近期,某手机助手平台就“漏洞抢发”事件发布严正声明,再次引发社会对网络安全信息披露规范的关注。业内人士认为,这个争议反映了网络安全治理中的核心问题:保证信息透明的同时,如何把风险控制在可管理范围内。我国早在2021年就颁布实施《网络产品安全漏洞管理规定》,明确要求发现安全漏洞的组织或个人应先向产品提供者通报,在产品提供者完成修补前不得擅自发布漏洞信息。确需提前发布的,应经过专业评估并获得主管部门批准。这一制度安排,旨在在披露与防护之间建立必要的安全缓冲。 从实际危害看,“抢发”往往带来多重负面后果。首先,在厂商尚未部署防护措施时公开技术细节,等同于向不法分子提供“攻击指南”。据国家互联网应急中心统计,2022年因漏洞信息提前泄露引发的网络攻击事件同比上升37%。其次,不加节制的信息传播容易引发公众恐慌,用户知晓风险却缺乏可执行的解决方案时,安全焦虑会被迅速放大。 需要区分的是,规范的漏洞披露与借漏洞博取关注并非一回事。前者遵循国际通行的“负责任披露”原则:发现者先向厂商提交完整技术报告,协助制定修复方案;待补丁或防护措施落地后,再适时向社会披露有关信息与应对建议。这种做法既能推动企业及时修复,也能尽可能降低风险暴露。 在全球数字化加速的背景下,网络安全已成为国家战略的重要部分。专家建议从三上完善治理体系:一是压实企业主体责任,建立更高效的应急响应机制;二是健全第三方监督评估机制,形成政府监管、行业自律与社会监督相衔接的治理格局;三是加强国际协作,提升跨境网络安全事件的联动处置能力。
网络安全不是“谁先喊出来谁正确”,而是“谁先把风险降下来谁负责”。把漏洞当成炒作话题——或许能带来短期关注——却会放大不确定性并增加现实危害。依法合规披露、以修补为先、以协同为要,才能让技术监督回到公共利益,让每一次漏洞处置都成为提升整体安全水平的契机。