng)濟(jì)發(fā)展的“生命線”。近年來(lái)，我國(guó)網(wǎng)絡(luò)安全立法取得積極進(jìn)展?！稊?shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)、戰(zhàn)略規(guī)劃不斷出臺(tái)和修訂，表明我國(guó)網(wǎng)絡(luò)空間法治進(jìn)程邁入新時(shí)代。

在日前舉辦的從典型案例看網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)領(lǐng)域的典型問(wèn)題活動(dòng)上，達(dá)曉律師事務(wù)所律師鄧勇以Apache安全漏洞事件為例，對(duì)網(wǎng)絡(luò)安全規(guī)制現(xiàn)狀進(jìn)行了介紹。

鄧勇介紹說(shuō)，去年年底工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風(fēng)險(xiǎn)提示，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本，以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

去年12月22日，工信部再次通報(bào)，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

12月23日，阿里云發(fā)布關(guān)于開(kāi)源社區(qū)阿帕奇log4j2漏洞情況的說(shuō)明稱，因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息，將強(qiáng)化漏洞管理、提升合規(guī)意識(shí)，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作。

據(jù)悉，阿帕奇漏洞被認(rèn)為是近年來(lái)最大的高危型計(jì)算機(jī)漏洞，該漏洞影響范圍極其廣泛，波及到全球數(shù)億臺(tái)網(wǎng)絡(luò)設(shè)備。因此，阿帕奇安全漏洞事件自發(fā)酵起，引發(fā)了社會(huì)各界的廣泛關(guān)注，從專業(yè)技術(shù)層面、數(shù)據(jù)合規(guī)方面都有不同的觀點(diǎn)出現(xiàn)。

而根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）第二條規(guī)定：中華人民共和國(guó)境內(nèi)的網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人，應(yīng)當(dāng)遵守本規(guī)定。

“網(wǎng)絡(luò)產(chǎn)品提供者在發(fā)現(xiàn)產(chǎn)品安全漏洞后有驗(yàn)證、評(píng)估、通知、報(bào)送、修補(bǔ)、告知義務(wù)。其中，阿里云公司正是因?yàn)闆](méi)有履行‘報(bào)送義務(wù)’，直接導(dǎo)致了此次阿帕奇漏洞事件的發(fā)酵?！编囉卤硎?，《規(guī)定》中沒(méi)有明文規(guī)定如何處罰，只能以《網(wǎng)絡(luò)安全法》第六十條的規(guī)定作為處罰依據(jù)。在該條規(guī)定中，“責(zé)令改正，給予警告”是首要處罰措施，“罰款”是在拒不改正或?qū)е挛：蠊麜r(shí)才能適用的處罰措施。因此，暫停合作單位6個(gè)月嚴(yán)格來(lái)說(shuō)并不屬于法定處罰措施，更多是象征意義上的“警告”。同時(shí)，行政機(jī)關(guān)在履行其法定職責(zé)時(shí)，也要遵循行政法律法規(guī)的合規(guī)要求，對(duì)于沒(méi)有法律明文規(guī)定處罰措施的違規(guī)行為，行政機(jī)關(guān)也不能濫用權(quán)力予以處罰。

鄧勇稱，《規(guī)定》于2021年7月12日發(fā)布，同年9月1日正式實(shí)施，中間留有一個(gè)半月的“緩沖期”。屬于規(guī)制范圍內(nèi)的主體阿里云在發(fā)現(xiàn)安全漏洞信息后只是根據(jù)業(yè)界慣例向境外基金會(huì)報(bào)告，沒(méi)有按照《規(guī)定》的流程履行報(bào)送義務(wù)，說(shuō)明該主體內(nèi)部缺乏合規(guī)流程。同時(shí)，阿里云公司按照既往慣例首先向美國(guó)阿帕奇基金會(huì)而非國(guó)家工信部報(bào)告的行為，從現(xiàn)行的法律規(guī)制來(lái)看，也隱含一定的合規(guī)風(fēng)險(xiǎn)。阿里云作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，其掌握的數(shù)據(jù)信息與國(guó)家安全息息相關(guān)，這些數(shù)據(jù)能否出境、出境是否需要審查，都應(yīng)引以重視。我國(guó)的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等對(duì)于重要數(shù)據(jù)的跨境流動(dòng)和傳輸已有較為明確的規(guī)定。

“從企業(yè)合規(guī)運(yùn)作的角度來(lái)看，涉及重要數(shù)據(jù)、敏感信息的出境問(wèn)題，數(shù)據(jù)運(yùn)營(yíng)者應(yīng)當(dāng)慎之又慎，做好前期預(yù)案，逐步建立起企業(yè)合規(guī)管理體系，避免再次出現(xiàn)此類違規(guī)事件?！编囉卤硎?。

作者:穆青風(fēng) 單位:中國(guó)貿(mào)易報(bào)