*本文原创作者:宇宸@默安科技,本文属于FreeBuf原创奖励计划,未经许可禁止转载
摘要
当各位还在期盼自己618快递状态的时候,工信部发布了这样一部网络安全漏洞管理规定,也是给了一个惊喜。
正文
6月18日,为贯彻落实《中华人民共和国网络安全法》,加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(以下简称规定),拟以规范性文件形式印发,现面向社会公开征求意见。
规定内容不算太多,只有十二条,看过之后感觉,还是有一定信息量的。以后对于挖洞和修复操作有约束了,不能再开开心心的挖了。
规定的全文可以在网上找到,这里不贴了,说下其中几条存在信息量的规定。
规定涵盖中国境内所有组织和个体
第二条 中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。
开篇先把范围确定好,也就是说中国境内的所有人、所有组织、公司、机构和团体,都必须遵守,说白了只要是个人就得这么做,即使是具备一定智能的AI也要遵守。
发现漏洞必须上报,禁止私自发布和利用
第三条 发现/获知存在漏洞后:
(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;
(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。
验证漏洞是指的产品供应商、系统开发方、运营服务方,设备或系统的提供者/开发者来进行验证,可不是说第三方服务或企业自己去搞验证,原文的主语称为也很明确,所以对于漏洞验证的活,就由相关责任方去做,其他无关人员不要伸手,以免造成不必要风险。这次明确给出了修复和防范期限,对于产品类,比如FW存在漏洞被发现了,那么厂商就要在90天内修好漏洞或者提供同等防护能力的有效措施,而对于系统则必须在10日内进行修补。
修补或防护方案做好了,接着就要和客户或技术合作方进行实施和公告了,要求规定采取措施后5日内,将漏洞的细节、修补方式、影响程度公开发布或者自行发送给所有可能受影响的用户及先关技术合作方,并且要报告到工信部网络安全威胁信息共享平台(http://cstis.org.cn/)。这里的时间是正常时间,而不是工作日。
各监管部门施行各自监管方式
第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。
看到了吧,企业要接受至少3家的检查,而且每家的检查方式和重点都会有所不同,要求的流程和规范也会有细微差别。
不过换个角度看,这样综合各家的要求,能把一些细节或者考虑不到的问题也检查到,对于企业来说也是好事,是好事,好事。
对个人和第三方提出新要求
再来看看,对于个人和组织的要求(第六条中):
(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;
(二)不得刻意夸大漏洞的危害和风险;
(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。
第一点就提出来,个人或第三方不可以于厂家或开发商、运营者公布漏洞之前私自公开,以前为了彰显个人或服务方的能力,经常有这么干的,以后不行了,兄弟,你违法了。
对,自己搬砖自己赚钱不行了,或者去SRC或者提交给相关方或漏洞平台。
对于漏洞的危害要实事求是,真实客观,不能为了推广自己的产品或服务有意夸大事实。键盘侠和喜欢忽悠客户的,这回玩不转了。
再就是一些风险较大的漏洞,会有人出一些PoC工具,验证和利用漏洞,大多数是出于好意,发布到网上。这些工具、漏洞利用方法以后不能再发了,你可以发送给相关方、相关机构或国家漏洞平台,个人或第三方自行发布漏洞验证工具的,要进行约谈,造成影响的,要罚款,严重影响的,要追究刑事责任。
风险管理日趋重要
对于漏洞管理,也提出了一些管理要求(第七条中):
(一)明确漏洞管理部门和责任人;
(二)建立漏洞信息发布内部审核机制;
(三)采取防范漏洞信息泄露的必要措施。
安全问题越来越受重视(某些企业),内部风险管理也日渐显现其重要性。再用常规的漏扫打补丁,封端口的操作,无法应对以后的互联网安全态势。企业应梳理自身业务,关注最新技术趋势和漏洞情况,结合实际情况量身定制内控管理。规定中明确要求要建立漏洞管理部门和负责人,而且对于漏洞信息发布要进行内控,要有流程。除了漏洞管理,还要做好漏洞信息泄露工作。这里个人理解应该是,企业系统当前存在的漏洞情况,应该只有相关部门或责任人知道,其他无关人员不能通过其他渠道获取系统的漏洞情况;另一方面,漏洞中可能包含的敏感信息,应尽量避免此类信息泄露事件。
明确违规处罚力度
最后就是强调对于不遵守规定的,未按本规定采取漏洞修补或防范措施并向社会或用户发布的,要对其进行处罚,包括约谈、罚款、判刑等方式。具体处罚额度是参照网安法来的。
总结
那么,总结一下,规定中强调的一些重点:
1.本规定适用国内所有企业、组织和个人;
2.发现的漏洞,在限定时间内,相关厂商、第三方、运营方等必须做出修补,并公开漏洞细节和应对措施;
3.发现漏洞必须提交给相关企业、厂商或漏洞平台,不得自行发表;
4.各监管部门检查的重点可能会有所不同;
5.不允许夸大漏洞危害,不得私自发布漏洞验证工具和方法;
6.期限内不能整改的,要接受监管部门处罚。
总的来说,国内安全相关的法制在逐步健全,对企业和个人的约束也会越来越多,从杂乱无章向有条不紊过度,这是一个网络大国、网络强国必须要做到的。
PS:文中为个人观点,仅供参考。
*本文原创作者:宇宸@默安科技,本文属于FreeBuf原创奖励计划,未经许可禁止转载