当前位置:首页 > 产品中心

三部门加密网络安全围栏首次从产品视角管理漏洞

发布时间: 2021-07-24 09:53:06  来源:欧洲杯哪里投注 

  工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》(以下简称《规定》),该《规定》自今年9月1日起开始施行。

  志翔科技高级副总裁伍海桑对科技日报记者说:“《规定》是对《网络安全法》的细化,进一步规范了网络产品的漏洞发现、公布、报告和修补等流程,明确了职责、对象和办法,是网络安全法落地实施的环节,非常必要,而且也非常务实。”

  “以往从攻击事件视角、网络系统视角等为主的漏洞收集及管理模式,只能解决单点问题,很难对该漏洞影响各行业的风险情况进行全面研判和处置。”奇安信集团副总裁、补天漏洞响应平台主任张卓说,“在供应链安全威胁日益严重的全球形势下,《规定》着眼于整个供应链的风险评估和有效处置,对维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行具有重大意义。”

  张卓介绍,今年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞。黑客利用这些漏洞就能执行恶意代码。所有使用该款产品的企业都受到不同程度的影响。

  《规定》将及时修补网络产品安全漏洞作为网络产品提供者应当履行的安全义务。要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。

  《规定》特别强调,从事网络产品安全漏洞发现、收集的组织或者个人,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

  工业和信息化部网络安全管理局指出,近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台暴露出内部运营不规范、擅自发布漏洞等问题,亟须加强管理。

  《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。

  在此《规定》之下,不以“恶意利用”为初心,以发现、公布漏洞、敦促运营者及时修补的“白帽子”们的行为将更加合法合规。

  针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款,参与《决定》起草阶段意见征集的专家强调,这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等,但微软产品的漏洞信息在修复后可以发布。

  伍海桑说:“从网络安全法、数据安全法及正在提请全国人大常委会审议的个人信息保护法(草案)等上位法,到完善、补充细节的条例、办法、规定等相关下位法,方方面面的数据与网络安全的围栏越扎越密。”

  人民网北京7月14日电(记者毕磊、许维娜)“数字政府已成为数字中国和数字化发展的重要内容,满足人民群众对美好生活向往的有力保障,防范应对重大突发风险的强大护盾。”在14日举行的2021年中国互联网大会“数字政府论坛”上,工业和信息化部办公厅副主任任利华在致辞中表示。…

  人民网北京7月14日电(记者毕磊、许维娜)在13日举办的中国互联网大会上,中国互联网协会发布了《中国互联网发展报告(2021)》(以下简称《报告》)。《报告》显示,2020年,我国人工智能产业规模为3031亿元,同比增长15%,增速略高于全球增速。…