《中国互联网协会漏洞信息披露和处置自律公约》在京签署

        为进一步规范网络安全漏洞的信息披露和处置工作，在工业和信息化部的指导下，中国互联网协会网络与信息安全工作委员会组织有关单位起草了《中国互联网协会漏洞信息披露和处置自律公约》（以下简称公约），并于6月19日组织乌云、补天、漏洞盒子等民间漏洞平台、重要行业部门、基础电信企业、软硬件厂商、网络安全企业与国家计算机网络应急技术处理协调中心（CNCERT）等32家单位举行了签约仪式。

　　随着互联网的迅速发展和普及，网络安全事件日益增多，其中信息系统存在高危漏洞已经成为诱发网络安全事件的重要因素。根据国家信息安全漏洞共享平台（CNVD）收录的情况，近三年来新增通用软硬件漏洞的数量年均增长20%左右，漏洞数量呈现快速增长趋势。关键基础设施和重要信息系统存在漏洞会带来极大的安全隐患，一旦被黑客利用，不仅可能威胁到网络数据和用户个人信息的安全，甚至可能会危害整个信息系统的安全运行。

　　近年来，国内民间漏洞平台开始出现并迅速发展，对于调动社会力量发现漏洞隐患，及时提醒和督促漏洞所属单位修补漏洞、防范风险，避免漏洞信息地下扩散等具有积极的意义。为充分发挥这些漏洞平台的作用，工业和信息化部指导CNCERT与乌云、补天、漏洞盒子等民间漏洞平台建立了工作联系，重点处置涉及党政机关、重要行业单位的漏洞信息。近三年，CNCERT从各漏洞平台上接收和处置的涉及党政机关、重要行业单位漏洞信息超过1.3万起，及时协助相关单位排除了安全隐患。但民间漏洞平台在发挥积极作用的同时，在漏洞披露方面也带来一些问题，披露漏洞之前未及时通知涉事单位、披露信息过于详细易被黑客组织利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等等，对漏洞信息的披露亟待进一步规范。另外，对漏洞的处置也有待各方共同努力，提高应急响应和处置效率，降低漏洞对党政机关、行业单位和用户造成的威胁和经济损失。

　　公约签订是首次以行业自律的方式规范漏洞信息的接收、处置和发布工作。公约规定了CNCERT、漏洞报告平台以及软硬件生产厂商、信息系统管理方在漏洞披露和处置方面的责任和自律条款，提出漏洞信息披露的“客观、适时、适度”三原则，并要求各方加强协同配合，积极做好漏洞的验证、评估、修复和用户的主动响应工作。公约强调要遵守国家政策法规和政府主管部门规定，重点做好涉及政府和重要信息系统部门的漏洞披露和处置工作，同时也要积极保障用户的漏洞知情权和安全利益。

　　工业和信息化部、人力资源和社会保障部、水利部、银监会、证监会、国家能源局等有关单位以及银行、电信运营商、非经营性互联单位、民间漏洞报告平台、互联网企业、安全企业、软硬件厂商等近40家单位出席本次签约仪式。