工信部����、國家網(wǎng)信辦��、公安部近日聯(lián)合印發(fā)了《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》(以下簡(jiǎn)稱(chēng)“規定”)�?���!兑幎ā访鞔_�����,任何組織或者個(gè)人不得利用網(wǎng)絡(luò )產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò )安全的活動(dòng)�,不得非法收集���、出售�、發(fā)布網(wǎng)絡(luò )產(chǎn)品安全漏洞信息;網(wǎng)絡(luò )產(chǎn)品提供者應當履行網(wǎng)絡(luò )產(chǎn)品安全漏洞管理義務(wù)�,包括發(fā)現或獲知漏洞后應當在2日內向工信部網(wǎng)絡(luò )安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息等����。
今年來(lái)���,網(wǎng)絡(luò )產(chǎn)品漏洞的影響范圍頗廣�����,所有相關(guān)使用者均受其影響��。2021年1月����,專(zhuān)注于產(chǎn)品生命周期管理解決方案的西門(mén)子Digital Industries Software爆出數十個(gè)漏洞�,導致所有使用該款產(chǎn)品的企業(yè)全部受到影響�����,黑客利用這些漏洞就能執行惡意代碼��。同年5月��,有報道稱(chēng)高通MSM芯片被曝存在高危安全漏洞��,其2G����、3G�����、4G��、5G的系列芯片全部存在此漏洞��,攻擊者可利用該漏洞獲取隱私信息監聽(tīng)通話(huà)將手機變成監控設備��。該高危漏洞可能讓全球40億的手機用戶(hù)暴露在危險之下���。
《規定》特別強調��,從事網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現��、收集的組織或者個(gè)人���,不得刻意夸大網(wǎng)絡(luò )產(chǎn)品安全漏洞的危害和風(fēng)險�,不得利用網(wǎng)絡(luò )產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙���、敲詐勒索等違法犯罪活動(dòng);不得將未公開(kāi)的網(wǎng)絡(luò )產(chǎn)品安全漏洞信息向網(wǎng)絡(luò )產(chǎn)品提供者之外的境外組織或者個(gè)人提供�����。
奇安信集團副總裁���、補天漏洞響應平臺主任張卓分析���,此次多部門(mén)聯(lián)合印發(fā)的《規定》釋放了一個(gè)重要信號:我國將首次以產(chǎn)品視角來(lái)管理漏洞�����,通過(guò)對網(wǎng)絡(luò )產(chǎn)品漏洞的收集��、研判���、追蹤���、溯源����,立足于供應鏈全鏈條�����,對網(wǎng)絡(luò )產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險跟蹤���,實(shí)現對我國各行各業(yè)網(wǎng)絡(luò )安全的有效防護��。
參與該《規定》起草階段意見(jiàn)征集的專(zhuān)家針對兩條容易產(chǎn)生誤讀的條款作出了解讀����。有些安全研究人員認為《規定》限制了他們通過(guò)發(fā)布漏洞信息來(lái)“倒逼”不積極修復漏洞的廠(chǎng)商和運營(yíng)者的權力�����,但專(zhuān)家分析認為��,《規定》對漏洞信息的發(fā)布仍然體現積極的態(tài)度����,從建設整個(gè)網(wǎng)絡(luò )安全環(huán)境來(lái)看���,應該改“倒逼”為“法規”�����,目的是更加規范�,確保真實(shí)����、客觀(guān)��、必要����。同時(shí)��,《規定》中也留下了特殊情況下允許“提前”公開(kāi)的渠道:“認為有必要提前發(fā)布的���,應當與相關(guān)網(wǎng)絡(luò )產(chǎn)品提供者共同評估協(xié)商��,并向工業(yè)和信息化部�����、公安部報告�����,由工業(yè)和信息化部��、公安部組織評估后進(jìn)行發(fā)布�。”
針對“不得發(fā)布網(wǎng)絡(luò )運營(yíng)者在用的網(wǎng)絡(luò )�����、信息系統及其設備存在安全漏洞的細節情況”這一條款�,有些人理解為只要網(wǎng)絡(luò )運營(yíng)者在用的產(chǎn)品���,就不能公開(kāi)其漏洞�,實(shí)際上��,這里禁止的是“具體細節揭秘式”的發(fā)布網(wǎng)絡(luò )運營(yíng)者相關(guān)漏洞����。例如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞�,包括具體的IP���、端口多少等等���,但微軟產(chǎn)品本身的漏洞信息在修復后是可以發(fā)布的����。
張卓稱(chēng)�����,《規定》的初衷在于禁止拿漏洞作惡��,規范網(wǎng)絡(luò )產(chǎn)品漏洞的處理和生命周期流程����,其中有相當大的篇幅都是對廠(chǎng)商和運營(yíng)者提出漏洞收集和處理的規范要求��,不能隱瞞漏洞���、拒絕漏洞��、否認漏洞��,必須要積極承認��、積極通報�����、積極報告���、積極修復和處理��、積極通知生態(tài)環(huán)境�����。包括廠(chǎng)商要積極開(kāi)通接受漏洞信息的渠道��、留存信息���、確保及時(shí)修復�����、及時(shí)評估通知上下游�、及時(shí)向官方通報��、及時(shí)升級通報技術(shù)問(wèn)題等�����。
《規定》鼓勵各類(lèi)主體發(fā)揮各自技術(shù)和機制優(yōu)勢開(kāi)展漏洞發(fā)現��、收集��、發(fā)布等相關(guān)工作�,自9月1日起施行�����。
