补天白帽大会：发布重要信息系统漏洞应遵循三原则

本篇文章877字，读完约2分钟

3月30日，国家网络与信息安全信息通报中心副主任张秀东在会上发表讲话，指出有关单位和个人在受理和发布涉及国家重要信息系统和政府网站的漏洞时，应遵循三个原则。

张秀东在会上发表了讲话。张秀东认为，脆弱性分析是一把“双刃剑”。虽然可以发现安全问题，消除隐患，但如果管理不到位，别有用心的人利用它，它将成为网上敲诈、数据盗窃和攻击的“垫脚石”。

为建立和完善国家级重大漏洞的发现、预警和处置机制，形成网络安全技术人员、网络安全企业和政府部门之间的良性合作局面，张秀东对漏洞研究工作提出了“从0到1”的要求:研究机构、企业和安全技术爱好者应确保重要信息系统和政府网站中存在的安全漏洞和隐患在合法的前提下得到挖掘和利用。同时，相关单位和个人在发现和接收涉及国家重要信息系统和政府网站的安全漏洞过程中应坚持三个原则:

一是当发现重要信息系统和政府网站存在单点安全漏洞时，应及时上报政府部门，政府部门应组织重要行业部门和政府网站责任单位进行核查和整改；

第二，对于重要信息系统和政府网站中普遍存在的安全漏洞，如果确实需要公开发布，相关单位和个人应客观准确地描述这些漏洞，避免过度炒作；

第三，相关漏洞发布平台应加强漏洞报告人员管理，完善漏洞登记制度，建立报告人员档案，防止潜在漏洞被随意传播和恶意利用。

近年来，随着信息化的快速发展，以电力、交通、金融为代表的网络和信息系统已经成为支撑国民经济快速发展和人民社会生活有效运行的关键国家信息基础设施。随着网络的普及和应用，许多研究机构、企业和网络安全爱好者重视网络安全问题的发现和解决，愿意在国家网络安全防护工作中冒技术研究成果风险，提供安全服务，为提高我国网络安全的整体水平做出重要贡献。

2016年全年，田甜漏洞应对平台向国家网络与信息安全通报中心提交了9248个各种安全漏洞隐患，涉及国家重要信息系统和政府网站的安全隐患7000多个。根据隐患影响程度，通报中心及时向当地公安机关及教育、金融、卫生、电信、政法、人力资源和社会保障等通报机制成员发送预警通知和隐患。各重要行业部门积极开展整改和加固工作，其中不少。

来源：搜狐微门户