工業和信息化部、國家互聯網信息辦公室、公安部近日聯合印發《網絡產品安全漏洞管理規定》(下文簡稱《規定》)，該《規定》自今年9月1日起開始施行。

志翔科技高級副總裁伍海桑對科技日報記者說：“《規定》是對《網絡安全法》的細化，進一步規范了網絡產品的漏洞發現、公布、報告和修補等流程，明確了職責、對象和辦法，是網絡安全法落地實施的環節，非常必要，而且也非常務實。”

這是我國首次從產品視角管理漏洞。

“以往從攻擊事件視角、網絡系統視角等為主的漏洞收集及管理模式，只能解決單點問題，很難對該漏洞影響各行業的風險情況進行全面研判和處置。”奇安信集團副總裁、補天漏洞響應平臺主任張卓說，“在供應鏈安全威脅日益嚴重的全球形勢下，《規定》著眼于整個供應鏈的風險評估和有效處置，對維護國家網絡安全，保護網絡產品和重要網絡系統的安全穩定運行具有重大意義。”

網絡產品漏洞往往波及所有相關使用者，而不會只影響局部。

張卓介紹，今年1月，專注于產品生命周期管理解決方案的西門子Digital Industries Software爆出數十個漏洞。黑客利用這些漏洞就能執行惡意代碼。所有使用該款產品的企業都受到不同程度的影響。

《規定》將及時修補網絡產品安全漏洞作為網絡產品提供者應當履行的安全義務。要求網絡產品提供者于2日內向工業和信息化部報送漏洞信息，并及時進行修補，將修補方式告知可能受影響的產品用戶。

在壓實責任、明確流程的同時，《規定》也將紅線劃清。

《規定》特別強調，從事網絡產品安全漏洞發現、收集的組織或者個人，不得刻意夸大網絡產品安全漏洞的危害和風險，不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。

如張卓所言：“《規定》的初衷在于規范網絡產品漏洞的處理和生命周期流程，禁止拿漏洞作惡。”

工業和信息化部網絡安全管理局指出，近年來，不少專業機構、企業和社會組織等建立了從事漏洞發現和收集的漏洞收集平臺，在實際工作中部分漏洞收集平臺暴露出內部運營不規范、擅自發布漏洞等問題，亟需加強管理。

《規定》明確對漏洞收集平臺實行備案管理，由工業和信息化部對通過備案的漏洞收集平臺予以公布，并要求漏洞收集平臺采取措施防范漏洞信息泄露和違規發布。

在此《規定》之下，不以“惡意利用”為初心，以發現、公布漏洞、敦促運營者及時修補的“白帽子”們的行為將更加合法合規。

針對“不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況。”這一條款，參與《決定》起草階段意見征集的專家強調，這里禁止的是“具體細節揭秘式”的發布網絡運營者相關漏洞。如不能發布某企業的某個服務器上有某個微軟漏洞，包括具體的IP、端口多少等，但微軟產品的漏洞信息在修復后可以發布。

伍海桑說：“從網絡安全法、數據安全法及正在提請全國人大常委會審議的個人信息保護法(草案)等上位法,到完善、補充細節的條例、辦法、規定等相關下位法，網絡，數據、個人信息等方方面面的數據與網絡安全的圍欄越扎越密。”(科技日報記者 劉艷)

關鍵詞： 網絡產品視角 網絡產品 安全漏洞 網絡安全