隨著人工智能的發(fā)展,以及移動智能設(shè)備不斷普及����,各類漏洞風(fēng)險與日俱增,隨之而來的安全事件也不斷爆發(fā)���,為移動互聯(lián)網(wǎng)的安全管理敲響了警鐘���。同時,隨著終端系統(tǒng)代碼量的增加�����,漏洞數(shù)量和攻擊面也隨之增加���,使得智能終端操作系統(tǒng)漏洞修補越來越需要被重視。
《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定:網(wǎng)絡(luò)產(chǎn)品�����、服務(wù)的提供者不得設(shè)置惡意程序���;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品�、服務(wù)存在安全缺陷、漏洞等風(fēng)險時�����,應(yīng)當(dāng)立即采取補救措施���,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告��。
為配合該法案的落地實施�,加強和規(guī)范移動互聯(lián)網(wǎng)安全漏洞信息發(fā)布與處置工作�����,維護公民���、法人和其他組織的合法權(quán)益�����,保障網(wǎng)絡(luò)與信息安全��,促進行業(yè)健康發(fā)展��,移動安全聯(lián)盟及時關(guān)注漏洞問題��,制定“移動安全行動計劃”�,促進行業(yè)自律。
2018年7月10日���,移動安全聯(lián)盟在2018(第十七屆)中國互聯(lián)網(wǎng)大會期間�,舉辦2018中國人工智能移動安全高峰論壇并啟動“移動安全行動計劃”���。
《移動安全聯(lián)盟漏洞信息披露和處置自律公約》簽署儀式
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副局長楊宇燕���,電信終端產(chǎn)業(yè)協(xié)會理事長、移動安全聯(lián)盟理事長謝毅博士等領(lǐng)導(dǎo)與來自終端廠商�����、互聯(lián)網(wǎng)企業(yè)���、安全廠商、科研院所的代表共兩百余人見證了行動的啟動����。中國信息通信研究院、北京大學(xué)��、維沃移動通信有限公司、北京百度網(wǎng)訊科技有限公司�、四川長虹電器股份有限公司、阿里巴巴網(wǎng)絡(luò)技術(shù)有限公司����、三六零科技股份有限公司、珠海市魅族通訊設(shè)備有限公司���、北京小米移動軟件有限公司���、華為技術(shù)有限公司、武漢安天信息技術(shù)有限責(zé)任公司���、北京京東世紀(jì)貿(mào)易有限公司�����、廣東歐珀移動通信有限公司����、恒安嘉新(北京)科技股份公司�、中國聯(lián)合網(wǎng)絡(luò)通信有限公司、廈門美圖移動科技有限公司���、深圳市金立通信設(shè)備有限公司����、北京娜迦信息科技發(fā)展有限公司、中國電信上海研究院����、北京指掌易科技有限公司等20家相關(guān)廠商、檢測機構(gòu)作為首批簽約單位共同簽署《移動安全聯(lián)盟漏洞信息披露和處置自律公約》����。
“移動安全行動計劃”的具體內(nèi)容,主要包括以下三部分內(nèi)容:
一是移動安全聯(lián)盟漏洞處置合作計劃
移動安全聯(lián)盟推動移動智能設(shè)備產(chǎn)業(yè)鏈各方各司其責(zé)���,協(xié)同完成移動智能設(shè)備漏洞的修復(fù)工作�,制定《移動安全聯(lián)盟漏洞處置合作計劃》�����,移動安全聯(lián)盟會同移動智能設(shè)備產(chǎn)業(yè)各方�,綜合考慮漏洞的危害程度、影響范圍�����、修復(fù)難度�����、可利用情況等多方面因素���,制定移動智能設(shè)備漏洞處置列表�����,為移動智能設(shè)備產(chǎn)業(yè)鏈各方修復(fù)產(chǎn)品漏洞提供便利�����。
二是移動安全聯(lián)盟安全事件應(yīng)急響應(yīng)機制
移動安全聯(lián)盟聯(lián)合產(chǎn)業(yè)鏈各方建立移動智能設(shè)備漏洞快速響應(yīng)機制���。聯(lián)盟負(fù)責(zé)收集移動智能設(shè)備漏洞相關(guān)的安全事件,并上報監(jiān)管部門���。對于影響較大的安全事件���,協(xié)調(diào)技術(shù)檢測機構(gòu)及時發(fā)布檢測工具,推動操作系統(tǒng)供應(yīng)商和設(shè)備廠商進行漏洞修補工作�����,同時及時向用戶發(fā)布安全公告,提醒用戶及時更新系統(tǒng)��,注意防范�。
