重视漏洞隐患,有效管控风险
“防患于未然”几乎是所有安全工作的金科玉律,信息安全工作也不例外。随着全社会对信息网络的依赖不断加剧,技术漏洞和管理隐患日益成为信息安全的无形杀手。这些年来高危漏洞不断增多,触发病毒传播、挂马攻击、系统故障、信息泄露、数据丢失以及黑客入侵等信息安全事件呈现出大比例增长态势,且隐患难于发现,消除相当困难,对政府和行业信息安全的冲击与影响尤为现实严峻。
由于大量的网络失泄密案件和信息安全问题均与漏洞息息相关,在国际上,围绕漏洞的利用与反利用、控制与反控制的博弈和较量日趋激烈。西方发达国家致力于信息安全漏洞的管理及控制,纷纷投入力量建立自己的“国家漏洞库”,美国更是将信息安全漏洞管理作为国家网络空间安全战略的重要内容,建立了开放灵活的漏洞收集、发布等管理机制。欧盟也于近年投入巨资,启动了以构建国家漏洞库为核心的“信息安全盾牌计划”。
我国政府同样高度重视信息化进程中的漏洞分析和隐患消控工作,设立了专门的技术研究和安全测评机构,在基础理论创新、技术工具开发、挖掘评估实践以及标准规范研究等方面积极工作和大胆探索,初步形成了漏洞收集、分析、通报和面向应用的工作机制,为国家掌控和规范管理漏洞资源,有效应对信息安全威胁和管控信息安全风险做出了积极努力。
应当看到,漏洞分析和隐患消控是一项极具战略性、挑战性和对抗性的工作,国际上的研究历史也不长,其艰巨性、复杂性和专业性客观存在,我们与国外的差距还比较明显,因此亟需围绕技术能力培养和工作体系建设,持续在国家层面加大投入和支持力度;亟需普及相关知识、提高风险认识,在政府部门和重要行业系统加快推进制度化的安全检查和风险评估;亟需优化整合相关资源,完善工作机制,加强各部门之间、政府与产业界、学术界之间的协作配合,形成合力,共同管理好漏洞风险,确保网络安全。