划重点 | 《网络产品安全漏洞管理规定》解读

近年来，网络上出现了很多从事网络产品安全漏洞发现、收集发布的平台，不过这些平台也存在着很多不规范运营的现象，由此带来网络安全风险。尤其是网络产品提供者和网络运营者面对自身产品的漏洞修复不及时，没有预警防范措施，导致信息安全事件发生后，给相关企业和个人造成很大损失。

仅今年9月份，全球因遭遇勒索软件而发生的已对外公布的大型网络安全事件就有6起之多，涉及政府部门、医疗卫生系统、金融交易系统、公共交通运输系统等多个领域。

为规范网络产品安全漏洞发现、报告、修补、发布等行为，防范网络安全风险，工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》（以下简称《规定》）已于2021年9月1日起施行。广电计量信息化服务技术专家特别针对《规定》重要条款整理了详细解读，一起看下吧！

01

哪些组织或个人会受到该规定的影响？

1. 中国境内的硬件、软件的网络产品提供者和网络运营者；

2. 从事网络产品安全漏洞发现、收集发布等活动的组织或者个人。

02

必须采取的措施有哪些？

1. 针对网络产品提供者

接收：应当建立安全漏洞信息接收渠道，留存至少6个月的漏洞接收信息。

验证：应当立即对安全漏洞进行验证，评估其危害程度和影响范围；对上游产品安全漏洞，应立即通知相关人员。

报送：应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

修补：应当及时修补安全漏洞，并通知用户相关漏洞信息，升级和修补方法。

同步：同时向三个部门通报相关漏洞信息：工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心。

鼓励：鼓励对发现安全漏洞的组织或者个人给予奖励。

2. 针对网络运营者

接收：应建立网络产品安全漏洞接收渠道，留存至少6个月的漏洞接收信息。

修补：发现信息系统存在安全漏洞后，应及时对漏洞进行验证和修补。

3. 针对任何组织和个人

备案：任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。

鼓励：鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

禁止：

1. 不得发布网络运营者和网络产品提供者的安全漏洞的细节情况

2. 不得在网络运营者和网络产品提供者提供安全漏洞修补措施之前发布漏洞信息。

3. 不得发布或者提供针对网络产品安全漏洞的利用程序。

4. 不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

5. 未经相关部门同意，在重大节日期间，不得擅自发布网络产品安全漏洞信息。

6. 在发布安全漏洞时，应当同步发布修补或者防范措施。

7. 不得向境外组织或者个人提供未公开的网络产品安全漏洞信息。

8. 法律法规的其他相关规定。

在信息安全领域，广电计量拥有一支资深安全技术专家团队，具有多年安全工程实施经验和技术储备优势，能为行业客户提供专业的安全保障和安全咨询等服务，为金融、电商、开发者和政企客户的各类应用提供一站式综合解决方案。针对《规定》的相关要求，可提供如下技术服务：

●渗透测试服务

通过模拟黑客攻击方式，对客户产品进行安全性测试，协助企业发现数据泄露、资产受损、数据被篡改等安全漏洞，并为客户提供安全漏洞修复等技术服务。 

●代码审计服务

从信息安全角度出发，广电计量可提供应用系统相关逻辑路径测试服务，通过分析源代码，挖掘代码中存在的安全缺陷以及规范性缺陷，找到普通安全测试无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

●SDL服务

安全是整个IT团队（包括开发、测试、运维及安全团队）所有成员的责任，贯穿需求、架构、编码、测试、部署以及运维等整个研发周期的各个阶段，通过加入相关安全措施，以安全左移的形式，提高信息安全的综合防御能力和降低安全漏洞的修复代价。

广电计量可提供有针对性的解决方案，协助客户实现思维方式、流程和技术的整体提升，并通过系列化安全工具编排及实施，完成软件开发行业的安全赋能，改善企业和机构的软件安全现状。 

●应急响应服务

提供快速响应、力保恢复的应急响应服务，以及针对网络安全事件的预防、发现、预警和协调处置等安全服务。

●应急响应中心（xSRC）规划服务

广电计量可协助客户搭建符合自身需求的安全应急响应中心，作为对外接收来自用户发现并报告产品缺陷的站点，对外发布企业突发安全事件处理动态以及企业信息安全团队研究成果，掌握漏洞收集、披露等过程的主动性及私密性。企业可自行分配工程师开发属于自身的安全应急响应中心，制定自己的漏洞收集和披露计划。

目前，包括Google、Microsoft以及腾讯、阿里巴巴、百度等，均成立了自己的安全应急响应中心，对外收集并处理安全研究员报送的漏洞报告。

软件测评及信息安全画册

了解更多相关服务内容

广州广电计量检测股份有限公司（股票简称：广电计量，股票代码：002967）是原信息产业部电子602计量站，经过50余年的发展，现已成为一家全国布局、综合性的国有第三方计量检测机构。在信息安全领域，广电计量拥有一支资深安全技术专家团队，具有多年安全工程实施经验和技术储备优势，能为行业客户提供专业的安全保障和安全咨询等服务，为金融、电商、开发者和政企客户的各类应用提供一站式综合解决方案。

文：吴金鹏

编辑：杨茜

喜欢本文，记得点“赞”和“在看”支持一下！