打個樣|如何更好地踐行《網路產品安全漏洞管理規定》?

綠盟科技發表於2021-07-15

近日,工業和資訊化部、國家網際網路資訊辦公室、公安部近日聯合印發《網路產品安全漏洞管理規定》(以下簡稱《規定》)。該《規定》的釋出對於安全漏洞的發現、報告、修復、收集等多個行為進行了規範和約束,能夠促使網路安全行業更快更健康的發展,同時也說明了國家對於網路安全的重視程度,強調了網路安全的發展和建設應以不損害國家安全為前提。綠盟科技基於網路安全攻防技術研究二十一年的經驗,對如何更好地遵守並實踐該《規定》整理了自己的理解以饗讀者。

《規定》的法律依據

《網路安全法》中,對網路安全產品和網路運營者做了要求,這是《規定》制定依據,細化管理物件的規範要求。第二十二條 網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設定惡意程式;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知使用者並向有關主管部門報告。

第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。

《規定》管理物件

《規定》的管理物件包括:網路產品提供者、網路運營者、從事漏洞發現、收集、披露等活動的組織或個人。網路產品提供者和網路運營者是自身產品和系統漏洞的責任主體,需要建立暢通的漏洞資訊接收渠道,及時對漏洞進行驗證並完成漏洞修補。對於從事漏洞發現、收集、釋出等活動的組織和個人,《規定》明確了其經評估協商後可提前披露產品漏洞、不得釋出網路運營者在用系統的漏洞細節、同步釋出修補防範措施、不得將未公開漏洞提供給產品提供者之外的境外組織或者個人等八項具體要求。

綠盟科技的實踐

綠盟科技八大實驗室之一天機實驗室,專注於漏洞挖掘和分析等攻防對抗的研究,同時,綠盟科技面向市場提供的60餘款網路安全產品也經過高度嚴格的安全檢查。此二者,都是《規定》中所提到的管理物件,需要滿足《規定》之要求。綠盟科技對外發布的威脅資訊一直堅持客觀、真實、審慎、負責的原則,並且內部有一套成熟的情報生態體系做支撐。我們基於事件和情報的運營體系,以綠盟科技安全運營中心的專家團隊為核心,整合了SOAR和威脅情報能力的整合平臺,依託遍佈全國的安全服務團隊,為客戶提供準確高效的情報和應急處置服務。

從綠盟科技內部的管理規定和日常要求出發,成立了安全委員會,加強產品安全管理,並制訂並實施了一系列的工作制度與流程來滿足《網路安全法》中對漏洞的要求,也契合《規定》中的細則。

首先,從網路產品提供者角度,綠盟科技成立了PSIRT(產品安全事件響應工作組)小組,專門負責產品安全漏洞的應急處置工作。覆蓋公司交付客戶的所有軟體、硬體和線上服務產品 。


打個樣|如何更好地踐行《網路產品安全漏洞管理規定》?


圖:綠盟科技產品漏洞應急處置流程

其次,綠盟科技制定《綠盟科技內部辦公安全管理辦法》,全員每年據此做個人安全等級的評測,包括實驗室漏洞研究的同事在內的統一要求,明確測試授權、測試報備、測試過程等規定。

對於網站、軟體/客戶端/裝置的掃描、滲透測試授權及漏洞通報,必須遵守以下規定:

A.嚴格禁止未經目標網站授權直接進行安全測試,以及各種途徑的漏洞披露

B.對於客戶授權我司對此客戶負責或監管的網站/軟體/客戶端/裝置進行的測試,應將測試結果直接通報客戶專案聯絡人,禁止通報其他任何漏洞平臺

C.對於公開徵集自身漏洞的網站或廠商,應將測試結果直接通報網站自身的漏洞上報平臺

D.對於通用軟體/客戶端/裝置類物件的測試,應透過合法途徑獲得,並在本地實驗環境下進行測試,測試結果直接通報高階安全研究部總監

劃個重點

《規定》面向網路產品安全漏洞的不同參與方提出了詳細要求,需要大家引起重視:

針對網路產品提供者

1) 發現或獲知漏洞後,應立即對漏洞進行驗證、評估,並通報給存在漏洞的上游產品或元件提供者

2) 2日內將漏洞詳情報送至工業和資訊化部網路安全威脅和漏洞資訊共享平臺

3) 及時對漏洞進行修補,將漏洞風險、修補方式告知相關產品使用者,並提供必要技術支援

4) 鼓勵建立所提供網路產品安全漏洞的上報獎勵機制

針對網路運營者

發現或者獲知其運營網路產品安全漏洞後,應立即對漏洞進行驗證並修補

針對網路產品漏洞發現、收集的組織和個人

1) 不得在網路產品提供者提供漏洞修補措施之前釋出漏洞資訊,提前釋出需由工業和資訊化部、公安部組織評估後進行

2) 不得釋出網路運營者在用的網路產品漏洞細節

3) 不得刻意誇大漏洞危害和風險、實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動

4) 不得釋出或提供專門用於利用漏洞從事危害網路安全活動的程式和工具

5) 在釋出漏洞時,應同步釋出修補或者防範措施

6) 國家重大活動期間,未經公安部同意,不得擅自發布漏洞資訊

7) 不得將未公開漏洞資訊向網路產品提供者之外的境外組織或者個人提供

針對網路產品安全漏洞收集平臺

需在工業和資訊化部備案,由工業和資訊化部及時向公安部、國家網際網路資訊辦公室通報,並對透過備案的漏洞收集平臺予以公佈。

以《網路安全法》為依據,《網路產品安全漏洞管理規定》將會推動網路產品安全漏洞管理工作的制度化、規範化、法治化,提高相關主體漏洞管理水平。綠盟科技攜手業界同仁,發揮網路安全技術優勢,學習和貫徹相關檔案,為保障國家網路安全貢獻力量。

相關文章