近年來(lái),網(wǎng)絡(luò)上出現(xiàn)了很多從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集發(fā)布的平臺(tái),不過(guò)這些平臺(tái)也存在著很多不規(guī)范運(yùn)營(yíng)的現(xiàn)象,由此帶來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。尤其是網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者面對(duì)自身產(chǎn)品的漏洞修復(fù)不及時(shí),沒(méi)有預(yù)警防范措施,導(dǎo)致信息安全事件發(fā)生后,給相關(guān)企業(yè)和個(gè)人造成很大損失。
僅今年9月份,全球因遭遇勒索軟件而發(fā)生的已對(duì)外公布的大型網(wǎng)絡(luò)安全事件就有6起之多,涉及政府部門(mén)、醫(yī)療衛(wèi)生系統(tǒng)、金融交易系統(tǒng)、公共交通運(yùn)輸系統(tǒng)等多個(gè)領(lǐng)域。
為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)、發(fā)布等行為,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡(jiǎn)稱《規(guī)定》)已于2021年9月1日起施行。廣電計(jì)量信息化服務(wù)技術(shù)專(zhuān)家特別針對(duì)《規(guī)定》重要條款整理了詳細(xì)解讀,一起看下吧!
一、哪些組織或個(gè)人會(huì)受到該規(guī)定的影響?
- 1. 中國(guó)境內(nèi)的硬件、軟件的網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者;
- 2. 從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集發(fā)布等活動(dòng)的組織或者個(gè)人。
二、 必須采取的措施有哪些?
1. 針對(duì)網(wǎng)絡(luò)產(chǎn)品提供者
接收:應(yīng)當(dāng)建立安全漏洞信息接收渠道,留存至少6個(gè)月的漏洞接收信息。
驗(yàn)證:應(yīng)當(dāng)立即對(duì)安全漏洞進(jìn)行驗(yàn)證,評(píng)估其危害程度和影響范圍;對(duì)上游產(chǎn)品安全漏洞,應(yīng)立即通知相關(guān)人員。
報(bào)送:應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。
修補(bǔ):應(yīng)當(dāng)及時(shí)修補(bǔ)安全漏洞,并通知用戶相關(guān)漏洞信息,升級(jí)和修補(bǔ)方法。
同步:同時(shí)向三個(gè)部門(mén)通報(bào)相關(guān)漏洞信息:工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心。
鼓勵(lì):鼓勵(lì)對(duì)發(fā)現(xiàn)安全漏洞的組織或者個(gè)人給予獎(jiǎng)勵(lì)。
2. 針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者
接收:應(yīng)建立網(wǎng)絡(luò)產(chǎn)品安全漏洞接收渠道,留存至少6個(gè)月的漏洞接收信息。
修補(bǔ):發(fā)現(xiàn)信息系統(tǒng)存在安全漏洞后,應(yīng)及時(shí)對(duì)漏洞進(jìn)行驗(yàn)證和修補(bǔ)。
3. 針對(duì)任何組織和個(gè)人
備案:任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái),應(yīng)當(dāng)向工業(yè)和信息化部備案。工業(yè)和信息化部及時(shí)向公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室通報(bào)相關(guān)漏洞收集平臺(tái),并對(duì)通過(guò)備案的漏洞收集平臺(tái)予以公布。
鼓勵(lì):鼓勵(lì)發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個(gè)人向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心漏洞平臺(tái)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心漏洞平臺(tái)、中國(guó)信息安全測(cè)評(píng)中心漏洞庫(kù)報(bào)送網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
禁止:
- 1. 不得發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品提供者的安全漏洞的細(xì)節(jié)情況
- 2. 不得在網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品提供者提供安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息。
