漏洞是网络安全的“命门”。软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统，从而引发各种网络安全问题。例如，2010年伊朗核设施遭受“震网病毒”攻击，2016年美国东海岸大面积断网事件，以及2017年肆虐全球的“WannaCry”勒索病毒事件，都是由于网络安全漏洞引发的。

　　更值得注意的是，网络是一个整体，任何一个单位、任何一个系统存在漏洞，都会成为犯罪分子和敌对势力攻击的跳板，成为整个网络的薄弱环节。作为中国最大的网络安全公司，360集团一年新发现的网络安全漏洞就超过8万个。从我国情况看，网络安全漏洞管理方面存在以下问题：

　　1、对漏洞不重视、修复不及时现象普遍存在。据360补天漏洞响应平台统计，25.6%的漏洞未进行修复，一些行业漏洞平均修复时间长达数月之久。去年5月12日“WannaCry”勒索病毒事件爆发，其实微软公司早在3月份就已发布了相应安全漏洞补丁，但我国很多单位却一直没有打补丁，导致近30万台主机和电脑被感染。直到今天，360公司还能监测到我国每天仍有近千台电脑感染此勒索病毒。

　　2、缺少具体的漏洞修复管理细则和处罚机制。《网络安全法》已经正式实施，规定了网络运营者的安全义务以及相应的追责。但对网络安全漏洞管理还没有执行细则。如，对于安全漏洞的修复时间等还缺少具体规定，导致很多单位修复周期过长，有时长达数周甚至数月，给攻击者留下机会。此外，缺少严格的监督执行和处罚机制，对未及时修复安全漏洞的单位无法及时发现和予以处罚。

　　为强化网络安全漏洞管理，降低被攻击风险，提高我国网络安全防护能力，建议：

　　一、建立漏洞管理全流程监督处罚制度

　　尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则，强制要求漏洞必须及时修复，对漏洞修复时间以及违规处罚措施予以明确规定。此外，应建立监督检查机制和力量，及时发现未及时修复漏洞的行为，并追究相关单位和责任人责任。

　　二、强制执行重要信息系统上线前漏洞检测

　　对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目，一方面在其上线运行或交付使用之前，应强制要求进行网络安全漏洞的自检和备案，尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面，国家网络安全主管部门应对上线系统进行抽检，发现问题及时整改。同时，应引导和鼓励软硬件系统开发企业加强安全开发规范和流程，尽量在源头避免网络安全漏洞的出现。

　　三、强制召回存在重大网络安全漏洞产品

　　对存在严重网络安全漏洞，可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品，尤其是物联网、智能汽车等产品，应借鉴汽车行业的做法，对存在重大网络安全漏洞产品的实施强制召回，避免造成更大的损失。

　　四、鼓励政企单位采用众测众包方式发现和收集漏洞

　　网络安全漏洞的挖掘和发现具有一定的偶然性，需要集合民间智慧。建议借鉴美国在安全漏洞收集和挖掘方面的做法。一方面，加强政企单位与专业网络安全企业的深度合作，充分利用网络安全企业的漏洞挖掘能力和情报优势，帮助政企单位及早发现和修复漏洞。另一方面，在安全可控的前提下，鼓励政企单位采用众测众包方式，充分发动民间安全研究力量发现和收集漏洞，提高网络安全整体防护能力。