《网络产品安全漏洞管理规定》7月12日已由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发,现予公布,自9月1日起施行。
一、解读《网络产品安全漏洞管理规定》
制定目的
为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。
法律依据
《中华人民共和国网络安全法》
三类责任主体
① 网络产品(含硬件、软件)提供者。
② 网络运营者。
③ 从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。
三项管理职责及分工
① 国家互联网信息办公室:负责统筹协调网络产品安全漏洞管理工作。
② 工业和信息化部:负责网络产品安全漏洞综合管理,承担电信和互联网行业网络
产品安全漏洞监督管理。
③ 公安部:负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施
的违法犯罪活动。
三项活动不得从事
① 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动。
② 不得非法收集、出售、发布网络产品安全漏洞信息。
③ 明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术
支持、广告推广、支付结算等帮助。
三类责任主体管理要求:
●网络产品提供者
接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全
漏洞信息接收日志不少于6个月。
发现或者获知所提供网络产品存在安全漏洞后:
验证:应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影
响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品
提供者。
报送:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏
洞信息。
修补:应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)
采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式
告知可能受影响的产品用户,并提供必要的技术支持。
同步:工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全
信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
鼓励:鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所
提供网络产品安全漏洞的组织或者个人给予奖励。
网络运营者
接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全
漏洞信息接收日志不少于6个月。
修补:发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,
及时对安全漏洞进行验证并完成修补。
任何组织和个人
备案:任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部
备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收
集平台,并对通过备案的漏洞收集平台予以公布。
鼓励:鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和
漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机
网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络
产品安全漏洞信息。
八项漏洞发布要求不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。法律法规的其他相关规定。
从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
法律罚则:
网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
二、《网络产品安全漏洞管理规定》全文学习
第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。
第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络
产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
第十六条 本规定自9月1日起施行。
三、任子行漏洞安全解决方案
任子行信息安全服务定位于帮助用户以较低的成本实现高效的信息安全体系,致力成为一家具有前瞻性的信息安全解决方案和服务提供商,提供包含从高端的全面安全体系到细节的技术解决措施,为企业、政府提供全面或部分信息安全解决方案的服务,包括娴熟高效的安全技术、精准专业的安全工具以及资深信息安全专家的专业服务。另外任子行还会为客户量身量身制定服务,从网络安全、应用安全、主机安全、数据安全等方面提供包括信息安全风险评估、等级保护咨询、渗透测试、安全巡检、安全加固、安全培训、应急响应、安全咨询、攻防演练及重保值守等服务内容,尽最大能力满足所有客户的安全需求。
风险(安全)评估服务
风险(安全)评估是对信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。协助完成对风评过程中发现的问题进行整改,整改完成后测试是否整改完毕。
风险评估,可带来如下收益:
风险评估服务通过信息资产的识别与赋值、威胁评估、
弱点评估、现有安全措施评估、综合风险分析等若干环
节,对信息系统的安全风险进行风险分析,清晰地展现
信息系统当前的安全现状,提供公正、客观、翔实的数
据作为决策参考,为组织下一步控制和降低安全风险、
改善安全状况、实施信息系统的风险管理提供依据。
安全加固服务
在能百分百规避风险的情况下,针对系统渗透测试,漏洞扫描,风险评估等项目的实施结果,提供详细可行的漏洞修补及系统加固方案,协调系统运维人员进行安全加固,跟进安全加固进度,确保信息系统的安全。系统安全加固服务,可带来如下收益:
有效修复、减少系统中存在的高、中危漏
洞,降低安全漏洞和隐患带来的安全风险。
有效提升系统自身的安全防护能力。
最大程度保障系统的持续、安全、稳定运行。
应急响应服务
根据用户实际情况,提供信息安全应急响应服务,包括应急预案、事件处置及问题修复、报告输出。提供7*24小时重大安全事件的应急响应工作,应急响应主要针对突发的网站安全故障、网络安全事件、应用系统安全事件、主机安全事件、黑客攻击事件等进行诊断,分析并协助解决。
应急响应服务,可带来如下收益:
还原攻击事件,收集由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据。提升安全事件处理效率,及时解决安全故障,恢复系统正常运行,尽可能挽回或减少安全事件带来的损失。对安全故障发生的系统作安全检查和清理,保证信息系统安全。弥补安全故障发生系统上的安全漏洞,加强安全保护措施,防止类似事件的再次发生。评估网站被入侵的可能性,并在入侵者发起攻击前封堵可能被利用的攻击途径。