信息來源:Freebuf
2021年,相關法律法規(guī)的完善極大促進了中國網絡安全行業(yè)的發(fā)展,基于企業(yè)穩(wěn)定運營、安全運營的原則,越來越多的領域投入到企業(yè)安全合規(guī)的建設中來。但現狀是,隨著安全建設的不斷深入,各項出臺的法規(guī)、政策并不一定能充分執(zhí)行到位,這往往為企業(yè)和行業(yè)的安全發(fā)展埋下了隱患。
近日媒體就報道了有關「阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位」的消息。事件的起因在于,阿里云作為工信部網絡安全威脅信息共享平臺合作單位,在發(fā)現阿帕奇Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。因此,阿里云最終被工信部暫停作為合作單位6個月。
暫停期滿后,再根據阿里云公司整改的情況,研究是否恢復其上述合作單位的資格。
事實上,有關安全漏洞事件,國家有一套詳細的法律法規(guī),約束相關企業(yè)“盡早申報”,協助相關行業(yè)的企事業(yè)單位即時“補漏”。 那么,對于網絡安全漏洞管理,企業(yè)還有哪些硬性要求?FreeBuf和大家一起重溫一遍《網絡產品安全漏洞管理規(guī)定》。
漏洞防范,有規(guī)可依
早在2019年,國家工業(yè)和信息化部會同有關部門成立專項起草組,研究分析國內外漏洞管理現狀,梳理相關漏洞管理需求,形成了初期的《網絡產品安全漏洞管理規(guī)定》送審稿。幾經優(yōu)化后,終于在2021年9月,正式出臺《網絡產品安全漏洞管理規(guī)定》正式稿,第一次對我國漏洞發(fā)現、報告、修補和發(fā)布行為進行明確的流程和責任劃分,讓漏洞防范,有法可循、有規(guī)可依。
《網絡產品安全漏洞管理規(guī)定》源于《網絡安全法》,由工業(yè)和信息化部、國家互聯網信息辦公室、公安部聯合制定,維護國家網絡安全,保護網絡產品和重要網絡系統(tǒng)的安全穩(wěn)定運行;在規(guī)范相關漏洞申報的同時,明確了網絡產品提供者、網絡產品運營者以及漏洞事件中涉及到發(fā)現、收集、發(fā)布的組織或個人的責任及義務。
網絡產品提供者運營者:早申報早知道
《網絡產品安全漏洞管理規(guī)定》提出,網絡產品提供者和運營者應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通,留存網絡產品安全漏洞信息接收日志不少于6個月。
當發(fā)現或者獲知所提供網絡產品存在安全漏洞后,網絡產品提供者應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。同時應當在2日內向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
現在這也是此次阿里云被罰的真正起因。有消息表明,阿里云早在11月24日就已經發(fā)現了相關漏洞通報,但它并沒有第一時間將漏洞情況上報于工業(yè)和信息化部,最終致使國內相關企業(yè)單位錯過了最佳風險防范的機會。
《規(guī)定》同時也明確了在收到漏洞通報后,網絡產品提供者和運營者的應對措施。相關產品的提供者和運營者應當及時組織對網絡產品安全漏洞進行修補,對于需要產品用戶(含下游廠商)采取軟件、固件升級等措施的,應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶,并提供必要的技術支持。
值得一提的是,當發(fā)現或者獲知其網絡、信息系統(tǒng)及其設備存在安全漏洞后,網絡運營者應當立即采取措施,及時對安全漏洞進行驗證并完成修補。
組織或個人也應即時申報漏洞詳情
除去網絡產品提供者和運營者外,相關漏洞挖掘組織或個人也應同時遵守《網絡產品安全漏洞管理規(guī)定》。在《規(guī)定》中明確指出,任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業(yè)和信息化部備案。工業(yè)和信息化部及時向公安部、國家互聯網信息辦公室通報相關漏洞收集平臺,并對通過備案的漏洞收集平臺予以公布。
同時,鼓勵發(fā)現網絡產品安全漏洞的組織或者個人向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺、國家網絡與信息安全信息通報中心漏洞平臺、國家計算機網絡應急技術處理協調中心漏洞平臺、中國信息安全測評中心漏洞庫報送網絡產品安全漏洞信息。
此外,在漏洞發(fā)布也有相應的要求,如下:
1. 不得發(fā)布網絡運營者在用的網絡、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況
2. 不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發(fā)布漏洞信息。
3. 不得發(fā)布或者提供專門用于利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具。
4. 不得刻意夸大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。
5. 在國家舉辦重大活動期間,未經公安部同意,不得擅自發(fā)布網絡產品安全漏洞信息。
6. 在發(fā)布網絡產品安全漏洞時,應當同步發(fā)布修補或者防范措施。
7. 不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。
8. 法律法規(guī)的其他相關規(guī)定。
切莫踩在違規(guī)的紅線上
近年來,網絡安全漏洞威脅日益嚴峻,每一次重量級漏洞的爆發(fā)往往會在社會上快速傳播,不斷威脅企業(yè)和用戶的安全。
《網絡產品安全漏洞管理規(guī)定》的出臺進一步規(guī)范漏洞發(fā)現、報告、修補和發(fā)布等行為,明確網絡產品提供者、網絡運營者、以及從事漏洞發(fā)現、收集、發(fā)布等活動的組織或個人等各類主體的責任和義務;使得漏洞管理工作變的更加制度化、規(guī)范化、法治化,對于提升漏洞管理水平,促進網絡安全有著重要的作用。
而作為企業(yè)、組織和個人,也要認真了解《網絡產品安全漏洞管理規(guī)定》的具體要求,并參照執(zhí)行,切莫踩在紅線上。