安全客权威解读来了! | 关于《网络安全漏洞管理规定 (征求意见稿) 》

为贯彻落实《网络安全法》 加强网络安全漏洞管理。工信部起草了《网络安全漏洞管理规定(征求意见稿)》,一时间安全圈内众说纷纭,让我们先来看看这份规定的详细内容:

网络安全漏洞管理规定(征求意见稿)

第一条 为规范网络安全漏洞(以下简称漏洞)报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,根据《国家安全法》《网络安全法》,制定本规定。

第二条 中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。

第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:

(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

第五条 工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。

第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

(二)不得刻意夸大漏洞的危害和风险;

(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;

(四)应当同步发布漏洞修补或防范措施。

第七条 第三方组织应当加强内部管理,履行下列管理义务,防范漏洞信息泄露和内部人员违规发布漏洞信息:

(一)明确漏洞管理部门和责任人;

(二)建立漏洞信息发布内部审核机制;

(三)采取防范漏洞信息泄露的必要措施;

(四)定期对内部人员进行保密教育;

(五)制定内部问责制度。

第八条 网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的,由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。

第九条 第三方组织违反本规定向社会发布漏洞信息,由工业和信息化部、公安部等有关部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。

第十条 鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。漏洞收集平台应当遵守本规定第六条、第七条规定。

第十一条 任何组织或个人发现涉嫌违反本规定的情形,有权向工业和信息化部、公安部举报。


安全客重点速览

第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:

(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

解读:

本条明确了网络产品、服务提供者和网络运营 者发现或获知存在网络安全漏洞时应采取的措施 。

值得注意的是,这里对相关网络产品采取漏洞修补或防范的时间要 求为90日内,相关网络服务或系统要求为10日内,其考虑因素包括硬件产品修补的复杂程度、产品召回、厂商实地查看耗时等。

第二项措施 漏洞相关情况的发布、告知和报送。

漏洞相关情況的报送:报送对象,工业和信息化部网络安全威胁信息共享平台 (The Information Sharing P【atform of Cyber Security Threat,英文简 称 “ISPCST”),负责统一汇集、存储、分析、 通报、发布网络安全威胁信息。

总结:

一部分看法认为,ISPCST 相当于一个国有超大型SRC,国家统一管控,有利于快速高效的整合技术资源分析、收集、解决漏洞。但国家是否能投入大量的人员和资源支持建设此平台尤为关键。

也有一部分白帽子认为会降低安全人员挖掘漏洞的积极性。或者使一些 “灰帽子” 转型成为 “黑帽子” 。但绝大多数白帽子都有足够高的法律意识,鱼与熊掌不可兼得,如果有更好的方案和办法,工信部正在征集修改意见,大家可以积极反馈~

传送门:https://www.anquanke.com/post/id/180530

 

第七条 第三方组织应当加强内部管理,履行下列管理义务,防范漏洞信息泄露和内部人员违规发布漏洞信息:

(一)明确漏洞管理部门和责任人;

(二)建立漏洞信息发布内部审核机制;

(三)采取防范漏洞信息泄露的必要措施;

(四)定期对内部人员进行保密教育;

(五)制定内部问责制度。

解读:

从甲方观点来看的话,因为在企业中漏洞治理一直比较拖沓和费劲,这个可以作为依据帮助企业管理者和安全部门有效治理漏洞,明确安全责任人,提高企业对安全部门的重视程度,来推进安全管理工作

也有网友观点为:“解决不了漏洞,就解决掉发漏洞的人”

但很多安全部门不受重视,只有出了事才是背锅的,这样综合各方要求,对企业和安全部门来说未尝不是一件好事。

 

第六条:第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定

(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

(二)不得刻意夸大漏洞的危害和风险;

(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;

(四)应当同步发布漏洞修补或防范措施。

解读:

本条明确了 第三方组织或个人发布网络安全漏 洞信息的原则和要求。

也就是说个人或第三方不可以于厂家或开发商、运营者公布漏洞之前私自公开漏洞。

第二,发布的漏洞要实事求是,漏洞信息涉及的目标对象、风险情況描述等应真实客观,不能夸大其词忽悠客户掏钱买单了,违法哦。

总结:

此条也是本条例争议最大的一条。在独立安全人员来看的话可能不太友好,例如不允许发布漏洞利用工具/POC,这样可能会打击自由职业的安全人员,自己不能发布工具获得成就感,想入门的小萌新也无法从大佬们那儿拿到POC和工具分析研究了。

 

虽然刀究竟用来切菜还是伤人在于使用者不在工具本身。但是从另一方面来看也会提升安全厂商安全工具的地位,让不受控制的黑客和脚本小子们不要随便用工具打别人,造成了恶劣影响也能做到有法可依。

随着一个行业的不断发展和成熟,管理和变化是必然,凡事从不同的角度和位置思考必有不同的理解和认知,此条例也是仁者见仁智者见智,既然还在征集意见阶段,大家有什么想法和意见,尽管提出来吧~

(完)