根据《网络安全法》关于漏洞管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定《规定》，主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。

2021年7月13日，工信部、网信办、公安部联合印发《网络产品安全漏洞管理规定》。

《规定》中网络产品提供者，网络运营者，从事漏洞发现、收集、披露等活动的组织或个人有哪些方面责任和义务？

网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。同时，《规定》还对网络产品提供者提出了漏洞报送的具体时限要求，以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

《规定》中将及时修补网络产品安全漏洞作为网络产品提供者应当履行的安全义务，其主要考虑是什么？

网络产品漏洞信息可通过网络平台、媒体、会议等方式在社会上快速传播，危害大量网络用户权益，有必要采取措施防止风险扩大或者避免损害发生。《网络安全法》明确指出，网络产品提供者发现其网络产品存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。因此，《规定》要求网络产品提供者于2日内向工业和信息化部报送漏洞信息，并及时进行修补，将修补方式告知可能受影响的产品用户。

《规定》对漏洞收集平台的管理要求是什么？

近年来，不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台，在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题，亟需加强管理。为此，《规定》明确对漏洞收集平台实行备案管理，由工业和信息化部对通过备案的漏洞收集平台予以公布，并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。

来源：freebuf.com 2021-07-17 10:56:04 by: 郑州埃文科技