我们擅长商业策略与用户体验的完美结合。
欢迎浏览我们的案例。
工信部、国家网信办、公安部近日联合印发了《网络产品安全漏洞管理规定》(以下简称“规定”)。《规定》明确,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;网络产品提供者应当履行网络产品安全漏洞管理义务,包括发现或获知漏洞后应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息等。
今年来,网络产品漏洞的影响范围颇广,所有相关使用者均受其影响。2021年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞,导致所有使用该款产品的企业全部受到影响,黑客利用这些漏洞就能执行恶意代码。同年5月,有报道称高通MSM芯片被曝存在高危安全漏洞,其2G、3G、4G、5G的系列芯片全部存在此漏洞,攻击者可利用该漏洞获取隐私信息监听通话将手机变成监控设备。该高危漏洞可能让全球40亿的手机用户暴露在危险之下。
《规定》特别强调,从事网络产品安全漏洞发现、收集的组织或者个人,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
奇安信集团副总裁、补天漏洞响应平台主任张卓分析,此次多部门联合印发的《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
参与该《规定》起草阶段意见征集的专家针对两条容易产生误读的条款作出了解读。有些安全研究人员认为《规定》限制了他们通过发布漏洞信息来“倒逼”不积极修复漏洞的厂商和运营者的权力,但专家分析认为,《规定》对漏洞信息的发布仍然体现积极的态度,从建设整个网络安全环境来看,应该改“倒逼”为“法规”,目的是更加规范,确保真实、客观、必要。同时,《规定》中也留下了特殊情况下允许“提前”公开的渠道:“认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。”
针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况”这一条款,有些人理解为只要网络运营者在用的产品,就不能公开其漏洞,实际上,这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。例如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等等,但微软产品本身的漏洞信息在修复后是可以发布的。
张卓称,《规定》的初衷在于禁止拿漏洞作恶,规范网络产品漏洞的处理和生命周期流程,其中有相当大的篇幅都是对厂商和运营者提出漏洞收集和处理的规范要求,不能隐瞒漏洞、拒绝漏洞、否认漏洞,必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。包括厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。
《规定》鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作,自9月1日起施行。
