您的当前位置:首页 > 热点 > 正文

三部门加密网络安全围栏 为网络安全保驾护航

  • 2021-07-15 08:05:37 来源:科技日报

工业和信息化部、国家互联网信息办公室、公安部日联合印发《网络产品安全漏洞管理规定》(以下简称《规定》),该《规定》自今年9月1日起开始施行。

志翔科技高级副总裁伍海桑对科技日报记者说:“《规定》是对《网络安全法》的细化,进一步规范了网络产品的漏洞发现、公布、报告和修补等流程,明确了职责、对象和办法,是网络安全法落地实施的环节,非常必要,而且也非常务实。”

这是我国首次从产品视角管理漏洞。

“以往从攻击事件视角、网络系统视角等为主的漏洞收集及管理模式,只能解决单点问题,很难对该漏洞影响各行业的风险情况进行全面研判和处置。”奇安信集团副总裁、补天漏洞响应台主任张卓说,“在供应链安全威胁日益严重的全球形势下,《规定》着眼于整个供应链的风险评估和有效处置,对维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行具有重大意义。”

网络产品漏洞往往波及所有相关使用者,而不会只影响局部。

张卓介绍,今年1月,专注于产品生命周期管理解决方案的西门子DigitalIndustriesSoftware爆出数十个漏洞。黑客利用这些漏洞就能执行恶意代码。所有使用该款产品的企业都受到不同程度的影响。

《规定》将及时修补网络产品安全漏洞作为网络产品提供者应当履行的安全义务。要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。

在压实责任、明确流程的同时,《规定》也将红线划清。

《规定》特别强调,从事网络产品安全漏洞发现、收集的组织或者个人,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

如张卓所言:“《规定》的初衷在于规范网络产品漏洞的处理和生命周期流程,禁止拿漏洞作恶。”

工业和信息化部网络安全管理局指出,年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集台,在实际工作中部分漏洞收集台暴露出内部运营不规范、擅自发布漏洞等问题,亟须加强管理。

《规定》明确对漏洞收集台实行备案管理,由工业和信息化部对通过备案的漏洞收集台予以公布,并要求漏洞收集台采取措施防范漏洞信息泄露和违规发布。

在此《规定》之下,不以“恶意利用”为初心,以发现、公布漏洞、敦促运营者及时修补的“白帽子”们的行为将更加合法合规。

针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款,参与《决定》起草阶段意见征集的专家强调,这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等,但微软产品的漏洞信息在修复后可以发布。

伍海桑说:“从网络安全法、数据安全法及正在提请全国人大常委会审议的个人信息保护法(草案)等上位法,到完善、补充细节的条例、办法、规定等相关下位法,方方面面的数据与网络安全的围栏越扎越密。”(记者 刘 艳)

标签: 管理漏洞 产品视角 网络安全 攻击事件

推荐阅读

百色市右江区以高水平项目建设加快经济增长 工业经济实现平稳较快增长

自治区第十二次党代会报告指出,坚持政策为大、项目为王、环境为本、创新为要。百色市右江区牢固树立项...

佛山开展春节前后援企稳岗专项行动 推进全市经济平稳健康发展

1月11日,佛山举行全市春节前后援企稳岗专项行动新闻发布会,表示将推出援企稳岗五大礼包及五大政策,包...

福田区2021年规上工业产值突破2000亿元 一般公共预算收入突破200亿元

昨天,福田区委八届二次全会召开。全会提出,2022年,福田区将抢抓双区驱动、双区叠加、双改示范等重大...

直播电商抢跑年货购物季 以人为本发挥平台优势

历年新年伊始,年货节都是消费场的首战。为实现开门红,夺得好彩头,商家和平台都会摩拳擦掌,提早备足...

山西交通新业态集群蓬勃发展 开创“交通+”产业融合发展新标杆

2021年12月25日,山西数字化交通产业园首个光储充换电一体化服务站建成启用,这标志着我省在打造国内一...

猜您喜欢

【版权及免责声明】凡注明"转载来源"的作品,均转载自其它媒体,转载目的在于传递更多的信息,并不代表本网赞同其观点和对其真实性负责。亚洲品牌网倡导尊重与保护知识产权,如发现本站文章存在内容、版权或其它问题,烦请联系。 联系方式:8 86 239 5@qq.com,我们将及时沟通与处理。

聚焦