三部门加密网络安全围栏 首次从产品视角管理漏洞
志翔科技高级副总裁伍海桑对科技日报记者说:“《规定》是对《网络安全法》的细化,进一步规范了网络产品的漏洞发现、公布、报告和修补等流程,明确了职责、对象和办法,是网络安全法落地实施的环节,非常必要,而且也非常务实。”
这是我国首次从产品视角管理漏洞。
“以往从攻击事件视角、网络系统视角等为主的漏洞收集及管理模式,只能解决单点问题,很难对该漏洞影响各行业的风险情况进行全面研判和处置。”奇安信集团副总裁、补天漏洞响应平台主任张卓说,“在供应链安全威胁日益严重的全球形势下,《规定》着眼于整个供应链的风险评估和有效处置,对维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行具有重大意义。”
网络产品漏洞往往波及所有相关使用者,而不会只影响局部。
张卓介绍,今年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞。黑客利用这些漏洞就能执行恶意代码。所有使用该款产品的企业都受到不同程度的影响。
《规定》将及时修补网络产品安全漏洞作为网络产品提供者应当履行的安全义务。要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。
在压实责任、明确流程的同时,《规定》也将红线划清。
《规定》特别强调,从事网络产品安全漏洞发现、收集的组织或者个人,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
如张卓所言:“《规定》的初衷在于规范网络产品漏洞的处理和生命周期流程,禁止拿漏洞作恶。”
工业和信息化部网络安全管理局指出,近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台暴露出内部运营不规范、擅自发布漏洞等问题,亟须加强管理。
《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
在此《规定》之下,不以“恶意利用”为初心,以发现、公布漏洞、敦促运营者及时修补的“白帽子”们的行为将更加合法合规。
针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款,参与《决定》起草阶段意见征集的专家强调,这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等,但微软产品的漏洞信息在修复后可以发布。
伍海桑说:“从网络安全法、数据安全法及正在提请全国人大常委会审议的个人信息保护法(草案)等上位法,到完善、补充细节的条例、办法、规定等相关下位法,方方面面的数据与网络安全的围栏越扎越密。”
关键词:
-
【环境治理】中街街道新民北路社区多举措开展大气污染防治工作
-
灯湖·党建 | 欧阳红刚律师与中汇社区东苑党支部结对“红色律动,律师进小区”活动
-
社区社工室“在地社工”的角色担当——以五里沟街道社工站为例
-
楠竹林社区:幸福生活节节高
-
公卫考研其他小专业解析01:公共卫生与社区管理
-
《青年志愿者服务社区行动指引(2022年版)》全文发布
-
长乐区文武砂街道福蕾行动计划丨“清凉一夏,安全同行”儿童教育小组顺利落幕啦
-
县文化和旅游局到北苑社区组织开展文化旅游惠民活动——助力潍坊市创建“东亚文化之都”
-
【工作动态】人大代表助力社区疫情防控工作
-
【有奖征集】锦东社区大学名称征集
-
郫都区犀浦街道:“三专三强化”党建引领社区治理
-
【章丘“五为”志愿服务】相公庄街道政协委员联络室走访慰问贫困大学生
-
【社区风采】党建引领凝心聚力,携手同行筑梦童心
-
辛河翡翠社区日间照料中心防暑养生公益宣讲
-
芦湖街道“黄河明珠·幸福芦湖”全民才艺展演成功举办!
-
迎春亭街道多管齐下 抗旱保秋解民忧
-
【下基层察民情解民忧暖民心】咸宁监狱民警走进电台直播间 为家庭教育支招
-
望月湖街道区域核酸检测补采通知
-
党旗劲飘扬,战“疫”砺作风!红岛街道党员干部努力在大战大考中锤炼能力
-
紧抓生产,“安”字当头!红岛街道安置房东部组团项目有序推进复工复产
-
【中心简讯】青浦区政协赴永丰社区事务受理服务中心考察交流
-
江盛社区开展青少年健康沟通之道家长培训
-
我市开展“契约共建,服务社区”暨应急安全宣传活动 提高居民应急救援能力
-
赞!在职党员进社区 党建携手暖民心
-
农安刚发生的!一村民刘某接了诈骗电话还不听劝...