隨著人工智能的發展,以及移動智能設備不斷普及,各類漏洞風險與日俱增,隨之而來的安全事件也不斷爆發,為移動互聯網的安全管理敲響了警鐘。同時,隨著終端系統代碼量的增加,漏洞數量和攻擊面也隨之增加,使得智能終端操作系統漏洞修補越來越需要被重視。
《中華人民共和國網絡安全法》規定:網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
為配合該法案的落地實施,加強和規範移動互聯網安全漏洞信息發佈與處置工作,維護公民、法人和其他組織的合法權益,保障網絡與信息安全,促進行業健康發展,移動安全聯盟及時關注漏洞問題,制定“移動安全行動計劃”,促進行業自律。
2018年7月10日,移動安全聯盟在2018(第十七屆)中國互聯網大會期間,舉辦2018中國人工智能移動安全高峰論壇並啟動“移動安全行動計劃”。
《移動安全聯盟漏洞信息披露和處置自律公約》簽署儀式
工業和信息化部網絡安全管理局副局長楊宇燕,電信終端產業協會理事長、移動安全聯盟理事長謝毅博士等領導與來自終端廠商、互聯網企業、安全廠商、科研院所的代表共兩百餘人見證了行動的啟動。中國信息通信研究院、北京大學、維沃移動通信有限公司、北京百度網訊科技有限公司、四川長虹電器股份有限公司、阿里巴巴網絡技術有限公司、三六零科技股份有限公司、珠海市魅族通訊設備有限公司、北京小米移動軟件有限公司、華為技術有限公司、武漢安天信息技術有限責任公司、北京京東世紀貿易有限公司、廣東歐珀移動通信有限公司、恆安嘉新(北京)科技股份公司、中國聯合網絡通信有限公司、廈門美圖移動科技有限公司、深圳市金立通信設備有限公司、北京娜迦信息科技發展有限公司、中國電信上海研究院、北京指掌易科技有限公司等20家相關廠商、檢測機構作為首批簽約單位共同簽署《移動安全聯盟漏洞信息披露和處置自律公約》。
“移動安全行動計劃”的具體內容,主要包括以下三部分內容:
一是移動安全聯盟漏洞處置合作計劃
移動安全聯盟推動移動智能設備產業鏈各方各司其責,協同完成移動智能設備漏洞的修復工作,制定《移動安全聯盟漏洞處置合作計劃》,移動安全聯盟會同移動智能設備產業各方,綜合考慮漏洞的危害程度、影響範圍、修復難度、可利用情況等多方面因素,制定移動智能設備漏洞處置列表,為移動智能設備產業鏈各方修復產品漏洞提供便利。
二是移動安全聯盟安全事件應急響應機制
移動安全聯盟聯合產業鏈各方建立移動智能設備漏洞快速響應機制。聯盟負責收集移動智能設備漏洞相關的安全事件,並上報監管部門。對於影響較大的安全事件,協調技術檢測機構及時發佈檢測工具,推動操作系統供應商和設備廠商進行漏洞修補工作,同時及時向用戶發佈安全公告,提醒用戶及時更新系統,注意防範。
三是移動安全聯盟漏洞信息披露和處置自律公約
移動安全聯盟倡議國內外相關廠商、檢測機構共同簽署《移動安全聯盟漏洞信息披露和處置自律公約》,遵照“趨利避害、有效管理、積極引導”的基本方針,為維護用戶個人信息安全和合法權益,保障網絡與信息安全,促進行業健康發展,進一步規範國內外相關廠商、檢測機構在漏洞信息發佈和處置方面的行為,從維護國家、行業和用戶利益的高度出發,積極加強自律,共同營造良好的網絡安全環境。
附《移動安全聯盟漏洞信息披露和處置自律公約》全文
第一章總則
第一條 遵照“趨利避害、有效管理、積極引導”的基本方針,為維護用戶個人信息安全和合法權益,保障網絡與信息安全,促進行業健康發展,進一步規範國內外相關廠商、檢測機構在漏洞信息發佈和處置方面的行為,根據《中華人民共和國網絡安全法》等法律法規有關規定,制定本公約。
第二條本公約所稱移動終端安全漏洞(以下簡稱漏洞)是指移動終端在硬件、軟件、通信協議的設計與實現過程中或在系統安全策略上存在的缺陷和不足;非法用戶可利用安全漏洞獲得移動終端的額外權限,在未經授權的情況下訪問或提高其訪問權,破壞系統,危害信息系統安全。
第三條本公約所稱相關廠商主要指軟硬件產品生產廠商、互聯網服務提供商。檢測機構指從事移動終端安全檢測相關業務的實驗室或安全公司。
第四條倡議國內外相關廠商和檢測機構加入本公約,從維護國家、行業和用戶利益的高度出發,積極加強自律,共同營造良好的網絡安全環境。