- 3. 不得發(fā)布或者提供針對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞的利用程序。
- 4. 不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙、敲詐勒索等違法犯罪活動(dòng)。
- 5. 未經(jīng)相關(guān)部門(mén)同意,在重大節(jié)日期間,不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
- 6. 在發(fā)布安全漏洞時(shí),應(yīng)當(dāng)同步發(fā)布修補(bǔ)或者防范措施。
- 7. 不得向境外組織或者個(gè)人提供未公開(kāi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
- 8. 法律法規(guī)的其他相關(guān)規(guī)定。
在信息安全領(lǐng)域,廣電計(jì)量擁有一支資深安全技術(shù)專(zhuān)家團(tuán)隊(duì),具有多年安全工程實(shí)施經(jīng)驗(yàn)和技術(shù)儲(chǔ)備優(yōu)勢(shì),能為行業(yè)客戶提供專(zhuān)業(yè)的安全保障和安全咨詢等服務(wù),為金融、電商、開(kāi)發(fā)者和政企客戶的各類(lèi)應(yīng)用提供一站式綜合解決方案。針對(duì)《規(guī)定》的相關(guān)要求,可提供如下技術(shù)服務(wù):
●滲透測(cè)試服務(wù)
通過(guò)模擬黑客攻擊方式,對(duì)客戶產(chǎn)品進(jìn)行安全性測(cè)試,協(xié)助企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露、資產(chǎn)受損、數(shù)據(jù)被篡改等安全漏洞,并為客戶提供安全漏洞修復(fù)等技術(shù)服務(wù)。
●代碼審計(jì)服務(wù)
從信息安全角度出發(fā),廣電計(jì)量可提供應(yīng)用系統(tǒng)相關(guān)邏輯路徑測(cè)試服務(wù),通過(guò)分析源代碼,挖掘代碼中存在的安全缺陷以及規(guī)范性缺陷,找到普通安全測(cè)試無(wú)法發(fā)現(xiàn)的如二次注入、反序列化、xml實(shí)體注入等安全漏洞。
●SDL服務(wù)
安全是整個(gè)IT團(tuán)隊(duì)(包括開(kāi)發(fā)、測(cè)試、運(yùn)維及安全團(tuán)隊(duì))所有成員的責(zé)任,貫穿需求、架構(gòu)、編碼、測(cè)試、部署以及運(yùn)維等整個(gè)研發(fā)周期的各個(gè)階段,通過(guò)加入相關(guān)安全措施,以安全左移的形式,提高信息安全的綜合防御能力和降低安全漏洞的修復(fù)代價(jià)。
廣電計(jì)量可提供有針對(duì)性的解決方案,協(xié)助客戶實(shí)現(xiàn)思維方式、流程和技術(shù)的整體提升,并通過(guò)系列化安全工具編排及實(shí)施,完成軟件開(kāi)發(fā)行業(yè)的安全賦能,改善企業(yè)和機(jī)構(gòu)的軟件安全現(xiàn)狀。
●應(yīng)急響應(yīng)服務(wù)
提供快速響應(yīng)、力保恢復(fù)的應(yīng)急響應(yīng)服務(wù),以及針對(duì)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等安全服務(wù)。
●應(yīng)急響應(yīng)中心(xSRC)規(guī)劃服務(wù)
廣電計(jì)量可協(xié)助客戶搭建符合自身需求的安全應(yīng)急響應(yīng)中心,作為對(duì)外接收來(lái)自用戶發(fā)現(xiàn)并報(bào)告產(chǎn)品缺陷的站點(diǎn),對(duì)外發(fā)布企業(yè)突發(fā)安全事件處理動(dòng)態(tài)以及企業(yè)信息安全團(tuán)隊(duì)研究成果,掌握漏洞收集、披露等過(guò)程的主動(dòng)性及私密性。企業(yè)可自行分配工程師開(kāi)發(fā)屬于自身的安全應(yīng)急響應(yīng)中心,制定自己的漏洞收集和披露計(jì)劃。
目前,包括Google、Microsoft以及騰訊、阿里巴巴、百度等,均成立了自己的安全應(yīng)急響應(yīng)中心,對(duì)外收集并處理安全研究員報(bào)送的漏洞報(bào)告。
點(diǎn)擊下載軟件測(cè)評(píng)及信息安全畫(huà)冊(cè),了解更多相關(guān)服務(wù)內(nèi)容
廣州廣電計(jì)量檢測(cè)股份有限公司(股票簡(jiǎn)稱:廣電計(jì)量,股票代碼:002967)是原信息產(chǎn)業(yè)部電子602計(jì)量站,經(jīng)過(guò)50余年的發(fā)展,現(xiàn)已成為一家全國(guó)布局、綜合性的國(guó)有第三方計(jì)量檢測(cè)機(jī)構(gòu)。在信息安全領(lǐng)域,廣電計(jì)量擁有一支資深安全技術(shù)專(zhuān)家團(tuán)隊(duì),具有多年安全工程實(shí)施經(jīng)驗(yàn)和技術(shù)儲(chǔ)備優(yōu)勢(shì),能為行業(yè)客戶提供專(zhuān)業(yè)的安全保障和安全咨詢等服務(wù),為金融、電商、開(kāi)發(fā)者和政企客戶的各類(lèi)應(yīng)用提供一站式綜合解決方案。