三是移動安全聯(lián)盟漏洞信息披露和處置自律公約
移動安全聯(lián)盟倡議國內(nèi)外相關(guān)廠商、檢測機構(gòu)共同簽署《移動安全聯(lián)盟漏洞信息披露和處置自律公約》�����,遵照“趨利避害���、有效管理��、積極引導(dǎo)”的基本方針�����,為維護用戶個人信息安全和合法權(quán)益���,保障網(wǎng)絡(luò)與信息安全,促進行業(yè)健康發(fā)展����,進一步規(guī)范國內(nèi)外相關(guān)廠商��、檢測機構(gòu)在漏洞信息發(fā)布和處置方面的行為,從維護國家�、行業(yè)和用戶利益的高度出發(fā),積極加強自律�,共同營造良好的網(wǎng)絡(luò)安全環(huán)境。
附《移動安全聯(lián)盟漏洞信息披露和處置自律公約》全文
第一章 總則
第一條 遵照“趨利避害�����、有效管理����、積極引導(dǎo)”的基本方針,為維護用戶個人信息安全和合法權(quán)益����,保障網(wǎng)絡(luò)與信息安全,促進行業(yè)健康發(fā)展��,進一步規(guī)范國內(nèi)外相關(guān)廠商�、檢測機構(gòu)在漏洞信息發(fā)布和處置方面的行為,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)有關(guān)規(guī)定���,制定本公約���。
第二條 本公約所稱移動終端安全漏洞(以下簡稱漏洞)是指移動終端在硬件����、軟件�、通信協(xié)議的設(shè)計與實現(xiàn)過程中或在系統(tǒng)安全策略上存在的缺陷和不足;非法用戶可利用安全漏洞獲得移動終端的額外權(quán)限��,在未經(jīng)授權(quán)的情況下訪問或提高其訪問權(quán)���,破壞系統(tǒng)��,危害信息系統(tǒng)安全�。
第三條 本公約所稱相關(guān)廠商主要指軟硬件產(chǎn)品生產(chǎn)廠商���、互聯(lián)網(wǎng)服務(wù)提供商���。檢測機構(gòu)指從事移動終端安全檢測相關(guān)業(yè)務(wù)的實驗室或安全公司。
第四條 倡議國內(nèi)外相關(guān)廠商和檢測機構(gòu)加入本公約���,從維護國家���、行業(yè)和用戶利益的高度出發(fā)���,積極加強自律,共同營造良好的網(wǎng)絡(luò)安全環(huán)境����。
第五條 移動安全聯(lián)盟負(fù)責(zé)監(jiān)督本公約的實施��。移動安全聯(lián)盟作為本公約的執(zhí)行機構(gòu)�����,負(fù)責(zé)組織實施本公約����。
第二章 自律條款
第六條 自覺遵守我國有關(guān)互聯(lián)網(wǎng)管理的法律、法規(guī)和政策�����,自覺維護國家����、行業(yè)和互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全合法權(quán)益��。
第七條 相關(guān)廠商和檢測機構(gòu)應(yīng)協(xié)同一致做好漏洞信息的發(fā)布��、處置等環(huán)節(jié)工作�����,做好漏洞信息披露和處置風(fēng)險管理���,避免因漏洞信息披露不當(dāng)和處置不及時而危害到國家安全、社會安全�����、企業(yè)安全和用戶安全���。
第八條 各方在漏洞信息披露方面應(yīng)遵循的原則:
客觀披露原則���。對公開發(fā)布的漏洞信息要進行披露審核,確保漏洞信息的真實性和完整性��,漏洞信息涉及的目標(biāo)對象�、風(fēng)險情況描述不出現(xiàn)重大偏差;對漏洞可導(dǎo)致的潛在風(fēng)險不能作為安全攻擊事件進行披露和引導(dǎo)�,以免引起媒體輿論和社會公眾的誤讀和恐慌�����。
適時披露原則����。在相關(guān)方未接收到漏洞信息���、完成漏洞處置前或預(yù)定時限前不應(yīng)提前公開發(fā)布漏洞相關(guān)信息�����。針對不同類型漏洞的修復(fù)規(guī)律和所需周期,各方研判后協(xié)商擬定靈活實際的漏洞公開披露時間���。
