近日，工信部、國(guó)家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求任何組織或者個(gè)人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)，不得非法收集、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息;明知他人利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助;任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)，應(yīng)當(dāng)向工業(yè)和信息化部備案。本規(guī)定自2021年9月1日起施行。

　　該《規(guī)定》釋放了一個(gè)重要信號(hào)：我國(guó)將首次以產(chǎn)品視角來(lái)管理漏洞，通過(guò)對(duì)網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對(duì)網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤，實(shí)現(xiàn)對(duì)我國(guó)各行各業(yè)網(wǎng)絡(luò)安全的有效防護(hù)。在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢(shì)下，《規(guī)定》對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，具有重大意義。

　　鼓勵(lì)漏洞通報(bào) 但必須備案

　　近年來(lái)白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺(tái)并告知企業(yè)的做法曾一度在圈內(nèi)流行，但這種做法往往也伴隨著一定爭(zhēng)議。而按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》要求，任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)，應(yīng)當(dāng)向工業(yè)和信息化部備案。

　　《規(guī)定》明確了產(chǎn)品安全漏洞的發(fā)現(xiàn)、修補(bǔ)、管理流程，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍;對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。同時(shí)《規(guī)定》明確指出，應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。

　　《規(guī)定》第十條指出，任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)，應(yīng)當(dāng)向工業(yè)和信息化部備案。同時(shí)在第六條中指出，鼓勵(lì)相關(guān)組織和個(gè)人向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞，還“鼓勵(lì)網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎(jiǎng)勵(lì)機(jī)制，對(duì)發(fā)現(xiàn)并通報(bào)所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個(gè)人給予獎(jiǎng)勵(lì)?！边@兩條規(guī)定規(guī)范了漏洞收集平臺(tái)和白帽子的行為，有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的社會(huì)價(jià)值。

　　業(yè)內(nèi)專家認(rèn)為，針對(duì)“不得發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況?！边@一條款，有些人理解為只要網(wǎng)絡(luò)運(yùn)營(yíng)者在用的產(chǎn)品，就不能公開(kāi)其漏洞，其實(shí)這里禁止的是“具體細(xì)節(jié)揭秘式”的發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者相關(guān)漏洞。例如不能發(fā)布某企業(yè)的某個(gè)服務(wù)器上有某個(gè)微軟漏洞，包括具體的IP、端口多少等，但微軟產(chǎn)品本身的漏洞信息在修復(fù)后是可以發(fā)布的。

　　改變以往攻擊事件視角等為主的漏洞收集及管理模式

　　該規(guī)定改變了以往攻擊事件視角、網(wǎng)絡(luò)系統(tǒng)視角等為主的漏洞收集及管理模式，這樣的管理模式，只能解決單點(diǎn)問(wèn)題，很難對(duì)該漏洞影響各行各業(yè)的風(fēng)險(xiǎn)情況進(jìn)行全面研判和處置，本次《規(guī)定》以產(chǎn)品視角進(jìn)行漏洞管理，就可以對(duì)上下游整個(gè)供應(yīng)鏈進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和有效處置。

　　據(jù)了解，網(wǎng)絡(luò)產(chǎn)品漏洞的影響往往不會(huì)局限于一點(diǎn)，所有相關(guān)使用者均受其影響。如2021年1月，專注于產(chǎn)品生命周期管理解決方案的西門(mén)子Digital Industries Software爆出數(shù)十個(gè)漏洞，導(dǎo)致所有使用該款產(chǎn)品的企業(yè)全部受到影響，黑客利用這些漏洞就能執(zhí)行惡意代碼。同年5月，有報(bào)道稱高通MSM芯片被爆存在高危安全漏洞(漏洞編號(hào)CVE-202011292)。高通2G、3G、4G、5G的系列芯片全部存在此漏洞。攻擊者可利用該漏洞獲取隱私信息監(jiān)聽(tīng)通話將手機(jī)變成監(jiān)控設(shè)備。作為向三星、LG、小米等多個(gè)手機(jī)品牌供貨的芯片大廠，該高危漏洞讓全球40億的手機(jī)用戶暴露在了危險(xiǎn)之下。

　　工業(yè)和信息化部網(wǎng)絡(luò)安全管理局人士表示，《規(guī)定》的出臺(tái)將推動(dòng)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法治化，提高相關(guān)主體漏洞管理水平，引導(dǎo)建設(shè)規(guī)范有序、充滿活力的漏洞收集和發(fā)布渠道，防范網(wǎng)絡(luò)安全重大風(fēng)險(xiǎn)，保障國(guó)家網(wǎng)絡(luò)安全。