补天白帽大会：发布重要信息系统漏洞应遵循三原则

　　3月30日，国家网络与信息安全信息通报中心副处长张秀东在补天白帽大会上发表致辞时表示，有关单位和个人在接受、发布涉及国家重要信息系统和政府网站漏洞时，应该遵循三大原则。

　　张秀东认为，漏洞分析是一把“双刃剑”，虽然可以发现安全问题，消除安全隐患，但是如果管理不到位，被别有用心的人利用，就会成为网络敲诈、窃取数据以及实施攻击破坏活动的“敲门砖”。

　　为建立并完善国家层面的重大漏洞发现、预警和处置机制，形成网络安全技术人员、网络安全企业与政府部门良性协作的局面，张秀东针对漏洞研究工作提出“从0到1”的要求：各研究机构、企业和安全技术爱好者，在进行重要信息系统和政府网站存在的安全漏洞和隐患挖掘和使用时，要确保在合法的前提下进行。同时，有关单位和个人在发现接收、发布涉及国家重要信息系统和政府网站的安全漏洞隐患的过程中，要坚持三个原则：

　　一是发现重要信息系统和政府网站存在的单点安全漏洞时，要及时向政府部门报送，由政府部门统一组织重要行业部门和政府网站责任单位开展核查整改；

　　二是对于重要信息系统和政府网站普遍存在的安全漏洞，如果确实需要公开发布，有关单位和个人要客观准确描述漏洞情况、避免过度炒作；

　　三是相关漏洞发布平台要加强漏洞报送人员管理，完善漏洞登记制度、建立报送人员档案，防止漏洞隐患被随意扩散和恶意利用。

　　近年来，随着信息化迅猛发展，以电力、交通、金融等为代表的网络和信息系统已经成为支撑国民经济快速发展和人们社会生活有效运转的国家关键信息基础设施。随着网络的普及和应用，许多研究机构、企业和网络安全爱好者重视网络安全问题的发现和解决，愿意在国家网络安全防护工作中风险技术研究成果，提供安全服务，为提升我国网络安全整体水平作出了重要贡献。

　　2016年全年，补天漏洞响应平台向国家网络与信息安全通报中心报送各类安全漏洞隐患9248个，涉及国家重要信息系统和政府网站的安全隐患共计7000多个，根据隐患事件的影响程度，通报中心及时向各地公安机关以及教育、财政、卫生、电信、政法、人力资源和社会保障等通报机制成员单位发送预警通报和隐患整改要求，各重要行业部门积极开展整改加固工作，很多严重影响网络安全的问题通过协同处置得到了妥善解决。