工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室�、公安部近日聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡(jiǎn)稱(chēng)《規(guī)定》),該《規(guī)定》自今年9月1日起開(kāi)始施行���。
志翔科技高級(jí)副總裁伍海桑對(duì)科技日?qǐng)?bào)記者說(shuō):“《規(guī)定》是對(duì)《網(wǎng)絡(luò)安全法》的細(xì)化����,進(jìn)一步規(guī)范了網(wǎng)絡(luò)產(chǎn)品的漏洞發(fā)現(xiàn)��、公布��、報(bào)告和修補(bǔ)等流程�,明確了職責(zé)、對(duì)象和辦法��,是網(wǎng)絡(luò)安全法落地實(shí)施的環(huán)節(jié)�,非常必要,而且也非常務(wù)實(shí)�。”
這是我國(guó)首次從產(chǎn)品視角管理漏洞���。
“以往從攻擊事件視角�、網(wǎng)絡(luò)系統(tǒng)視角等為主的漏洞收集及管理模式�,只能解決單點(diǎn)問(wèn)題��,很難對(duì)該漏洞影響各行業(yè)的風(fēng)險(xiǎn)情況進(jìn)行全面研判和處置�����?���!逼姘残偶瘓F(tuán)副總裁���、補(bǔ)天漏洞響應(yīng)平臺(tái)主任張卓說(shuō),“在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢(shì)下��,《規(guī)定》著眼于整個(gè)供應(yīng)鏈的風(fēng)險(xiǎn)評(píng)估和有效處置����,對(duì)維護(hù)國(guó)家網(wǎng)絡(luò)安全,保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義��?����!?/p>
網(wǎng)絡(luò)產(chǎn)品漏洞往往波及所有相關(guān)使用者���,而不會(huì)只影響局部���。
張卓介紹�,今年1月���,專(zhuān)注于產(chǎn)品生命周期管理解決方案的西門(mén)子Digital Industries Software爆出數(shù)十個(gè)漏洞��。黑客利用這些漏洞就能執(zhí)行惡意代碼���。所有使用該款產(chǎn)品的企業(yè)都受到不同程度的影響。
《規(guī)定》將及時(shí)修補(bǔ)網(wǎng)絡(luò)產(chǎn)品安全漏洞作為網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行的安全義務(wù)���。要求網(wǎng)絡(luò)產(chǎn)品提供者于2日內(nèi)向工業(yè)和信息化部報(bào)送漏洞信息�����,并及時(shí)進(jìn)行修補(bǔ)�����,將修補(bǔ)方式告知可能受影響的產(chǎn)品用戶(hù)�����。
在壓實(shí)責(zé)任��、明確流程的同時(shí)�����,《規(guī)定》也將紅線(xiàn)劃清���。
《規(guī)定》特別強(qiáng)調(diào)����,從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)�����、收集的組織或者個(gè)人��,不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn)�,不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙��、敲詐勒索等違法犯罪活動(dòng)�;不得將未公開(kāi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供。
如張卓所言:“《規(guī)定》的初衷在于規(guī)范網(wǎng)絡(luò)產(chǎn)品漏洞的處理和生命周期流程�����,禁止拿漏洞作惡?��!?/p>
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局指出�����,近年來(lái)��,不少專(zhuān)業(yè)機(jī)構(gòu)��、企業(yè)和社會(huì)組織等建立了從事漏洞發(fā)現(xiàn)和收集的漏洞收集平臺(tái)���,在實(shí)際工作中部分漏洞收集平臺(tái)暴露出內(nèi)部運(yùn)營(yíng)不規(guī)范、擅自發(fā)布漏洞等問(wèn)題�,亟須加強(qiáng)管理。
《規(guī)定》明確對(duì)漏洞收集平臺(tái)實(shí)行備案管理�����,由工業(yè)和信息化部對(duì)通過(guò)備案的漏洞收集平臺(tái)予以公布�����,并要求漏洞收集平臺(tái)采取措施防范漏洞信息泄露和違規(guī)發(fā)布。
在此《規(guī)定》之下����,不以“惡意利用”為初心,以發(fā)現(xiàn)��、公布漏洞�、敦促運(yùn)營(yíng)者及時(shí)修補(bǔ)的“白帽子”們的行為將更加合法合規(guī)。
針對(duì)“不得發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者在用的網(wǎng)絡(luò)����、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況?!边@一條款,參與《決定》起草階段意見(jiàn)征集的專(zhuān)家強(qiáng)調(diào)�����,這里禁止的是“具體細(xì)節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者相關(guān)漏洞��。如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞����,包括具體的IP����、端口多少等��,但微軟產(chǎn)品的漏洞信息在修復(fù)后可以發(fā)布���。
伍海桑說(shuō):“從網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法及正在提請(qǐng)全國(guó)人大常委會(huì)審議的個(gè)人信息保護(hù)法(草案)等上位法�����,到完善���、補(bǔ)充細(xì)節(jié)的條例�、辦法����、規(guī)定等相關(guān)下位法,方方面面的數(shù)據(jù)與網(wǎng)絡(luò)安全的圍欄越扎越密�����?���!?/p>
(責(zé)任編輯:蔡文斌)
晉公網(wǎng)安備 14090202000008號(hào) 
