工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》(以下简称《规定》),该《规定》自今年9月1日起开始施行。
志翔科技高级副总裁伍海桑对科技日报记者说:“《规定》是对《网络安全法》的细化,进一步规范了网络产品的漏洞发现、公布、报告和修补等流程,明确了职责、对象和办法,是网络安全法落地实施的环节,非常必要,而且也非常务实。”
这是我国首次从产品视角管理漏洞。
“以往从攻击事件视角、网络系统视角等为主的漏洞收集及管理模式,只能解决单点问题,很难对该漏洞影响各行业的风险情况进行全面研判和处置。”奇安信集团副总裁、补天漏洞响应平台主任张卓说,“在供应链安全威胁日益严重的全球形势下,《规定》着眼于整个供应链的风险评估和有效处置,对维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行具有重大意义。”
网络产品漏洞往往波及所有相关使用者,而不会只影响局部。
张卓介绍,今年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞。黑客利用这些漏洞就能执行恶意代码。所有使用该款产品的企业都受到不同程度的影响。
《规定》将及时修补网络产品安全漏洞作为网络产品提供者应当履行的安全义务。要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。
在压实责任、明确流程的同时,《规定》也将红线划清。
《规定》特别强调,从事网络产品安全漏洞发现、收集的组织或者个人,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
如张卓所言:“《规定》的初衷在于规范网络产品漏洞的处理和生命周期流程,禁止拿漏洞作恶。”
工业和信息化部网络安全管理局指出,近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台暴露出内部运营不规范、擅自发布漏洞等问题,亟须加强管理。
《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
在此《规定》之下,不以“恶意利用”为初心,以发现、公布漏洞、敦促运营者及时修补的“白帽子”们的行为将更加合法合规。
针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款,参与《决定》起草阶段意见征集的专家强调,这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等,但微软产品的漏洞信息在修复后可以发布。
伍海桑说:“从网络安全法、数据安全法及正在提请全国人大常委会审议的个人信息保护法(草案)等上位法,到完善、补充细节的条例、办法、规定等相关下位法,方方面面的数据与网络安全的围栏越扎越密。”