7月13日,工信部發(fā)布消息��,工信部�����、國家網(wǎng)信辦�、公安部近日印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》���,規(guī)定自2021年9月1日起施行�。中華人民共和國境內的網(wǎng)絡產(chǎn)品(含硬件��、軟件)提供者和網(wǎng)絡運營者�,以及從事網(wǎng)絡產(chǎn)品安全漏洞發(fā)現(xiàn)、收集����、發(fā)布等活動的組織或者個人,應當遵守本規(guī)定����。
規(guī)定明確,任何組織或者個人不得利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全的活動,不得非法收集�����、出售�、發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息;明知他人利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全的活動的��,不得為其提供技術支持�、廣告推廣、支付結算等幫助����。
規(guī)定稱,網(wǎng)絡產(chǎn)品提供者����、網(wǎng)絡運營者和網(wǎng)絡產(chǎn)品安全漏洞收集平臺應當建立健全網(wǎng)絡產(chǎn)品安全漏洞信息接收渠道并保持暢通,留存網(wǎng)絡產(chǎn)品安全漏洞信息接收日志不少于6個月�。
據(jù)了解,根據(jù)《網(wǎng)絡安全法》關于漏洞管理有關要求�,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室�����、公安部聯(lián)合制定《規(guī)定》,主要目的是維護國家網(wǎng)絡安全�,規(guī)范漏洞發(fā)現(xiàn)、報告��、修補和發(fā)布等行為����,明確網(wǎng)絡產(chǎn)品提供者���、網(wǎng)絡運營者��、以及從事漏洞發(fā)現(xiàn)�����、收集���、發(fā)布等活動的組織或個人等各類主體的責任和義務;鼓勵各類主體發(fā)揮各自技術和機制優(yōu)勢開展漏洞發(fā)現(xiàn)���、收集���、發(fā)布等相關工作����。
《規(guī)定》指出��,鼓勵相關組織和個人向網(wǎng)絡產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞��;鼓勵網(wǎng)絡產(chǎn)品提供者建立所提供網(wǎng)絡產(chǎn)品安全漏洞獎勵機制�,對發(fā)現(xiàn)并通報所提供網(wǎng)絡產(chǎn)品安全漏洞的組織或者個人給予獎勵。
工信部在解讀《規(guī)定》時透露�����,近年來�����,不少專業(yè)機構����、企業(yè)和社會組織等建立了從事漏洞發(fā)現(xiàn)和收集的漏洞收集平臺,在實際工作中部分漏洞收集平臺也暴露出內部運營不規(guī)范�����、擅自發(fā)布漏洞等問題�,亟須加強管理���。為此,《規(guī)定》明確對漏洞收集平臺實行備案管理��,由工信部對通過備案的漏洞收集平臺予以公布��,并要求漏洞收集平臺采取措施防范漏洞信息泄露和違規(guī)發(fā)布����。
《規(guī)定》要求,網(wǎng)絡產(chǎn)品提供者應當履行網(wǎng)絡產(chǎn)品安全漏洞管理義務�。其中包括:應當在2日內向工信部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息��。報送內容應當包括存在網(wǎng)絡產(chǎn)品安全漏洞的產(chǎn)品名稱����、型號、版本以及漏洞的技術特點��、危害和影響范圍等�����。與此同時�����,應及時組織對網(wǎng)絡產(chǎn)品安全漏洞進行修補,對于需要產(chǎn)品用戶(含下游廠商)采取軟件�����、固件升級等措施的�,應當及時將網(wǎng)絡產(chǎn)品安全漏洞風險及修補方式告知可能受影響的產(chǎn)品用戶,并提供必要的技術支持���。
對此�,工信部解釋稱�����,網(wǎng)絡產(chǎn)品漏洞信息可通過網(wǎng)絡平臺�、媒體、會議等方式在社會上快速傳播��,危害大量網(wǎng)絡用戶權益���,有必要采取措施防止風險擴大或者避免損害發(fā)生�����。因此���,《規(guī)定》要求網(wǎng)絡產(chǎn)品提供者于2日內向工業(yè)和信息化部報送漏洞信息���,并及時進行修補,將修補方式告知可能受影響的產(chǎn)品用戶�����。
《規(guī)定》要求�����,從事網(wǎng)絡產(chǎn)品安全漏洞發(fā)現(xiàn)���、收集的組織或者個人通過網(wǎng)絡平臺、媒體����、會議、競賽等方式向社會發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息的�����,應當遵循必要、真實����、客觀以及有利于防范網(wǎng)絡安全風險的原則,并遵守以下規(guī)定:
——不得在網(wǎng)絡產(chǎn)品提供者提供網(wǎng)絡產(chǎn)品安全漏洞修補措施之前發(fā)布漏洞信息����;認為有必要提前發(fā)布的,應當與相關網(wǎng)絡產(chǎn)品提供者共同評估協(xié)商��,并向工業(yè)和信息化部��、公安部報告�����,由工業(yè)和信息化部��、公安部組織評估后進行發(fā)布�。
——不得發(fā)布網(wǎng)絡運營者在用的網(wǎng)絡、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況�����。
——不得刻意夸大網(wǎng)絡產(chǎn)品安全漏洞的危害和風險,不得利用網(wǎng)絡產(chǎn)品安全漏洞信息實施惡意炒作或者進行詐騙���、敲詐勒索等違法犯罪活動�����。
——不得發(fā)布或者提供專門用于利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全活動的程序和工具�����。
——在發(fā)布網(wǎng)絡產(chǎn)品安全漏洞時����,應當同步發(fā)布修補或者防范措施��。
——在國家舉辦重大活動期間�,未經(jīng)公安部同意,不得擅自發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息����。
——不得將未公開的網(wǎng)絡產(chǎn)品安全漏洞信息向網(wǎng)絡產(chǎn)品提供者之外的境外組織或者個人提供���。
規(guī)定指出���,違反本規(guī)定收集��、發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息的�����,由工業(yè)和信息化部�、公安部依據(jù)各自職責依法處理��;利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全活動��,或者為他人利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全的活動提供技術支持的�,由公安機關依法處理;構成犯罪的�����,依法追究刑事責任����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
