網(wǎng)絡安全法落地實施 我國首次從網(wǎng)絡產(chǎn)品視角管理漏洞

工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部近日聯(lián)合印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》(下文簡稱《規(guī)定》)，該《規(guī)定》自今年9月1日起開始施行。

志翔科技高級副總裁伍海桑對科技日報記者說：“《規(guī)定》是對《網(wǎng)絡安全法》的細化，進一步規(guī)范了網(wǎng)絡產(chǎn)品的漏洞發(fā)現(xiàn)、公布、報告和修補等流程，明確了職責、對象和辦法，是網(wǎng)絡安全法落地實施的環(huán)節(jié)，非常必要，而且也非常務實。”

這是我國首次從產(chǎn)品視角管理漏洞。

“以往從攻擊事件視角、網(wǎng)絡系統(tǒng)視角等為主的漏洞收集及管理模式，只能解決單點問題，很難對該漏洞影響各行業(yè)的風險情況進行全面研判和處置。”奇安信集團副總裁、補天漏洞響應平臺主任張卓說，“在供應鏈安全威脅日益嚴重的全球形勢下，《規(guī)定》著眼于整個供應鏈的風險評估和有效處置，對維護國家網(wǎng)絡安全，保護網(wǎng)絡產(chǎn)品和重要網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行具有重大意義。”

網(wǎng)絡產(chǎn)品漏洞往往波及所有相關使用者，而不會只影響局部。

張卓介紹，今年1月，專注于產(chǎn)品生命周期管理解決方案的西門子Digital Industries Software爆出數(shù)十個漏洞。黑客利用這些漏洞就能執(zhí)行惡意代碼。所有使用該款產(chǎn)品的企業(yè)都受到不同程度的影響。

《規(guī)定》將及時修補網(wǎng)絡產(chǎn)品安全漏洞作為網(wǎng)絡產(chǎn)品提供者應當履行的安全義務。要求網(wǎng)絡產(chǎn)品提供者于2日內(nèi)向工業(yè)和信息化部報送漏洞信息，并及時進行修補，將修補方式告知可能受影響的產(chǎn)品用戶。

在壓實責任、明確流程的同時，《規(guī)定》也將紅線劃清。

《規(guī)定》特別強調，從事網(wǎng)絡產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個人，不得刻意夸大網(wǎng)絡產(chǎn)品安全漏洞的危害和風險，不得利用網(wǎng)絡產(chǎn)品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網(wǎng)絡產(chǎn)品安全漏洞信息向網(wǎng)絡產(chǎn)品提供者之外的境外組織或者個人提供。

如張卓所言：“《規(guī)定》的初衷在于規(guī)范網(wǎng)絡產(chǎn)品漏洞的處理和生命周期流程，禁止拿漏洞作惡。”

工業(yè)和信息化部網(wǎng)絡安全管理局指出，近年來，不少專業(yè)機構、企業(yè)和社會組織等建立了從事漏洞發(fā)現(xiàn)和收集的漏洞收集平臺，在實際工作中部分漏洞收集平臺暴露出內(nèi)部運營不規(guī)范、擅自發(fā)布漏洞等問題，亟需加強管理。

《規(guī)定》明確對漏洞收集平臺實行備案管理，由工業(yè)和信息化部對通過備案的漏洞收集平臺予以公布，并要求漏洞收集平臺采取措施防范漏洞信息泄露和違規(guī)發(fā)布。

在此《規(guī)定》之下，不以“惡意利用”為初心，以發(fā)現(xiàn)、公布漏洞、敦促運營者及時修補的“白帽子”們的行為將更加合法合規(guī)。

針對“不得發(fā)布網(wǎng)絡運營者在用的網(wǎng)絡、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況。”這一條款，參與《決定》起草階段意見征集的專家強調，這里禁止的是“具體細節(jié)揭秘式”的發(fā)布網(wǎng)絡運營者相關漏洞。如不能發(fā)布某企業(yè)的某個服務器上有某個微軟漏洞，包括具體的IP、端口多少等，但微軟產(chǎn)品的漏洞信息在修復后可以發(fā)布。

伍海桑說：“從網(wǎng)絡安全法、數(shù)據(jù)安全法及正在提請全國人大常委會審議的個人信息保護法(草案)等上位法,到完善、補充細節(jié)的條例、辦法、規(guī)定等相關下位法，網(wǎng)絡，數(shù)據(jù)、個人信息等方方面面的數(shù)據(jù)與網(wǎng)絡安全的圍欄越扎越密。”(科技日報記者 劉艷)

關鍵詞： 網(wǎng)絡產(chǎn)品視角 網(wǎng)絡產(chǎn)品 安全漏洞 網(wǎng)絡安全