近年來,網絡上出現了很多從事網絡產品安全漏洞發現、收集發布的平臺,不過這些平臺也存在著很多不規范運營的現象,由此帶來網絡安全風險。尤其是網絡產品提供者和網絡運營者面對自身產品的漏洞修復不及時,沒有預警防范措施,導致信息安全事件發生后,給相關企業和個人造成很大損失。
僅今年9月份,全球因遭遇勒索軟件而發生的已對外公布的大型網絡安全事件就有6起之多,涉及政府部門、醫療衛生系統、金融交易系統、公共交通運輸系統等多個領域。
為規范網絡產品安全漏洞發現、報告、修補、發布等行為,防范網絡安全風險,工業和信息化部、國家互聯網信息辦公室、公安部聯合印發的《網絡產品安全漏洞管理規定》(以下簡稱《規定》)已于2021年9月1日起施行。廣電計量信息化服務技術專家特別針對《規定》重要條款整理了詳細解讀,一起看下吧!
一、哪些組織或個人會受到該規定的影響?
- 1. 中國境內的硬件、軟件的網絡產品提供者和網絡運營者;
- 2. 從事網絡產品安全漏洞發現、收集發布等活動的組織或者個人。
二、 必須采取的措施有哪些?
1. 針對網絡產品提供者
接收:應當建立安全漏洞信息接收渠道,留存至少6個月的漏洞接收信息。
驗證:應當立即對安全漏洞進行驗證,評估其危害程度和影響范圍;對上游產品安全漏洞,應立即通知相關人員。
報送:應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
修補:應當及時修補安全漏洞,并通知用戶相關漏洞信息,升級和修補方法。
同步:同時向三個部門通報相關漏洞信息:工業和信息化部網絡安全威脅和漏洞信息共享平臺、國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心。
鼓勵:鼓勵對發現安全漏洞的組織或者個人給予獎勵。
2. 針對網絡運營者
接收:應建立網絡產品安全漏洞接收渠道,留存至少6個月的漏洞接收信息。
修補:發現信息系統存在安全漏洞后,應及時對漏洞進行驗證和修補。
3. 針對任何組織和個人
備案:任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業和信息化部備案。工業和信息化部及時向公安部、國家互聯網信息辦公室通報相關漏洞收集平臺,并對通過備案的漏洞收集平臺予以公布。
鼓勵:鼓勵發現網絡產品安全漏洞的組織或者個人向工業和信息化部網絡安全威脅和漏洞信息共享平臺、國家網絡與信息安全信息通報中心漏洞平臺、國家計算機網絡應急技術處理協調中心漏洞平臺、中國信息安全測評中心漏洞庫報送網絡產品安全漏洞信息。
禁止:
- 1. 不得發布網絡運營者和網絡產品提供者的安全漏洞的細節情況
- 2. 不得在網絡運營者和網絡產品提供者提供安全漏洞修補措施之前發布漏洞信息。
- 3. 不得發布或者提供針對網絡產品安全漏洞的利用程序。
- 4. 不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。
- 5. 未經相關部門同意,在重大節日期間,不得擅自發布網絡產品安全漏洞信息。
- 6. 在發布安全漏洞時,應當同步發布修補或者防范措施。
- 7. 不得向境外組織或者個人提供未公開的網絡產品安全漏洞信息。
- 8. 法律法規的其他相關規定。
在信息安全領域,廣電計量擁有一支資深安全技術專家團隊,具有多年安全工程實施經驗和技術儲備優勢,能為行業客戶提供專業的安全保障和安全咨詢等服務,為金融、電商、開發者和政企客戶的各類應用提供一站式綜合解決方案。針對《規定》的相關要求,可提供如下技術服務:
●滲透測試服務
通過模擬黑客攻擊方式,對客戶產品進行安全性測試,協助企業發現數據泄露、資產受損、數據被篡改等安全漏洞,并為客戶提供安全漏洞修復等技術服務。
●代碼審計服務
從信息安全角度出發,廣電計量可提供應用系統相關邏輯路徑測試服務,通過分析源代碼,挖掘代碼中存在的安全缺陷以及規范性缺陷,找到普通安全測試無法發現的如二次注入、反序列化、xml實體注入等安全漏洞。
●SDL服務
安全是整個IT團隊(包括開發、測試、運維及安全團隊)所有成員的責任,貫穿需求、架構、編碼、測試、部署以及運維等整個研發周期的各個階段,通過加入相關安全措施,以安全左移的形式,提高信息安全的綜合防御能力和降低安全漏洞的修復代價。
廣電計量可提供有針對性的解決方案,協助客戶實現思維方式、流程和技術的整體提升,并通過系列化安全工具編排及實施,完成軟件開發行業的安全賦能,改善企業和機構的軟件安全現狀。
●應急響應服務
提供快速響應、力保恢復的應急響應服務,以及針對網絡安全事件的預防、發現、預警和協調處置等安全服務。
●應急響應中心(xSRC)規劃服務
廣電計量可協助客戶搭建符合自身需求的安全應急響應中心,作為對外接收來自用戶發現并報告產品缺陷的站點,對外發布企業突發安全事件處理動態以及企業信息安全團隊研究成果,掌握漏洞收集、披露等過程的主動性及私密性。企業可自行分配工程師開發屬于自身的安全應急響應中心,制定自己的漏洞收集和披露計劃。
目前,包括Google、Microsoft以及騰訊、阿里巴巴、百度等,均成立了自己的安全應急響應中心,對外收集并處理安全研究員報送的漏洞報告。
點擊下載軟件測評及信息安全畫冊,了解更多相關服務內容
廣州廣電計量檢測股份有限公司(股票簡稱:廣電計量,股票代碼:002967)是原信息產業部電子602計量站,經過50余年的發展,現已成為一家全國布局、綜合性的國有第三方計量檢測機構。在信息安全領域,廣電計量擁有一支資深安全技術專家團隊,具有多年安全工程實施經驗和技術儲備優勢,能為行業客戶提供專業的安全保障和安全咨詢等服務,為金融、電商、開發者和政企客戶的各類應用提供一站式綜合解決方案。