適度披露原則��。不得披露國家政策法規(guī)和主管部門禁止披露的漏洞�����,不得披露違反知識產(chǎn)權(quán)保護法律法規(guī)及商業(yè)機密協(xié)定的信息�,不得制作和發(fā)布利用產(chǎn)品漏洞的方法���、程序和工具��。在漏洞處置完成前�,對可通過公開信息(標(biāo)題、描述等)猜解到具體目標(biāo)系統(tǒng)����、攻擊手法的信息進行弱化處理,避免相關(guān)漏洞被黑客利用實施網(wǎng)絡(luò)攻擊���。
第九條 相關(guān)廠商在漏洞處置方面應(yīng)遵循的自律義務(wù):
漏洞修復(fù)和防范�����。高度重視軟硬件產(chǎn)品漏洞可能對用戶可能造成的危害�,積極回應(yīng)漏洞平臺以及漏洞報送者提供的漏洞信息�����,及時核實確認(rèn)并提供和發(fā)布漏洞補丁或解決方案����。對于需要用戶采取漏洞修補或防范措施,并且可以向社會或用戶公開發(fā)布的��,應(yīng)當(dāng)及時將漏洞風(fēng)險及修補或防范措施向社會發(fā)布或通過客服等方式告知所有可能受影響的用戶,并提供必要的技術(shù)支持�����。
應(yīng)從產(chǎn)品研發(fā)���、測試和發(fā)布等環(huán)節(jié)加強協(xié)同管理��,及時應(yīng)對新出現(xiàn)的漏洞�,在產(chǎn)品升級更新方面做好技術(shù)準(zhǔn)備和主動服務(wù)�,確保漏洞修復(fù)措施的有效性和覆蓋面。
漏洞應(yīng)急響應(yīng)����。建立快速應(yīng)急響應(yīng)機制�,通過網(wǎng)站、郵件等方式及時披露和推送本單位生產(chǎn)��、提供的軟硬件產(chǎn)品的漏洞描述信息或預(yù)警信息����,并同時向主管部門報備,以保障產(chǎn)品用戶和系統(tǒng)用戶的知情權(quán)和安全利益�����。
第十條 相關(guān)單位和從業(yè)者應(yīng)共同防范和抵制漏洞信息的不當(dāng)傳播,積極舉報和反對通過黑客地下產(chǎn)業(yè)購買��、交易漏洞的行為�����,反對非法侵入或破壞他人信息系統(tǒng)����。
第三章 公約執(zhí)行
第十一條 移動安全聯(lián)盟負(fù)責(zé)組織實施本公約,負(fù)責(zé)向公約簽署單位傳遞互聯(lián)網(wǎng)安全管理的法規(guī)��、政策及行業(yè)自律情況�,及時向政府主管部門反映,組織實施相關(guān)自律工作��,并對簽署單位遵守本公約的情況進行督促檢查�。
第十二條 公約簽署單位之間發(fā)生爭議時,應(yīng)從維護國家�、行業(yè)和用戶利益出發(fā),本著協(xié)商原則解決爭議�����,也可以請求公約執(zhí)行機構(gòu)進行調(diào)解。
第十三條 公約簽署單位接受社會和簽署單位的監(jiān)督��,對違反本公約的���,任何其他單位和個人均有權(quán)向公約執(zhí)行機構(gòu)進行檢舉��,請求公約執(zhí)行機構(gòu)進行調(diào)查���;公約執(zhí)行機構(gòu)也可以直接進行調(diào)查,并將調(diào)查結(jié)果公布���。
第十四條 公約成員單位違反本公約�,造成不良影響��,經(jīng)查證屬實的����,由公約執(zhí)行機構(gòu)視不同情況給予在內(nèi)部通報或取消公約簽署單位資格的處理��。
第十五條 本公約所有簽署單位均有權(quán)對公約執(zhí)行機構(gòu)執(zhí)行本公約的合法性和公正性進行監(jiān)督���,有權(quán)向執(zhí)行機構(gòu)的主管部門檢舉公約執(zhí)行機構(gòu)或其他工作人員違反本公約的行為���。
第四章 附則
第十六條 本公約經(jīng)公約發(fā)起單位法定代表人或其委托的代表簽字并加蓋公章后生效����,并在生效后的30日內(nèi)由移動安全聯(lián)盟向社會公布����。
第十七條 本公約生效期間,由公約執(zhí)行機構(gòu)發(fā)起動議�,本公約三分之二以上成員單位同意,可以對本公約進行修訂����。
第十八條 本公約內(nèi)容與國家有關(guān)政策法規(guī)和政府主管部門規(guī)定不一致的,從其規(guī)定�。
第十九條 相關(guān)單位接受本公約的自律規(guī)則,均可以申請加入本公約�;本公約成員單位也可以退出本公約,并通知公約執(zhí)行機構(gòu)��;公約執(zhí)行機構(gòu)定期公布加入及退出本公約的單位名單�����。
第二十條 本公約由移動安全聯(lián)盟負(fù)責(zé)解釋。
第二十一條 本公約自公布之日起施行���。
