自2021年9月1日起《网络产品安全漏洞管理规定》正式施行。规定的出台出于何种目的,对网络安全业界的发展有何种指导意义,又将如何影响未来安全行业的发展?中科微澜分析师将为您进行详细解读。

一、目的和意义

根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》,主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《网络产品安全漏洞管理规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。

 

二、责任和义务

网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,还对网络产品提供者提出了漏洞报送的具体时限要求,即应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人,明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

网络产品漏洞信息可通过网络平台、媒体、会议等方式在社会上快速传播,危害大量网络用户权益,有必要采取措施防止风险扩大或者避免损害发生。《网络安全法》明确指出,网络产品提供者发现其网络产品存在安全缺陷、漏洞等风险时应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 

三、漏洞收集平台的管理要求

不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟需加强管理。为此,明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布,并鼓励将收集的相关漏洞信息报送至工业和信息化部等相关机构相应信息化平台。

以上规定的出台对信息安全业界各个厂商的漏洞收集和管理类平台提出了更高的要求,不仅强调打铁还要自身硬的加强自身内部管理,还要求对所收集、发现的漏洞进行相应的保密性处置,以防止不法分子对其进行利用。从漏洞信息获取根源上杜绝非法利用的可能性。

 

四、相关惩罚措施

(1)网络产品提供者未按本规则采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理。
(2)网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理。
(3)违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依照各自职责依法处理。
(4)利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理。

由此可见,《网络产品安全漏洞管理规定》的制定已将漏洞管理相关问题依据《网络安全法》真正上升至法律法规的层面,根据我国对法律法规的一向重视,在执行层面上必然会做到“有法可依、有法必依、执法必严、违法必究”的基本原则。

本规定不仅全面覆盖网络产品提供者、网络运营者等管理对象的各个相关方面,还对从事网络产品安全漏洞发现、收集、发布等活动的组织或个人的行为进行了严格规范,并且重点突出了对利用或为他人利用网络产品安全漏洞从事危害网络安全活动或提供技术支持作为公安机关依法处理的对象,也就是说因此会被追究民事或刑事责任,标志着国家对网络产品安全漏洞管理的足够重视,在网络安全的发展上又迈出了坚实的一步。

 

五、政策推动安全漏洞管理发展

工业和信息化部将从政策宣贯、机制完善、平台建设多方面抓好落实。一是加强政策宣贯,做好对相关企业机构的政策咨询和工作指导,引导漏洞收集平台依法依规开展漏洞收集和发布。二是完善相关工作机制,建立健全漏洞评估、发布、通报等重要环节的工作机制,明确漏洞收集平台备案方式和报送内容。三是加强工业和信息化部网络安全威胁和漏洞信息共享平台建设,做好与其他漏洞平台、漏洞库的信息共享,提升平台技术支撑能力。

《规定》的出台标志着我国将实现对网络产品和安全漏洞的全供应链、全生命周期跟踪管理,建立信息共享机制则是确保上述目标实现的必要前提。可见,未来我国的漏洞管理将从原来的“单打独斗”升级为生态化、体系化的“协同作战”,为各行各业提供更好的网络安全保障。

 

六、新规让漏洞管理更高效

规定依据《中华人民共和国网络安全法》制定,在漏洞管理方面指明了方向,并在法律法规层面给予了严格的规则。相关单位、平台和个人在收集、分析、留存、处理漏洞时,都应当依据规定建立健全的漏洞管理体系,采取相应措施确保漏洞信息的安全管理。规定的出台规范了安全漏洞报送、发布等流程,避免了安全漏洞信息的滥用,为网络产品用户和运营者及时获知和修复漏洞提供了良好条件。

而对于网络产品用户和运营者,也应充分利用规范化的漏洞发布流程,健全网络产品运行侧漏洞管理能力,及时对存在漏洞的网络产品进行修复更新。

当前多数企业在实际环境中面临漏洞管理时通常会遇到以下问题:

(1)漏洞与资产、人员、业务系统的关系难以梳理且数量庞大

(2)基于人工的漏洞梳理效率低下

(3)针对存量的漏洞无法有效及时地形成全生命周期跟踪

(4)基于人工管理的工作流程缺乏标准化

(5)法规要求的标准留存数据难以系统管理

 

七、漏洞管理的未来

漏洞管理在未来仍是一个重大的挑战,随着5G、大数据、人工智能、物联网、云计算等相关技术的发展和应用,企业在数字化转型和应用的过程中面临着越来越多的安全风险和问题,例如软硬件资产数量和种类快速扩张、漏洞武器化速度加快等。

作者:郭维 编辑:闫志全、马程

文章原文链接:https://www.anquanke.com/post/id/252510