三部门加密网络安全围栏首次从产品角度管理漏洞

工业和信息化部、国家互联网信息办公室、公安部近日联合发布《网络产品安全漏洞管理规定》(以下简称《规定》)，自今年9月1日起施行。

智象科技高级副总裁吴告诉科技日报记者：“《规定》是《规定》的细化，进一步规范了网络产品漏洞发现、发布、上报、修复的流程，明确了责任、对象和方法。这是一部网络安全法。这是非常必要和非常务实的。”

这是中国第一次从产品角度管理漏洞。

“以往基于攻击事件和网络系统视角的漏洞收集和管理模式，只能解决单点问题，难以全面判断和应对漏洞影响各行业的风险。”启安信集团副总裁、田甜漏洞应对平台总监张卓表示，“在供应链安全威胁日益严重的全球形势下，《网络安全法》专注于整个供应链的风险评估和有效处置，维护国家网络安全，保护网络产品。重要网络系统的安全稳定运行意义重大。”

网络产品中的漏洞通常会影响所有相关用户，而不仅仅是本地用户。

张卓介绍，今年1月，专注于产品全生命周期管理解决方案的西门子数字工业软件就突破了数十个漏洞。黑客可以利用这些漏洞执行恶意代码。所有使用该产品的企业都受到不同程度的影响。

《规定》将及时修复网络产品安全漏洞作为网络产品提供商的安全义务。要求网络产品提供商在2日内向工信部提交漏洞信息，及时修复，并告知可能受修复方式影响的产品用户。

《规定》将在压缩责任和明确流程的同时，划清界限。

《规定》特别强调，从事发现和收集网络产品安全漏洞的组织或个人，不得故意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或进行诈骗、敲诈勒索等违法犯罪活动；不得向网络产品提供商以外的境外组织或个人提供未公开的网络产品安全漏洞信息。

正如张卓所说：“《规定》的初衷是规范网络产品漏洞的处理和生命周期过程，严禁借漏洞作恶。”

据工信部网络安全管理局介绍，近年来，许多专业机构、企业和社会组织建立了漏洞收集平台，用于漏洞发现和收集。在实际工作中，一些漏洞收集平台暴露出内部运行不规范、漏洞未经授权发布等问题，亟待加强管理。

《规定》:漏洞收集平台明确备案管理，工信部公布已通过备案的漏洞收集平台，要求漏洞收集平台采取措施，防止漏洞信息泄露和非法发布。

在此《规定》下，不以“恶意利用”为初心，而是发现并公布漏洞，督促运营商及时修复的“白帽子”行为将更加合法合规。

鉴于“网络中安全漏洞的细节，网络运营商使用的信息系统及其设备不得发布。”在该条款中，参与《规定》起草阶段意见征集的专家强调，这里禁止的是出版网络经营者以“泄露具体细节”的形式存在的相关漏洞。如果不能在企业的服务器上发布微软漏洞，包括具体的IP和端口号，但修复后可以发布微软产品的漏洞信息。