全國政協(xié)委員,、360集團董事長兼CEO周鴻祎,。資料圖

　　中國青年網(wǎng)北京3月5日電（記者 鄒暢）漏洞是網(wǎng)絡(luò)安全的“命門”,。2017年肆虐全球的“WannaCry”勒索病毒事件至今讓人記憶猶新,。全國政協(xié)委員,、360集團董事長兼CEO周鴻祎4日指出,，360集團一年新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞就超8萬個,。網(wǎng)絡(luò)安全漏洞管理是周鴻祎今年全國兩會重點關(guān)注的話題之一，針對我國現(xiàn)有情況,，他建議,，應(yīng)建立漏洞管理全流程監(jiān)督處罰制度，強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測,。

　　網(wǎng)絡(luò)安全漏洞管理方面存在問題

　　一方面,，對漏洞不重視、修復(fù)不及時現(xiàn)象普遍存在,。據(jù)360補天漏洞響應(yīng)平臺統(tǒng)計,，25.6%的漏洞未進行修復(fù)，一些行業(yè)漏洞平均修復(fù)時間長達數(shù)月之久,。去年5月12日“WannaCry”勒索病毒事件爆發(fā),，其實微軟公司早在3月份就已發(fā)布了相應(yīng)安全漏洞補丁，但我國很多單位卻一直沒有“打補丁”,，這導(dǎo)致了近30萬臺主機和電腦被感染,。直到今天，360公司還能監(jiān)測到我國每天仍有近千臺電腦感染此勒索病毒,。

　　另一方面,，缺少具體的漏洞修復(fù)管理細則和處罰機制?！吨腥A人民共和國網(wǎng)絡(luò)安全法》已經(jīng)正式實施,，規(guī)定了網(wǎng)絡(luò)運營者的安全義務(wù)以及相應(yīng)的追責(zé)。但對網(wǎng)絡(luò)安全漏洞管理還沒有執(zhí)行細則,。如,，對于安全漏洞的修復(fù)時間等還缺少具體規(guī)定，導(dǎo)致很多單位修復(fù)周期過長,，有時長達數(shù)周甚至數(shù)月,，給攻擊者留下機會。此外,，缺少嚴格的監(jiān)督執(zhí)行和處罰機制,，對未及時修復(fù)安全漏洞的單位無法及時發(fā)現(xiàn)和予以處罰,。

　　強化網(wǎng)絡(luò)安全漏洞管理 提高國家網(wǎng)絡(luò)安全防護能力

　　針對上述問題，周鴻祎提出以下幾點建議：

　　1.建立漏洞管理全流程監(jiān)督處罰制度,。盡快制定覆蓋網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn),、審核、披露,、通報,、修復(fù)、追責(zé)等全流程的管理細則,，強制要求漏洞必須及時修復(fù),，對漏洞修復(fù)時間以及違規(guī)處罰措施予以明確規(guī)定。此外,，應(yīng)建立監(jiān)督檢查機制和力量,，及時發(fā)現(xiàn)未及時修復(fù)漏洞的行為，并追究相關(guān)單位和責(zé)任人責(zé)任,。

　　2.強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測,。對涉及國計民生、國家關(guān)鍵信息基礎(chǔ)設(shè)施的重大信息系統(tǒng)工程和項目,，一方面在其上線運行或交付使用之前,，應(yīng)強制要求進行網(wǎng)絡(luò)安全漏洞的自檢和備案，尤其應(yīng)加強源代碼層面的安全缺陷和漏洞檢測,；另一方面,，國家網(wǎng)絡(luò)安全主管部門應(yīng)對上線系統(tǒng)進行抽檢，發(fā)現(xiàn)問題及時整改,。同時,，應(yīng)引導(dǎo)和鼓勵軟硬件系統(tǒng)開發(fā)企業(yè)加強安全開發(fā)規(guī)范和流程，盡量在源頭避免網(wǎng)絡(luò)安全漏洞的出現(xiàn),。

　　3.強制召回存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品。對存在嚴重網(wǎng)絡(luò)安全漏洞,，可能導(dǎo)致大規(guī)模用戶隱私泄露,、人身傷害或者影響民生服務(wù)、關(guān)鍵基礎(chǔ)設(shè)施正常運行的軟硬件產(chǎn)品,，尤其是物聯(lián)網(wǎng),、智能汽車等產(chǎn)品，應(yīng)借鑒汽車行業(yè)的做法,，對存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品的實施強制召回,，避免造成更大的損失。

　　4．鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞,。網(wǎng)絡(luò)安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性,，需要集合民間智慧,。建議借鑒美國在安全漏洞收集和挖掘方面的做法。一方面,，加強政企單位與專業(yè)網(wǎng)絡(luò)安全企業(yè)的深度合作,，充分利用網(wǎng)絡(luò)安全企業(yè)的漏洞挖掘能力和情報優(yōu)勢，幫助政企單位及早發(fā)現(xiàn)和修復(fù)漏洞,。另一方面,，在安全可控的前提下，鼓勵政企單位采用眾測眾包方式,，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞,，提高網(wǎng)絡(luò)安全整體防護能力。