工業和資訊化部、國家網際網路信息辦公室、公安部近日聯合印發《網路産品安全漏洞管理規定》(以下簡稱《規定》),該《規定》自今年9月1日起開始施行。
志翔科技高級副總裁伍海桑對科技日報記者説:“《規定》是對《網路安全法》的細化,進一步規範了網路産品的漏洞發現、公佈、報告和修補等流程,明確了職責、對象和辦法,是網路安全法落地實施的環節,非常必要,而且也非常務實。”
這是我國首次從産品視角管理漏洞。
“以往從攻擊事件視角、網路系統視角等為主的漏洞收集及管理模式,只能解決單點問題,很難對該漏洞影響各行業的風險情況進行全面研判和處置。”奇安信集團副總裁、補天漏洞響應平臺主任張卓説,“在供應鏈安全威脅日益嚴重的全球形勢下,《規定》著眼于整個供應鏈的風險評估和有效處置,對維護國家網路安全,保護網路産品和重要網路系統的安全穩定運作具有重大意義。”
網路産品漏洞往往波及所有相關使用者,而不會只影響局部。
張卓介紹,今年1月,專注于産品生命週期管理解決方案的西門子Digital Industries Software爆出數十個漏洞。駭客利用這些漏洞就能執行惡意代碼。所有使用該款産品的企業都受到不同程度的影響。
《規定》將及時修補網路産品安全漏洞作為網路産品提供者應當履行的安全義務。要求網路産品提供者于2日內向工業和資訊化部報送漏洞資訊,並及時進行修補,將修補方式告知可能受影響的産品用戶。
在壓實責任、明確流程的同時,《規定》也將紅線劃清。
《規定》特別強調,從事網路産品安全漏洞發現、收集的組織或者個人,不得刻意誇大網路産品安全漏洞的危害和風險,不得利用網路産品安全漏洞資訊實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網路産品安全漏洞資訊向網路産品提供者之外的境外組織或者個人提供。
如張卓所言:“《規定》的初衷在於規範網路産品漏洞的處理和生命週期流程,禁止拿漏洞作惡。”
工業和資訊化部網路安全管理局指出,近年來,不少專業機構、企業和社會組織等建立了從事漏洞發現和收集的漏洞收集平臺,在實際工作中部分漏洞收集平臺暴露出內部運營不規範、擅自發佈漏洞等問題,亟須加強管理。
《規定》明確對漏洞收集平臺實行備案管理,由工業和資訊化部對通過備案的漏洞收集平臺予以公佈,並要求漏洞收集平臺採取措施防範漏洞資訊洩露和違規發佈。
在此《規定》之下,不以“惡意利用”為初心,以發現、公佈漏洞、敦促運營者及時修補的“白帽子”們的行為將更加合法合規。
針對“不得發佈網路運營者在用的網路、資訊系統及其設備存在安全漏洞的細節情況。”這一條款,參與《決定》起草階段意見徵集的專家強調,這裡禁止的是“具體細節揭秘式”的發佈網路運營者相關漏洞。如不能發佈某企業的某個伺服器上有某個微軟漏洞,包括具體的IP、端口多少等,但微軟産品的漏洞資訊在修復後可以發佈。
伍海桑説:“從網路安全法、數據安全法及正在提請全國人大常委會審議的個人資訊保護法(草案)等上位法,到完善、補充細節的條例、辦法、規定等相關下位法,方方面面的數據與網路安全的圍欄越扎越密。”
(責任編輯:柯曉霽)