第五條移動安全聯盟負責監督本公約的實施。移動安全聯盟作為本公約的執行機構,負責組織實施本公約。
第二章
自律條款第六條自覺遵守我國有關互聯網管理的法律、法規和政策,自覺維護國家、行業和互聯網用戶的網絡安全合法權益。
第七條相關廠商和檢測機構應協同一致做好漏洞信息的發佈、處置等環節工作,做好漏洞信息披露和處置風險管理,避免因漏洞信息披露不當和處置不及時而危害到國家安全、社會安全、企業安全和用戶安全。
第八條各方在漏洞信息披露方面應遵循的原則:
客觀披露原則。對公開發布的漏洞信息要進行披露審核,確保漏洞信息的真實性和完整性,漏洞信息涉及的目標對象、風險情況描述不出現重大偏差;對漏洞可導致的潛在風險不能作為安全攻擊事件進行披露和引導,以免引起媒體輿論和社會公眾的誤讀和恐慌。
適時披露原則。 在相關方未接收到漏洞信息、完成漏洞處置前或預定時限前不應提前公開發布漏洞相關信息。針對不同類型漏洞的修復規律和所需週期,各方研判後協商擬定靈活實際的漏洞公開披露時間。
適度披露原則。不得披露國家政策法規和主管部門禁止披露的漏洞,不得披露違反知識產權保護法律法規及商業機密協定的信息,不得製作和發佈利用產品漏洞的方法、程序和工具。在漏洞處置完成前,對可通過公開信息(標題、描述等)猜解到具體目標系統、攻擊手法的信息進行弱化處理,避免相關漏洞被黑客利用實施網絡攻擊。
第九條 相關廠商在漏洞處置方面應遵循的自律義務:
漏洞修復和防範。高度重視軟硬件產品漏洞可能對用戶可能造成的危害,積極回應漏洞平臺以及漏洞報送者提供的漏洞信息,及時核實確認並提供和發佈漏洞補丁或解決方案。對於需要用戶採取漏洞修補或防範措施,並且可以向社會或用戶公開發布的,應當及時將漏洞風險及修補或防範措施向社會發布或通過客服等方式告知所有可能受影響的用戶,並提供必要的技術支持。
應從產品研發、測試和發佈等環節加強協同管理,及時應對新出現的漏洞,在產品升級更新方面做好技術準備和主動服務,確保漏洞修復措施的有效性和覆蓋面。
漏洞應急響應。建立快速應急響應機制,通過網站、郵件等方式及時披露和推送本單位生產、提供的軟硬件產品的漏洞描述信息或預警信息,並同時向主管部門報備,以保障產品用戶和系統用戶的知情權和安全利益。
第十條相關單位和從業者應共同防範和抵制漏洞信息的不當傳播,積極舉報和反對通過黑客地下產業購買、交易漏洞的行為,反對非法侵入或破壞他人信息系統。
第三章公約執行
第十一條移動安全聯盟負責組織實施本公約,負責向公約簽署單位傳遞互聯網安全管理的法規、政策及行業自律情況,及時向政府主管部門反映,組織實施相關自律工作,並對簽署單位遵守本公約的情況進行督促檢查。
第十二條公約簽署單位之間發生爭議時,應從維護國家、行業和用戶利益出發,本著協商原則解決爭議,也可以請求公約執行機構進行調解。
第十三條公約簽署單位接受社會和簽署單位的監督,對違反本公約的,任何其他單位和個人均有權向公約執行機構進行檢舉,請求公約執行機構進行調查;公約執行機構也可以直接進行調查,並將調查結果公佈。
第十四條公約成員單位違反本公約,造成不良影響,經查證屬實的,由公約執行機構視不同情況給予在內部通報或取消公約簽署單位資格的處理。
第十五條本公約所有簽署單位均有權對公約執行機構執行本公約的合法性和公正性進行監督,有權向執行機構的主管部門檢舉公約執行機構或其他工作人員違反本公約的行為。
第四章附則
第十六條本公約經公約發起單位法定代表人或其委託的代表簽字並加蓋公章後生效,並在生效後的30日內由移動安全聯盟向社會公佈。
第十七條本公約生效期間,由公約執行機構發起動議,本公約三分之二以上成員單位同意,可以對本公約進行修訂。
第十八條本公約內容與國家有關政策法規和政府主管部門規定不一致的,從其規定。
第十九條相關單位接受本公約的自律規則,均可以申請加入本公約;本公約成員單位也可以退出本公約,並通知公約執行機構;公約執行機構定期公佈加入及退出本公約的單位名單。
第二十條本公約由移動安全聯盟負責解釋。
第二十一條本公約自公佈之日起施行。
服務於會員的需要
服務於行業的發展
服務於政府的決策
溝通政府、企業、網民的橋樑
閱讀更多 中國互聯網協會 的文章
