《网络产品安全漏洞管理规定》:既是白帽子的法宝,也是合规的必答题,不知道是敌是友,也不知道做了什么”,长期“潜伏”在里面,一旦有事就会爆发。……建立政企网络安全信息共享机制,充分利用企业拥有的大量网络安全信息。龙头企业要带头参与这一机制。——在2016年4月19日网络安全和信息化工作座谈会上的讲话一、背景2021年7月13日,工业和信息化部、国家互联网信息办公室、公安部联合发布重要信息配套规范《网络产品安全漏洞管理规定》将于9月1日与《数据安全法》一同生效,堪称开学大礼包。网络安全漏洞是网络产品和服务在生命周期中无意或有意产生并可能被利用的缺陷或弱点。网络安全漏洞是引发大量网络安全事件和网络违法犯罪活动的罪魁祸首,而且难以预测。即使是最严格的测试也无法消除网络安全漏洞。因此,建立有效的网络安全漏洞管理机制成为面对潜在网络安全漏洞的最佳策略。2.法律义务的履行《网络安全法》是我国网络空间领域的基本法,要求相关机构或个人在发现其网络产品和服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施。处理网络安全漏洞。及时告知用户,并按照规定向有关主管部门报告……网络产品和服务提供者应当持续为其产品和服务提供安全维护(第二十二条);制定网络安全事件应急预案,及时处置系统漏洞和计算机病毒、网络攻击、网络入侵等安全隐患(第二十五条);开展网络安全认证、检测、风险评估等活动,向社会公开发布系统漏洞等网络安全信息,应当遵守国家有关规定(第二十六条)、《数据安全法》、管控发现安全漏洞也是法律义务之一:在进行数据处理活动时应当加强风险监控,发现数据安全缺陷、漏洞等风险时应当立即采取补救措施(第二十九条)。早在2019年6月,工信部就发布了《网络安全漏洞管理规定(征求意见稿)》。该条例的正式出台,为我国网络安全和数据安全法律体系增添了重要的拼图。此外,去年底,国家市场监督管理总局、国家标准化管理委员会发布了修订后的《信息安全技术 信息安全漏洞管理规范》(GB/T30276-2020)。未来相关部门可能会出台《网络安全威胁信息发布管理办法》等相关制度,同样涉及网络安全漏洞。工信部于2019年9月发布《公共互联网网络安全威胁监测与处置办法》,建立网络安全威胁信息共享平台(https://www.cstis.cn/),负责统一收集、存储、分析、通报、发布网络安全威胁信息。平台还将对存在漏洞和后门的网络服务和产品的供应商进行通报,要求整改措施,消除安全隐患。公安部2018年制定的《公安机关互联网安全监督检查规定》也明确国家重大网络安全保护任务中的安全专项监督检查项目包括:企业是否组织开展网络安全风险评估,并采取相应的风险控制措施堵住隐藏的网络安全漏洞。《公安机关互联网安全监督检查规定》还规定,公安机关可以对本单位是否存在网络安全漏洞进行远程检测。三、企业合规项目本次发布的《网络产品安全漏洞管理规定》要求各机构扩充合规名单。第四,白帽子的“魔咒”。网络安全漏洞本身就是“烫手山芋”。一方面,漏洞处理机制离不开漏洞发现者(“白帽”)的配合。许多公司和漏洞信息共享平台经常奖励漏洞发现者,以鼓励他们参与网络安全工作。但另一方面,网络安全漏洞的发现和报告存在较高的法律风险,漏洞发现者稍有不慎,就会触及法律的“红线”——《刑法》第285条犯罪非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。《刑法》一直未对网络安全漏洞检测进行破例处理,直接导致漏洞举报相关案件的出现:2019年7月,某政府网站管理员向网络安全支队举报,政府网负责人在邮箱模块,部分网友多次发送异常消息,导致该模块无法正常运行,疑似被黑客攻击。警方经侦查发现,犯罪嫌疑人利用休息时间擅自对银川市某政府网站进行渗透测试。他的目的是找出网站漏洞并生成漏洞报告,然后上传国家信息安全漏洞共享平台(“CNVD”),CNVD分发给各个网站进行修补。2019年5月21日,揭阳市网警发现,犯罪嫌疑人苏某涉嫌非法侵入计算机系统。经深入侦查发现,2019年5月13日,犯罪嫌疑人苏某利用“豫X”软件对南方网等网站进行漏洞扫描,然后使用弱密码对后台进行测试。北京中医院网站并成功登录。擅自修改管理员账号密码,将网站漏洞提交至“漏洞箱”网站。据他自己交代,他的违法行为只是为了获得相应的积分,这对他以后找工作有帮助。2016年,袁某检测并提交世纪佳缘漏洞事件引起广泛关注。为保护用户隐私安全,世纪佳缘报警抓人。网络安全漏洞本身就是危险品。就像处理其他危险品一样,操作人员需要遵循规范的处理流程来保护自身安全。另外,本次发布的《网络产品安全漏洞管理规定》第9条,对安全漏洞收集平台和“白帽”群体进行了大量“紧箍咒”,也让漏洞发布行为的边界更加清晰:根据上述规则,将严格限制漏洞的发布。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下,不得向境外组织和个人提供未公开的安全漏洞,以免被利用威胁我国网络安全。处罚方面,《网络产品安全漏洞管理规定》已准备对违规、漏洞平台和“白帽子”责令改正、警告、对机构最高10万元罚款、对责任个人最高5万元罚款、暂停相关业务、停业停业。业务整顿、关闭网站、吊销相关营业执照或吊销营业执照等一系列处罚措施。五、企业应如何开展网络安全漏洞合规根据我们在处理网络安全漏洞和为相关客户构建网络安全漏洞合规机制方面的服务经验,我们建议企业:建立有效的网络安全漏洞响应机制,如设立安全运营中心,或在网站或App上设立专门页面接收漏洞报告。如果技术能力比较有限,可以与安全厂商合作,建立企业安全运营中心。信息安全部门、IT部门、法务部门等利益相关方应共同制定漏洞规则,起草收到漏洞后的反馈文本,明确报告漏洞的格式,是否有围绕接收、响应过程的激励措施,并处理漏洞。在此基础上,确保安全漏洞接收日志的保存期限不少于6个月。相关程序编制和文本起草参照国家推荐性标准《网络安全漏洞管理规范》(GB/T30276-2020)。根据自身角色,如属于网络产品安全漏洞收集平台、网络产品提供者还是网络运营商,综合梳理与其角色对应的网络安全漏洞合规义务。在网络产品和服务采购合同中,应当设置条款,明确网络安全漏洞的处理责任、披露义务、责任免除、过错责任等。从事网络产品安全漏洞采集平台业务的,应尽快完成工信部备案,做好分级保护,加强内部管理,采取措施防范网络产品安全漏洞违规泄露、发布信息。对于“白帽”群体,我们建议严格按照《网络产品安全漏洞管理规定》为自己的行为界限划上红线,充分利用自己的网络安全技能,避免因无知而违法甚至犯罪的尴尬违反法律和不遵守法律。
