2021年,相关法律法规的完善将极大促进我国网络安全行业的发展。本着企业安全稳定运行的原则,越来越多的领域将投入到企业安全合规建设中。然而,目前的情况是,随着安全建设的不断深入,各项法规政策未必得到充分落实,往往为企业和行业的安全发展埋下隐患。近日,媒体报道了“阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位”的消息。事件起因是阿里云作为工信部网络安全威胁信息共享平台的合作伙伴,在发现ApacheLog4j2组件存在严重安全漏洞后,未能及时向电信主管部门报告,未能有效支持工信部开展网络安全威胁和漏洞治理工作。.因此,阿里云最终被工信部暂停作为合作单位6个月。暂停期满后,根据阿里云整改情况,研究是否恢复上述合作单位资质。事实上,国家对于安全漏洞事件有一套详尽的法律法规,约束相关企业“第一时间申报”,协助相关行业企事业单位第一时间“补漏洞”。那么,对于网络安全漏洞治理,对企业有哪些硬性要求呢?FreeBuf将与您一起回顾《网络产品安全漏洞管理规定》。漏洞防范,有章可循早在2019年,工信部会同有关部门成立专门起草小组,对国内外漏洞治理现状进行研究分析,梳理出相关漏洞管理的需要,形成初稿送审《网络产品安全漏洞管理规定》。经过几番优化,终于在2021年9月,正式稿《网络产品安全漏洞管理规定》正式发布。我国首次对漏洞的发现、报告、修复、发布进行了明确的流程和责任分工,做到漏洞防范有法可依。有规则可循。《网络产品安全漏洞管理规定》源于《网络安全法》,由工业和信息化部、国家互联网信息办公室、公安部共同制定,旨在维护国家网络安全,保障网络产品和重要网络安全稳定运行系统;在规范相关漏洞报告工作的同时,明确网络产品提供者、网络产品运营者以及参与漏洞事件发现、收集、发布的组织或个人的责任和义务。网络产品提供者和运营者:早申报、早知道《网络产品安全漏洞管理规定》建议网络产品提供者和运营者建立健全网络产品安全漏洞信息接收渠道并保持畅通,网络产品安全漏洞信息接收保持不少于6个记录月亮。网络产品提供者发现或者知悉其提供的网络产品存在安全漏洞后,应当立即采取措施,组织对安全漏洞进行验证,评估安全漏洞的危害程度和范围;,应立即通知相关产品供应商。同时,相关漏洞信息应在2日内报送工信部网络安全威胁与漏洞信息共享平台。这才是阿里云此次被罚的真正原因。据悉,阿里云早在11月24日就发现了相关漏洞通报,但并未在第一时间向工信部报告漏洞,最终导致国内相关企业错失最佳风险防范机会。《规定》也明确了网络产品提供商和运营商收到漏洞通知后的应对措施。相关产品的提供者、经营者应当及时组织修复网络产品安全漏洞,产品使用者(包括下游厂商)需要采取软件、固件升级等措施的,应当及时告知网络产品安全漏洞风险并修复方法。受影响的产品用户并提供必要的技术支持。值得一提的是,网络运营者在发现或知悉其网络、信息系统及其设备存在安全漏洞时,应当立即采取措施核实并及时完成安全漏洞修复。组织或个人也应立即报告漏洞的详细信息。除网络产品提供者和运营者外,相关漏洞挖掘组织或个人也应遵守《网络产品安全漏洞管理规定》。《规定》中明确指出,任何组织和个人设立网络产品安全漏洞收集平台,均应向工业和信息化部备案。工业和信息化部及时将相关漏洞采集平台通报公安部和国家互联网信息办公室,并公布通过备案的漏洞采集平台。同时,鼓励发现网络产品安全漏洞的组织或个人向工业和信息化部网络安全威胁与漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急中心报告。技术处理协调中心漏洞平台,中国信息安全测评中心漏洞库,提交网络产品安全漏洞信息。此外,对漏洞的发布也有相应的要求,具体如下:1.不发布网络运营者使用的网络、信息系统和设备的安全漏洞详情。2、不向网络产品提供者提供网络产品安全漏洞修复措施先前发布的漏洞信息。3.不得发布或提供专门利用网络产品安全漏洞的程序和工具从事危害网络安全的活动。4、不故意夸大网络产品安全漏洞的危害和风险,不利用网络产品安全漏洞信息进行恶意炒作或者实施诈骗、勒索等违法犯罪活动。五、国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。六、发布网络产品安全漏洞时,应当同步发布补丁或防范措施。七、不得向网络产品提供者以外的境外组织和个人提供未公开的网络产品安全漏洞信息。8、法律、法规的其他有关规定。勿踩违规红线近年来,网络安全漏洞的威胁日益严重。每一次重量级漏洞的爆发,都往往会在社会上迅速传播,不断威胁着企业和用户的安全。《网络产品安全漏洞管理规定》的出台进一步规范了漏洞发现、报告、修复和发布行为,明确了网络产品提供者、网络运营商、从事漏洞发现、收集、发布的组织或个人等各主体的责任和义务,ETC。;使漏洞管理工作更加制度化、规范化、法治化,对提高漏洞管理水平、促进网络安全具有重要作用。作为企业、组织和个人,一定要认真了解《网络产品安全漏洞管理规定》的具体要求,并据此执行,切勿踩红线。
