漏洞危机爆发时，企业该做什么？

2021年，相关法律法规的完善极大促进了中国网络安全行业的发展，基于企业稳定运营、安全运营的原则，越来越多的领域投入到企业安全合规的建设中来。但现状是，随着安全建设的不断深入，各项出台的法规、政策并不一定能充分执行到位，这往往为企业和行业的安全发展埋下了隐患。
近日媒体就报道了有关「阿里云被暂停工信部网络安全威胁信息共享平台合作单位」的消息。
事件的起因在于，阿里云作为工信部网络安全威胁信息共享平台合作单位，在发现阿帕奇Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。
因此，阿里云最终被工信部暂停作为合作单位6个月。暂停期满后，再根据阿里云公司整改的情况，研究是否恢复其上述合作单位的资格。事实上，有关安全漏洞事件，国家有一套详细的法律法规，约束相关企业“尽早申报”，协助相关行业的企事业单位即时“补漏”。

 

漏洞防范，有规可依

 

早在2019年，国家工业和信息化部会同有关部门成立专项起草组，研究分析国内外漏洞管理现状，梳理相关漏洞管理需求，形成了初期的《网络产品安全漏洞管理规定》送审稿。几经优化后，终于在2021年9月，正式出台《网络产品安全漏洞管理规定》正式稿，第一次对我国漏洞发现、报告、修补和发布行为进行明确的流程和责任划分，让漏洞防范，有法可循、有规可依。《网络产品安全漏洞管理规定》源于《网络安全法》，由工业和信息化部、国家互联网信息办公室、公安部联合制定，维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；在规范相关漏洞申报的同时，明确了网络产品提供者、网络产品运营者以及漏洞事件中涉及到发现、收集、发布的组织或个人的责任及义务。

隐私的网络大数据容易网络攻击的目标

网络信息的大量聚集，使得黑客一次成功的攻击能够获得更多的数据，无形中降低了黑客的进攻成本，增加了“收益率”。
网络空间中的数据来源涵盖非常广阔的范围，例如传感器、社交网络、记录存档、电子邮件等，大量数据的聚集不可避免地加大了用户隐私泄露的风险.

加大隐私泄露风险

大量的数据汇集，包括大量的企业运营数据、客户信息、个人隐私和各种行为的细节记录。
一些敏感数据的所有权和使用权并没有明确的界定，很多基于大数据的分析都未考虑到其中涉及到的个体的隐私问题。
可见，对于网络各种隐私数据已经成为了黑客们的攻击对象。据了解，目前的网络防护技术要比以往都要安全，如加密传输协议逐步取代明文传输协议，不安全的加密技术被淘汰。但是由于昂贵的费用，导致很多个人以及企业都没有采取相关的措施进行网络信息安全保护。针对网络安全隐患，国内信息安全服务商GDCA（数安时代）以下建议：

网站完善信息安全基本保护

设置加密创新协议。目前各大浏览器纷纷要求网站启动网络加密传输协议，把http明文传输配置SSL安全证书升级到https加密传输。但是我们国内的网站部署https远低于国际水平。

个人加强网络安全意识

识别钓鱼网站。越来越多的钓鱼网站与企业网站一模一样，用户一不小心就掉入钓鱼网站的陷阱。所以个人用户在登录个人信息之前必须查看网站的https、浏览器提示、SSL证书的详细信息等等。
加强登录密码强度。由于很多用户在多个平台都采用一样的账号密码，或过于简单的密码，这种网络行为很多让网络黑客撞库以及密码破解。
近年来，网络安全漏洞威胁日益严峻，每一次重量级漏洞的爆发往往会在社会上快速传播，不断威胁企业和用户的安全。《网络产品安全漏洞管理规定》的出台进一步规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；使得漏洞管理工作变的更加制度化、规范化、法治化，对于提升漏洞管理水平，促进网络安全有着重要的作用。而作为企业、组织和个人，也要认真了解《网络产品安全漏洞管理规定》的具体要求，并参照执行，切莫踩在红线上。
当然，保证个人信息安全是一个需要长期坚持的重要任务，需要根据各方面技术的发展以及个体和社会数据安全的状态，及时做出有针对性的调整。
因此，各相关方要有足够清醒的认识。同时需要明确的是，坚持这个长期工作的根本目的，是持续促进经济、社会的健康发展和国家安全基石稳固的基础。在这个过程中，诸多相关产业的发展、壮大，才能得到基础性保障。