工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部近日印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡(jiǎn)稱《規(guī)定》),自2021年9月1日起施行?!兑?guī)定》要求,從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人通過網(wǎng)絡(luò)平臺(tái)、媒體、會(huì)議、競(jìng)賽等方式向社會(huì)發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息的,應(yīng)當(dāng)遵循必要、真實(shí)、客觀以及有利于防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則,明確不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn),不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙、敲詐勒索等違法犯罪活動(dòng)等8項(xiàng)具體要求。
《規(guī)定》明確了網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者是自身產(chǎn)品和系統(tǒng)漏洞的責(zé)任主體,要建立暢通的漏洞信息接收渠道,及時(shí)對(duì)漏洞進(jìn)行驗(yàn)證并完成漏洞修補(bǔ)。同時(shí),《規(guī)定》還對(duì)網(wǎng)絡(luò)產(chǎn)品提供者提出了漏洞報(bào)送的具體時(shí)限要求,以及對(duì)產(chǎn)品用戶提供技術(shù)支持的義務(wù)。
對(duì)于從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織和個(gè)人,《規(guī)定》還明確不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息;認(rèn)為有必要提前發(fā)布的,應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評(píng)估協(xié)商,并向工業(yè)和信息化部、公安部報(bào)告,由工業(yè)和信息化部、公安部組織評(píng)估后進(jìn)行發(fā)布。不得發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況。不得發(fā)布或者提供專門用于利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的程序和工具等。
當(dāng)前,不少專業(yè)機(jī)構(gòu)、企業(yè)和社會(huì)組織等建立了從事漏洞發(fā)現(xiàn)和收集的平臺(tái),在實(shí)際工作中部分漏洞收集平臺(tái)也暴露出內(nèi)部運(yùn)營(yíng)不規(guī)范、擅自發(fā)布漏洞等問題,亟需加強(qiáng)管理。為此,《規(guī)定》要求,任何組織或者個(gè)人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái),應(yīng)當(dāng)向工業(yè)和信息化部備案。 從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織應(yīng)當(dāng)加強(qiáng)內(nèi)部管理,采取措施防范網(wǎng)絡(luò)產(chǎn)品安全漏洞信息泄露和違規(guī)發(fā)布。
(來源:中國(guó)信用)