工信部�����、國家網(wǎng)信辦�����、公安部近日聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱“規(guī)定”)��?��!兑?guī)定》明確,任何組織或者個人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動����,不得非法收集、出售�����、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息;網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當履行網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù),包括發(fā)現(xiàn)或獲知漏洞后應(yīng)當在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息等��。
今年來�����,網(wǎng)絡(luò)產(chǎn)品漏洞的影響范圍頗廣����,所有相關(guān)使用者均受其影響。2021年1月�,專注于產(chǎn)品生命周期管理解決方案的西門子Digital Industries Software爆出數(shù)十個漏洞,導致所有使用該款產(chǎn)品的企業(yè)全部受到影響�,黑客利用這些漏洞就能執(zhí)行惡意代碼。同年5月����,有報道稱高通MSM芯片被曝存在高危安全漏洞,其2G�、3G、4G����、5G的系列芯片全部存在此漏洞����,攻擊者可利用該漏洞獲取隱私信息監(jiān)聽通話將手機變成監(jiān)控設(shè)備���。該高危漏洞可能讓全球40億的手機用戶暴露在危險之下��。
《規(guī)定》特別強調(diào)�����,從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)���、收集的組織或者個人�,不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風險�,不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供���。
奇安信集團副總裁、補天漏洞響應(yīng)平臺主任張卓分析����,此次多部門聯(lián)合印發(fā)的《規(guī)定》釋放了一個重要信號:我國將首次以產(chǎn)品視角來管理漏洞,通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判�、追蹤����、溯源,立足于供應(yīng)鏈全鏈條��,對網(wǎng)絡(luò)產(chǎn)品進行全周期的漏洞風險跟蹤�,實現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護���。
參與該《規(guī)定》起草階段意見征集的專家針對兩條容易產(chǎn)生誤讀的條款作出了解讀�����。有些安全研究人員認為《規(guī)定》限制了他們通過發(fā)布漏洞信息來“倒逼”不積極修復漏洞的廠商和運營者的權(quán)力�����,但專家分析認為,《規(guī)定》對漏洞信息的發(fā)布仍然體現(xiàn)積極的態(tài)度�,從建設(shè)整個網(wǎng)絡(luò)安全環(huán)境來看,應(yīng)該改“倒逼”為“法規(guī)”����,目的是更加規(guī)范���,確保真實����、客觀、必要���。同時���,《規(guī)定》中也留下了特殊情況下允許“提前”公開的渠道:“認為有必要提前發(fā)布的��,應(yīng)當與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評估協(xié)商����,并向工業(yè)和信息化部����、公安部報告����,由工業(yè)和信息化部���、公安部組織評估后進行發(fā)布。”
針對“不得發(fā)布網(wǎng)絡(luò)運營者在用的網(wǎng)絡(luò)��、信息系統(tǒng)及其設(shè)備存在安全漏洞的細節(jié)情況”這一條款����,有些人理解為只要網(wǎng)絡(luò)運營者在用的產(chǎn)品,就不能公開其漏洞����,實際上�,這里禁止的是“具體細節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運營者相關(guān)漏洞。例如不能發(fā)布某企業(yè)的某個服務(wù)器上有某個微軟漏洞��,包括具體的IP��、端口多少等等��,但微軟產(chǎn)品本身的漏洞信息在修復后是可以發(fā)布的�����。
張卓稱����,《規(guī)定》的初衷在于禁止拿漏洞作惡,規(guī)范網(wǎng)絡(luò)產(chǎn)品漏洞的處理和生命周期流程�����,其中有相當大的篇幅都是對廠商和運營者提出漏洞收集和處理的規(guī)范要求����,不能隱瞞漏洞��、拒絕漏洞��、否認漏洞��,必須要積極承認�����、積極通報、積極報告�、積極修復和處理、積極通知生態(tài)環(huán)境����。包括廠商要積極開通接受漏洞信息的渠道、留存信息��、確保及時修復�、及時評估通知上下游�����、及時向官方通報���、及時升級通報技術(shù)問題等��。
《規(guī)定》鼓勵各類主體發(fā)揮各自技術(shù)和機制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集�����、發(fā)布等相關(guān)工作��,自9月1日起施行�。
