工信部��、國家網(wǎng)信辦、公安部近日聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱“規(guī)定”)�����?��!兑?guī)定》明確�,任何組織或者個(gè)人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動���,不得非法收集�、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息;網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)�����,包括發(fā)現(xiàn)或獲知漏洞后應(yīng)當(dāng)在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息等��。
今年來����,網(wǎng)絡(luò)產(chǎn)品漏洞的影響范圍頗廣,所有相關(guān)使用者均受其影響����。2021年1月,專注于產(chǎn)品生命周期管理解決方案的西門子Digital Industries Software爆出數(shù)十個(gè)漏洞�,導(dǎo)致所有使用該款產(chǎn)品的企業(yè)全部受到影響,黑客利用這些漏洞就能執(zhí)行惡意代碼����。同年5月,有報(bào)道稱高通MSM芯片被曝存在高危安全漏洞����,其2G、3G���、4G��、5G的系列芯片全部存在此漏洞�,攻擊者可利用該漏洞獲取隱私信息監(jiān)聽通話將手機(jī)變成監(jiān)控設(shè)備。該高危漏洞可能讓全球40億的手機(jī)用戶暴露在危險(xiǎn)之下���。
《規(guī)定》特別強(qiáng)調(diào),從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)���、收集的組織或者個(gè)人�����,不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn)�����,不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙�、敲詐勒索等違法犯罪活動;不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供�。
奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺主任張卓分析�,此次多部門聯(lián)合印發(fā)的《規(guī)定》釋放了一個(gè)重要信號:我國將首次以產(chǎn)品視角來管理漏洞,通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集��、研判、追蹤�����、溯源�,立足于供應(yīng)鏈全鏈條,對網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤�����,實(shí)現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護(hù)����。
參與該《規(guī)定》起草階段意見征集的專家針對兩條容易產(chǎn)生誤讀的條款作出了解讀。有些安全研究人員認(rèn)為《規(guī)定》限制了他們通過發(fā)布漏洞信息來“倒逼”不積極修復(fù)漏洞的廠商和運(yùn)營者的權(quán)力�,但專家分析認(rèn)為,《規(guī)定》對漏洞信息的發(fā)布仍然體現(xiàn)積極的態(tài)度�,從建設(shè)整個(gè)網(wǎng)絡(luò)安全環(huán)境來看,應(yīng)該改“倒逼”為“法規(guī)”����,目的是更加規(guī)范,確保真實(shí)����、客觀���、必要。同時(shí)�,《規(guī)定》中也留下了特殊情況下允許“提前”公開的渠道:“認(rèn)為有必要提前發(fā)布的,應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評估協(xié)商�,并向工業(yè)和信息化部、公安部報(bào)告�,由工業(yè)和信息化部、公安部組織評估后進(jìn)行發(fā)布��。”
針對“不得發(fā)布網(wǎng)絡(luò)運(yùn)營者在用的網(wǎng)絡(luò)��、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況”這一條款��,有些人理解為只要網(wǎng)絡(luò)運(yùn)營者在用的產(chǎn)品���,就不能公開其漏洞,實(shí)際上��,這里禁止的是“具體細(xì)節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運(yùn)營者相關(guān)漏洞�����。例如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞���,包括具體的IP����、端口多少等等,但微軟產(chǎn)品本身的漏洞信息在修復(fù)后是可以發(fā)布的�����。
張卓稱�����,《規(guī)定》的初衷在于禁止拿漏洞作惡�,規(guī)范網(wǎng)絡(luò)產(chǎn)品漏洞的處理和生命周期流程,其中有相當(dāng)大的篇幅都是對廠商和運(yùn)營者提出漏洞收集和處理的規(guī)范要求�����,不能隱瞞漏洞���、拒絕漏洞���、否認(rèn)漏洞,必須要積極承認(rèn)、積極通報(bào)�、積極報(bào)告、積極修復(fù)和處理����、積極通知生態(tài)環(huán)境。包括廠商要積極開通接受漏洞信息的渠道��、留存信息�����、確保及時(shí)修復(fù)����、及時(shí)評估通知上下游、及時(shí)向官方通報(bào)���、及時(shí)升級通報(bào)技術(shù)問題等。
《規(guī)定》鼓勵各類主體發(fā)揮各自技術(shù)和機(jī)制優(yōu)勢開展漏洞發(fā)現(xiàn)�����、收集�����、發(fā)布等相關(guān)工作,自9月1日起施行�。
