工信部��、國家網(wǎng)信辦�、公安部近日聯(lián)合印發(fā)了《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》(以下簡(jiǎn)稱(chēng)“規定”)�?!兑幎ā访鞔_���,任何組織或者個(gè)人不得利用網(wǎng)絡(luò )產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò )安全的活動(dòng)�����,不得非法收集��、出售����、發(fā)布網(wǎng)絡(luò )產(chǎn)品安全漏洞信息;網(wǎng)絡(luò )產(chǎn)品提供者應當履行網(wǎng)絡(luò )產(chǎn)品安全漏洞管理義務(wù)���,包括發(fā)現或獲知漏洞后應當在2日內向工信部網(wǎng)絡(luò )安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息等����。
今年來(lái)�,網(wǎng)絡(luò )產(chǎn)品漏洞的影響范圍頗廣���,所有相關(guān)使用者均受其影響����。2021年1月���,專(zhuān)注于產(chǎn)品生命周期管理解決方案的西門(mén)子Digital Industries Software爆出數十個(gè)漏洞��,導致所有使用該款產(chǎn)品的企業(yè)全部受到影響���,黑客利用這些漏洞就能執行惡意代碼���。同年5月�,有報道稱(chēng)高通MSM芯片被曝存在高危安全漏洞���,其2G����、3G��、4G����、5G的系列芯片全部存在此漏洞�����,攻擊者可利用該漏洞獲取隱私信息監聽(tīng)通話(huà)將手機變成監控設備�����。該高危漏洞可能讓全球40億的手機用戶(hù)暴露在危險之下����。
《規定》特別強調�����,從事網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現����、收集的組織或者個(gè)人���,不得刻意夸大網(wǎng)絡(luò )產(chǎn)品安全漏洞的危害和風(fēng)險�����,不得利用網(wǎng)絡(luò )產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙��、敲詐勒索等違法犯罪活動(dòng);不得將未公開(kāi)的網(wǎng)絡(luò )產(chǎn)品安全漏洞信息向網(wǎng)絡(luò )產(chǎn)品提供者之外的境外組織或者個(gè)人提供����。
奇安信集團副總裁�、補天漏洞響應平臺主任張卓分析�,此次多部門(mén)聯(lián)合印發(fā)的《規定》釋放了一個(gè)重要信號:我國將首次以產(chǎn)品視角來(lái)管理漏洞��,通過(guò)對網(wǎng)絡(luò )產(chǎn)品漏洞的收集��、研判����、追蹤�、溯源�����,立足于供應鏈全鏈條����,對網(wǎng)絡(luò )產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險跟蹤����,實(shí)現對我國各行各業(yè)網(wǎng)絡(luò )安全的有效防護��。
參與該《規定》起草階段意見(jiàn)征集的專(zhuān)家針對兩條容易產(chǎn)生誤讀的條款作出了解讀�。有些安全研究人員認為《規定》限制了他們通過(guò)發(fā)布漏洞信息來(lái)“倒逼”不積極修復漏洞的廠(chǎng)商和運營(yíng)者的權力�,但專(zhuān)家分析認為��,《規定》對漏洞信息的發(fā)布仍然體現積極的態(tài)度�,從建設整個(gè)網(wǎng)絡(luò )安全環(huán)境來(lái)看�����,應該改“倒逼”為“法規”�����,目的是更加規范����,確保真實(shí)�����、客觀(guān)�、必要�����。同時(shí)��,《規定》中也留下了特殊情況下允許“提前”公開(kāi)的渠道:“認為有必要提前發(fā)布的���,應當與相關(guān)網(wǎng)絡(luò )產(chǎn)品提供者共同評估協(xié)商���,并向工業(yè)和信息化部��、公安部報告�����,由工業(yè)和信息化部�����、公安部組織評估后進(jìn)行發(fā)布�。”
針對“不得發(fā)布網(wǎng)絡(luò )運營(yíng)者在用的網(wǎng)絡(luò )��、信息系統及其設備存在安全漏洞的細節情況”這一條款����,有些人理解為只要網(wǎng)絡(luò )運營(yíng)者在用的產(chǎn)品��,就不能公開(kāi)其漏洞���,實(shí)際上���,這里禁止的是“具體細節揭秘式”的發(fā)布網(wǎng)絡(luò )運營(yíng)者相關(guān)漏洞����。例如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞�����,包括具體的IP�����、端口多少等等��,但微軟產(chǎn)品本身的漏洞信息在修復后是可以發(fā)布的��。
張卓稱(chēng)�,《規定》的初衷在于禁止拿漏洞作惡�����,規范網(wǎng)絡(luò )產(chǎn)品漏洞的處理和生命周期流程�,其中有相當大的篇幅都是對廠(chǎng)商和運營(yíng)者提出漏洞收集和處理的規范要求�,不能隱瞞漏洞�����、拒絕漏洞���、否認漏洞����,必須要積極承認�、積極通報��、積極報告��、積極修復和處理���、積極通知生態(tài)環(huán)境���。包括廠(chǎng)商要積極開(kāi)通接受漏洞信息的渠道����、留存信息�、確保及時(shí)修復���、及時(shí)評估通知上下游��、及時(shí)向官方通報�、及時(shí)升級通報技術(shù)問(wèn)題等���。
《規定》鼓勵各類(lèi)主體發(fā)揮各自技術(shù)和機制優(yōu)勢開(kāi)展漏洞發(fā)現����、收集�、發(fā)布等相關(guān)工作���,自9月1日起施行�����。
