近年來白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法曾一度在圈內(nèi)流行,但這種做法往往也伴隨著一定爭議���。而按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》要求�����,任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺�,應(yīng)當(dāng)向工業(yè)和信息化部備案��。
近日�,工信部�、國家網(wǎng)信辦���、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》��,要求任何組織或者個人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動����,不得非法收集����、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息;明知他人利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動的���,不得為其提供技術(shù)支持��、廣告推廣、支付結(jié)算等幫助;任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺����,應(yīng)當(dāng)向工業(yè)和信息化部備案�����。本規(guī)定自2021年9月1日起施行�。
該《規(guī)定》釋放了一個重要信號:我國將首次以產(chǎn)品視角來管理漏洞,通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集����、研判、追蹤����、溯源,立足于供應(yīng)鏈全鏈條�����,對網(wǎng)絡(luò)產(chǎn)品進行全周期的漏洞風(fēng)險跟蹤���,實現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護。在供應(yīng)鏈安全威脅日益嚴重的全球形勢下�,《規(guī)定》對于維護國家網(wǎng)絡(luò)安全��,保護網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行��,具有重大意義。
鼓勵漏洞通報 但必須備案
近年來白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法曾一度在圈內(nèi)流行��,但這種做法往往也伴隨著一定爭議。而按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》要求���,任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺�����,應(yīng)當(dāng)向工業(yè)和信息化部備案�。
《規(guī)定》明確了產(chǎn)品安全漏洞的發(fā)現(xiàn)、修補��、管理流程����,發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,應(yīng)當(dāng)立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產(chǎn)品或者組件存在的安全漏洞�����,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者��。同時《規(guī)定》明確指出,應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息���。
《規(guī)定》第十條指出���,任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺,應(yīng)當(dāng)向工業(yè)和信息化部備案����。同時在第六條中指出,鼓勵相關(guān)組織和個人向網(wǎng)絡(luò)產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞�����,還“鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機制�,對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵�。”這兩條規(guī)定規(guī)范了漏洞收集平臺和白帽子的行為,有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的社會價值��。
業(yè)內(nèi)專家認為�,針對“不得發(fā)布網(wǎng)絡(luò)運營者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細節(jié)情況����?�!边@一條款��,有些人理解為只要網(wǎng)絡(luò)運營者在用的產(chǎn)品,就不能公開其漏洞��,其實這里禁止的是“具體細節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運營者相關(guān)漏洞�����。例如不能發(fā)布某企業(yè)的某個服務(wù)器上有某個微軟漏洞���,包括具體的IP�、端口多少等�,但微軟產(chǎn)品本身的漏洞信息在修復(fù)后是可以發(fā)布的����。
改變以往攻擊事件視角等為主的漏洞收集及管理模式
該規(guī)定改變了以往攻擊事件視角、網(wǎng)絡(luò)系統(tǒng)視角等為主的漏洞收集及管理模式��,這樣的管理模式�����,只能解決單點問題,很難對該漏洞影響各行各業(yè)的風(fēng)險情況進行全面研判和處置��,本次《規(guī)定》以產(chǎn)品視角進行漏洞管理,就可以對上下游整個供應(yīng)鏈進行全面的風(fēng)險評估和有效處置�����。
據(jù)了解,網(wǎng)絡(luò)產(chǎn)品漏洞的影響往往不會局限于一點,所有相關(guān)使用者均受其影響�����。如2021年1月,專注于產(chǎn)品生命周期管理解決方案的西門子Digital
Industries
Software爆出數(shù)十個漏洞���,導(dǎo)致所有使用該款產(chǎn)品的企業(yè)全部受到影響����,黑客利用這些漏洞就能執(zhí)行惡意代碼�。同年5月,有報道稱高通MSM芯片被爆存在高危安全漏洞(漏洞編號CVE-202011292)��。高通2G、3G���、4G�、5G的系列芯片全部存在此漏洞����。攻擊者可利用該漏洞獲取隱私信息監(jiān)聽通話將手機變成監(jiān)控設(shè)備。作為向三星�、LG、小米等多個手機品牌供貨的芯片大廠����,該高危漏洞讓全球40億的手機用戶暴露在了危險之下���。
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局人士表示��,《規(guī)定》的出臺將推動網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化����、規(guī)范化、法治化���,提高相關(guān)主體漏洞管理水平����,引導(dǎo)建設(shè)規(guī)范有序�、充滿活力的漏洞收集和發(fā)布渠道���,防范網(wǎng)絡(luò)安全重大風(fēng)險��,保障國家網(wǎng)絡(luò)安全�����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們,本站核實后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟賠償��!敬請諒解!
粵公網(wǎng)安備 44030402000264號