文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

《网络产品安全漏洞管理规定》:不仅是白帽子的紧箍咒,也是合规必答题

2024-12-03 00:35

关注

[[413749]]

网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。……要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。

——2016年4月19日网络安全和信息化工作座谈会上的讲话

一、背景

2021年7月13日,工业和信息化部、国家互联网信息办公室、公安部共同发布了《网络安全法》的重要配套规范——《网络产品安全漏洞管理规定》,并且将在9月1日伴随《数据安全法》一同生效,堪称开学大礼包。

网络安全漏洞是网络产品和服务在生命周期中无意或有意产生的,有可能被利用的缺陷或薄弱点。网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,具有防不胜防的特点。即使是再严格的测试也无法根除网络安全漏洞。因此,建立行之有效的网络安全漏洞管理机制成为面对潜在网络安全漏洞的最佳策略。

二、法律义务落地

《网络安全法》是我国网络空间领域的基本法律,要求相关机构或个人在处置网络安全漏洞时:

除了网络《网络安全法》,在《数据安全法》中对安全漏洞的管控也是法律义务之一:

开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施(第29条)。

早在2019年6月,工信部就曾发布了《网络安全漏洞管理规定(征求意见稿)》,此次规定正式颁布,为我国的网络安全与数据安全法律体系补上了一块重要的拼图。此外,在去年年底国家市场监督管理总局与国家标准化管理委员会发布了修改后的《信息安全技术 信息安全漏洞管理规范》(GB/T 30276-2020)。后续,有关部门可能会发布《网络安全威胁信息发布管理办法》等同样涉及网络安全漏洞的相关制度。


工信部在2019年9月印发了《公共互联网网络安全威胁监测与处置办法》,并建立了网络安全威胁信息共享平台(https://www.cstis.cn/),负责统一汇集、存储、分析、通报、发布网络安全威胁信息,平台还有会通知存在漏洞、后门的网络服务和产品的提供者,要求采取整改措施,消除安全隐患。

公安部2018年制定的《公安机关互联网安全监督检查规定》中也明确国家重大网络安全保卫任务期间专项安全监督检查的项目包括:企业是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患。《公安机关互联网安全监督检查规定》还规定公安机关对机构是否存在网络安全漏洞,可以开展远程检测。


三、企业的合规项目

此次发布的《网络产品安全漏洞管理规定》,要求所有机构扩充自己的合规清单。


四、白帽子的“紧箍咒”

网络安全漏洞本身也是“烫手的山芋”。一方面,漏洞处理机制离不开漏洞发现者(“白帽子”)的配合,很多企业与漏洞信息共享平台往往还会给予漏洞发现者奖励,以鼓励漏洞发现者参与网络安全工作。

但另一方面,网络安全漏洞的发掘与报送都存在较高的法律风险,漏洞发现者稍有不慎就会触及法律的“红线”——《刑法》第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。《刑法》中尚未就网络安全漏洞测试进行任何例外的规定,这直接导致与漏洞报送有关的案件逐一出现:

网络安全漏洞本身是危险品,就像与其他危险品打交道一样,操作员需要按照规范处理的流程,保护好自身安全。

此外,此次发布的《网络产品安全漏洞管理规定》第9条为安全漏洞收集平台与“白帽子”群体戴上了诸多“紧箍咒”,也让漏洞发布行为的边界更为清晰:

根据以上规则,漏洞的发布将会被严格限制。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下,未公开的安全漏洞不得向境外组织和个人提供,避免用于威胁我国的网络安全。

在罚则方面,《网络产品安全漏洞管理规定》为违法漏洞平台与“白帽子”们准备了责令改正、警告、机构最高10万元罚款、责任个人最高5万元罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等一系列处罚手段。

五、企业如何开展网络安全漏洞合规

根据我们为相关客户处置网络安全漏洞与搭建网络安全漏洞合规机制的服务经验,我们建议企业:

对于“白帽子”群体,我们建议严格按照《网络产品安全漏洞管理规定》为自己的行为边界划出红线,更充分地利用自己的网络安全技能,避免因为不知法、不守法让自己陷入违法甚至犯罪的窘境。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