工信部、國家網(wǎng)信辦、公安部近日聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱“規(guī)定”)。《規(guī)定》明確，任何組織或者個(gè)人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)，不得非法收集、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息;網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，包括發(fā)現(xiàn)或獲知漏洞后應(yīng)當(dāng)在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息等。

　　今年來，網(wǎng)絡(luò)產(chǎn)品漏洞的影響范圍頗廣，所有相關(guān)使用者均受其影響。2021年1月，專注于產(chǎn)品生命周期管理解決方案的西門子Digital Industries Software爆出數(shù)十個(gè)漏洞，導(dǎo)致所有使用該款產(chǎn)品的企業(yè)全部受到影響，黑客利用這些漏洞就能執(zhí)行惡意代碼。同年5月，有報(bào)道稱高通MSM芯片被曝存在高危安全漏洞，其2G、3G、4G、5G的系列芯片全部存在此漏洞，攻擊者可利用該漏洞獲取隱私信息監(jiān)聽通話將手機(jī)變成監(jiān)控設(shè)備。該高危漏洞可能讓全球40億的手機(jī)用戶暴露在危險(xiǎn)之下。

　　《規(guī)定》特別強(qiáng)調(diào)，從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人，不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn)，不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙、敲詐勒索等違法犯罪活動(dòng);不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供。

　　奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺(tái)主任張卓分析，此次多部門聯(lián)合印發(fā)的《規(guī)定》釋放了一個(gè)重要信號(hào)：我國將首次以產(chǎn)品視角來管理漏洞，通過對(duì)網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對(duì)網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤，實(shí)現(xiàn)對(duì)我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護(hù)。

　　參與該《規(guī)定》起草階段意見征集的專家針對(duì)兩條容易產(chǎn)生誤讀的條款作出了解讀。有些安全研究人員認(rèn)為《規(guī)定》限制了他們通過發(fā)布漏洞信息來“倒逼”不積極修復(fù)漏洞的廠商和運(yùn)營者的權(quán)力，但專家分析認(rèn)為，《規(guī)定》對(duì)漏洞信息的發(fā)布仍然體現(xiàn)積極的態(tài)度，從建設(shè)整個(gè)網(wǎng)絡(luò)安全環(huán)境來看，應(yīng)該改“倒逼”為“法規(guī)”，目的是更加規(guī)范，確保真實(shí)、客觀、必要。同時(shí)，《規(guī)定》中也留下了特殊情況下允許“提前”公開的渠道：“認(rèn)為有必要提前發(fā)布的，應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評(píng)估協(xié)商，并向工業(yè)和信息化部、公安部報(bào)告，由工業(yè)和信息化部、公安部組織評(píng)估后進(jìn)行發(fā)布。”

　　針對(duì)“不得發(fā)布網(wǎng)絡(luò)運(yùn)營者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況”這一條款，有些人理解為只要網(wǎng)絡(luò)運(yùn)營者在用的產(chǎn)品，就不能公開其漏洞，實(shí)際上，這里禁止的是“具體細(xì)節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運(yùn)營者相關(guān)漏洞。例如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞，包括具體的IP、端口多少等等，但微軟產(chǎn)品本身的漏洞信息在修復(fù)后是可以發(fā)布的。

　　張卓稱，《規(guī)定》的初衷在于禁止拿漏洞作惡，規(guī)范網(wǎng)絡(luò)產(chǎn)品漏洞的處理和生命周期流程，其中有相當(dāng)大的篇幅都是對(duì)廠商和運(yùn)營者提出漏洞收集和處理的規(guī)范要求，不能隱瞞漏洞、拒絕漏洞、否認(rèn)漏洞，必須要積極承認(rèn)、積極通報(bào)、積極報(bào)告、積極修復(fù)和處理、積極通知生態(tài)環(huán)境。包括廠商要積極開通接受漏洞信息的渠道、留存信息、確保及時(shí)修復(fù)、及時(shí)評(píng)估通知上下游、及時(shí)向官方通報(bào)、及時(shí)升級(jí)通報(bào)技術(shù)問題等。

　　《規(guī)定》鼓勵(lì)各類主體發(fā)揮各自技術(shù)和機(jī)制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作，自9月1日起施行。

字節(jié)跳動(dòng)進(jìn)軍外賣近期在...

App超范圍采集公民個(gè)人信...