如何更好地践行《网络产品安全漏洞管理规定》? – 作者:绿盟科技

近日,工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》(以下简称《规定》)。该《规定》的发布对于安全漏洞的发现、报告、修复、收集等多个行为进行了规范和约束,能够促使网络安全行业更快更健康的发展,同时也说明了国家对于网络安全的重视程度,强调了网络安全的发展和建设应以不损害国家安全为前提。绿盟科技基于网络安全攻防技术研究二十一年的经验,对如何更好地遵守并实践该《规定》整理了自己的理解以飨读者。

《规定》的法律依据

《网络安全法》中,对网络安全产品和网络运营者做了要求,这是《规定》制定依据,细化管理对象的规范要求。第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

《规定》管理对象

《规定》的管理对象包括:网络产品提供者、网络运营者、从事漏洞发现、收集、披露等活动的组织或个人。网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,需要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者在用系统的漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

绿盟科技的实践

绿盟科技八大实验室之一天机实验室,专注于漏洞挖掘和分析等攻防对抗的研究,同时,绿盟科技面向市场提供的60余款网络安全产品也经过高度严格的安全检查。此二者,都是《规定》中所提到的管理对象,需要满足《规定》之要求。绿盟科技对外发布的威胁信息一直坚持客观、真实、审慎、负责的原则,并且内部有一套成熟的情报生态体系做支撑。我们基于事件和情报的运营体系,以绿盟科技安全运营中心的专家团队为核心,集成了SOAR和威胁情报能力的集成平台,依托遍布全国的安全服务团队,为客户提供准确高效的情报和应急处置服务。

从绿盟科技内部的管理规定和日常要求出发,成立了安全委员会,加强产品安全管理,并制订并实施了一系列的工作制度与流程来满足《网络安全法》中对漏洞的要求,也契合《规定》中的细则。

首先,从网络产品提供者角度,绿盟科技成立了PSIRT(产品安全事件响应工作组)小组,专门负责产品安全漏洞的应急处置工作。覆盖公司交付客户的所有软件、硬件和在线服务产品 。

846934_2BVN3RY48S7AEQ2.jpg

图:绿盟科技产品漏洞应急处置流程

其次,绿盟科技制定《绿盟科技内部办公安全管理办法》,全员每年据此做个人安全等级的评测,包括实验室漏洞研究的同事在内的统一要求,明确测试授权、测试报备、测试过程等规定。

对于网站、软件/客户端/设备的扫描、渗透测试授权及漏洞通报,必须遵守以下规定:

A.严格禁止未经目标网站授权直接进行安全测试,以及各种途径的漏洞披露

B.对于客户授权我司对此客户负责或监管的网站/软件/客户端/设备进行的测试,应将测试结果直接通报客户项目联系人,禁止通报其他任何漏洞平台

C.对于公开征集自身漏洞的网站或厂商,应将测试结果直接通报网站自身的漏洞上报平台

D.对于通用软件/客户端/设备类对象的测试,应通过合法途径获得,并在本地实验环境下进行测试,测试结果直接通报高级安全研究部总监

划个重点

《规定》面向网络产品安全漏洞的不同参与方提出了详细要求,需要大家引起重视:

针对网络产品提供者

1) 发现或获知漏洞后,应立即对漏洞进行验证、评估,并通报给存在漏洞的上游产品或组件提供者

2) 2日内将漏洞详情报送至工业和信息化部网络安全威胁和漏洞信息共享平台

3) 及时对漏洞进行修补,将漏洞风险、修补方式告知相关产品用户,并提供必要技术支持

4) 鼓励建立所提供网络产品安全漏洞的上报奖励机制

针对网络运营者

发现或者获知其运营网络产品安全漏洞后,应立即对漏洞进行验证并修补

针对网络产品漏洞发现、收集的组织和个人

1) 不得在网络产品提供者提供漏洞修补措施之前发布漏洞信息,提前发布需由工业和信息化部、公安部组织评估后进行

2) 不得发布网络运营者在用的网络产品漏洞细节

3) 不得刻意夸大漏洞危害和风险、实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动

4) 不得发布或提供专门用于利用漏洞从事危害网络安全活动的程序和工具

5) 在发布漏洞时,应同步发布修补或者防范措施

6) 国家重大活动期间,未经公安部同意,不得擅自发布漏洞信息

7) 不得将未公开漏洞信息向网络产品提供者之外的境外组织或者个人提供

针对网络产品安全漏洞收集平台

需在工业和信息化部备案,由工业和信息化部及时向公安部、国家互联网信息办公室通报,并对通过备案的漏洞收集平台予以公布。

以《网络安全法》为依据,《网络产品安全漏洞管理规定》将会推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平。绿盟科技携手业界同仁,发挥网络安全技术优势,学习和贯彻相关文件,为保障国家网络安全贡献力量。

来源:freebuf.com 2021-07-15 10:05:35 by: 绿盟科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论