近年來白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法曾一度在圈內流行�,但這種做法往往也伴隨著一定爭議��。而按照《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》要求���,任何組織或者個人設立的網(wǎng)絡產(chǎn)品安全漏洞收集平臺�����,應當向工業(yè)和信息化部備案����。
近日,工信部����、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》���,要求任何組織或者個人不得利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全的活動�,不得非法收集�����、出售��、發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息;明知他人利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全的活動的��,不得為其提供技術支持����、廣告推廣、支付結算等幫助;任何組織或者個人設立的網(wǎng)絡產(chǎn)品安全漏洞收集平臺�����,應當向工業(yè)和信息化部備案�����。本規(guī)定自2021年9月1日起施行。
該《規(guī)定》釋放了一個重要信號:我國將首次以產(chǎn)品視角來管理漏洞�,通過對網(wǎng)絡產(chǎn)品漏洞的收集�����、研判��、追蹤�、溯源,立足于供應鏈全鏈條���,對網(wǎng)絡產(chǎn)品進行全周期的漏洞風險跟蹤����,實現(xiàn)對我國各行各業(yè)網(wǎng)絡安全的有效防護�。在供應鏈安全威脅日益嚴重的全球形勢下,《規(guī)定》對于維護國家網(wǎng)絡安全��,保護網(wǎng)絡產(chǎn)品和重要網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行�����,具有重大意義。
鼓勵漏洞通報 但必須備案
近年來白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法曾一度在圈內流行����,但這種做法往往也伴隨著一定爭議。而按照《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》要求�,任何組織或者個人設立的網(wǎng)絡產(chǎn)品安全漏洞收集平臺����,應當向工業(yè)和信息化部備案。
《規(guī)定》明確了產(chǎn)品安全漏洞的發(fā)現(xiàn)����、修補、管理流程��,發(fā)現(xiàn)或者獲知所提供網(wǎng)絡產(chǎn)品存在安全漏洞后����,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產(chǎn)品或者組件存在的安全漏洞�����,應當立即通知相關產(chǎn)品提供者。同時《規(guī)定》明確指出����,應當在兩日內向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
《規(guī)定》第十條指出��,任何組織或者個人設立的網(wǎng)絡產(chǎn)品安全漏洞收集平臺�,應當向工業(yè)和信息化部備案。同時在第六條中指出��,鼓勵相關組織和個人向網(wǎng)絡產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞����,還“鼓勵網(wǎng)絡產(chǎn)品提供者建立所提供網(wǎng)絡產(chǎn)品安全漏洞獎勵機制���,對發(fā)現(xiàn)并通報所提供網(wǎng)絡產(chǎn)品安全漏洞的組織或者個人給予獎勵����?��!边@兩條規(guī)定規(guī)范了漏洞收集平臺和白帽子的行為��,有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的社會價值�。
業(yè)內專家認為,針對“不得發(fā)布網(wǎng)絡運營者在用的網(wǎng)絡����、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況?��!边@一條款���,有些人理解為只要網(wǎng)絡運營者在用的產(chǎn)品,就不能公開其漏洞��,其實這里禁止的是“具體細節(jié)揭秘式”的發(fā)布網(wǎng)絡運營者相關漏洞�����。例如不能發(fā)布某企業(yè)的某個服務器上有某個微軟漏洞��,包括具體的IP��、端口多少等����,但微軟產(chǎn)品本身的漏洞信息在修復后是可以發(fā)布的。
改變以往攻擊事件視角等為主的漏洞收集及管理模式
該規(guī)定改變了以往攻擊事件視角��、網(wǎng)絡系統(tǒng)視角等為主的漏洞收集及管理模式,這樣的管理模式����,只能解決單點問題,很難對該漏洞影響各行各業(yè)的風險情況進行全面研判和處置��,本次《規(guī)定》以產(chǎn)品視角進行漏洞管理�,就可以對上下游整個供應鏈進行全面的風險評估和有效處置。
據(jù)了解����,網(wǎng)絡產(chǎn)品漏洞的影響往往不會局限于一點,所有相關使用者均受其影響��。如2021年1月���,專注于產(chǎn)品生命周期管理解決方案的西門子Digital
Industries
Software爆出數(shù)十個漏洞,導致所有使用該款產(chǎn)品的企業(yè)全部受到影響���,黑客利用這些漏洞就能執(zhí)行惡意代碼��。同年5月�����,有報道稱高通MSM芯片被爆存在高危安全漏洞(漏洞編號CVE-202011292)���。高通2G���、3G、4G�����、5G的系列芯片全部存在此漏洞��。攻擊者可利用該漏洞獲取隱私信息監(jiān)聽通話將手機變成監(jiān)控設備���。作為向三星�、LG���、小米等多個手機品牌供貨的芯片大廠�,該高危漏洞讓全球40億的手機用戶暴露在了危險之下�����。
工業(yè)和信息化部網(wǎng)絡安全管理局人士表示���,《規(guī)定》的出臺將推動網(wǎng)絡產(chǎn)品安全漏洞管理工作的制度化����、規(guī)范化、法治化���,提高相關主體漏洞管理水平��,引導建設規(guī)范有序��、充滿活力的漏洞收集和發(fā)布渠道��,防范網(wǎng)絡安全重大風險�,保障國家網(wǎng)絡安全�����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權所有方的����,皆為無意����。如您是字體廠商�、圖片文字廠商等版權方,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們,本站核實后將立即刪除�!任何版權方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟賠償!敬請諒解��!
粵公網(wǎng)安備 44030402000264號