《网络产品安全漏洞管理规定》全面解读
无国界 2021-08-17
近日,工业和信息化部、国家互联网信息办公室和公安部联合印发《网络产品安全漏洞管理规定》(简称《规定》),《规定》依据《中华人民共和国网络安全法》制定,明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》规范了网络产品安全漏洞发现、报告、修补和发布等行为,可有效防范网络安全风险。《规定》将于2021年9月1日起施行。
一、《网络产品安全漏洞管理规定》出台的目的是什么?
根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《规定》,主要目的如下:
- 维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;
- 规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;
- 鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
二、《规定》管理对象是谁?
- 网络产品(含软硬件)提供者
- 网络运营者
- 从事漏洞发现、收集、披露等活动的组织或个人
三、《规定》印发部门相关职责?
- 国家互联网信息办公室:负责统筹协调网络产品安全漏洞管理工作。
- 工业和信息化部:负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。
- 公安部:负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
四、《规定》中网络产品提供者,网络运营者,从事漏洞发现、收集、披露等活动的组织或个人有哪些方面责任和义务?
1、网络产品提供者:
- 接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
-
- 发现与验证:发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
-
- 报送:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
-
- 修补与告知:应当及时组织对网络产品安全漏洞进行修补,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
-
- 鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
-
2、网络运营者
- 接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
-
- 发现与修补:发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
-
3、漏洞收集平台相关要求
近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟需加强管理。为此,《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
- 任何组织或者个人设立的网络产品安全漏洞收集平台,都应当向工业和信息化部备案。
-
- 工业和信息化部向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
-
- 鼓励发现网络产品安全漏洞的组织或者个人向以下平台报送网络产品安全漏洞信息:
Ø 工业和信息化部网络安全威胁和漏洞信息共享平台
Ø 国家网络与信息安全信息通报中心漏洞平台
Ø 国家计算机网络应急技术处理协调中心漏洞平台
Ø 中国信息安全测评中心漏洞库
- 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
五、漏洞发布要求
- 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
-
- 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
-
- 不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
-
- 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
-
- 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
-
- 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
-
- 不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
-
- 法律法规的其他相关规定。
六、相关处罚与责任?
如构成《中华人民共和国网络安全法》规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
- 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理。
-
- 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理。
-
- 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理。
-
- 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理。