2023-02-06 19:03:16 广州广电计量检测股份有限公司
近年来,网络上出现了很多从事网络产品安全漏洞发现、收集发布的平台,不过这些平台也存在着很多不规范运营的现象,由此带来网络安全风险。尤其是网络产品提供者和网络运营者面对自身产品的漏洞修复不及时,没有预警防范措施,导致信息安全事件发生后,给相关企业和个人造成很大损失。
仅今年9月份,全球因遭遇勒索软件而发生的已对外公布的大型网络安全事件就有6起之多,涉及政府部门、医疗卫生系统、金融交易系统、公共交通运输系统等多个领域。
为规范网络产品安全漏洞发现、报告、修补、发布等行为,防范网络安全风险,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》(以下简称《规定》)已于2021年9月1日起施行。广电计量信息化服务技术专家特别针对《规定》重要条款整理了详细解读,一起看下吧!
01
哪些组织或个人会受到该规定的影响?
1. 中国境内的硬件、软件的网络产品提供者和网络运营者;
2. 从事网络产品安全漏洞发现、收集发布等活动的组织或者个人。
02
必须采取的措施有哪些?
1. 针对网络产品提供者
接收:应当建立安全漏洞信息接收渠道,留存至少6个月的漏洞接收信息。
验证:应当立即对安全漏洞进行验证,评估其危害程度和影响范围;对上游产品安全漏洞,应立即通知相关人员。
报送:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
修补:应当及时修补安全漏洞,并通知用户相关漏洞信息,升级和修补方法。
同步:同时向三个部门通报相关漏洞信息:工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心。
鼓励:鼓励对发现安全漏洞的组织或者个人给予奖励。
2. 针对网络运营者
接收:应建立网络产品安全漏洞接收渠道,留存至少6个月的漏洞接收信息。
修补:发现信息系统存在安全漏洞后,应及时对漏洞进行验证和修补。
3. 针对任何组织和个人
备案:任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励:鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
禁止:
1. 不得发布网络运营者和网络产品提供者的安全漏洞的细节情况
2. 不得在网络运营者和网络产品提供者提供安全漏洞修补措施之前发布漏洞信息。
3. 不得发布或者提供针对网络产品安全漏洞的利用程序。
4. 不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
5. 未经相关部门同意,在重大节日期间,不得擅自发布网络产品安全漏洞信息。
6. 在发布安全漏洞时,应当同步发布修补或者防范措施。
7. 不得向境外组织或者个人提供未公开的网络产品安全漏洞信息。
8. 法律法规的其他相关规定。
在信息安全领域,广电计量拥有一支资深安全技术专家团队,具有多年安全工程实施经验和技术储备优势,能为行业客户提供专业的安全保障和安全咨询等服务,为金融、电商、开发者和政企客户的各类应用提供一站式综合解决方案。针对《规定》的相关要求,可提供如下技术服务:
●渗透测试服务
通过模拟黑客攻击方式,对客户产品进行安全性测试,协助企业发现数据泄露、资产受损、数据被篡改等安全漏洞,并为客户提供安全漏洞修复等技术服务。
●代码审计服务
从信息安全角度出发,广电计量可提供应用系统相关逻辑路径测试服务,通过分析源代码,挖掘代码中存在的安全缺陷以及规范性缺陷,找到普通安全测试无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。
●SDL服务
安全是整个IT团队(包括开发、测试、运维及安全团队)所有成员的责任,贯穿需求、架构、编码、测试、部署以及运维等整个研发周期的各个阶段,通过加入相关安全措施,以安全左移的形式,提高信息安全的综合防御能力和降低安全漏洞的修复代价。
广电计量可提供有针对性的解决方案,协助客户实现思维方式、流程和技术的整体提升,并通过系列化安全工具编排及实施,完成软件开发行业的安全赋能,改善企业和机构的软件安全现状。
●应急响应服务
提供快速响应、力保恢复的应急响应服务,以及针对网络安全事件的预防、发现、预警和协调处置等安全服务。
●应急响应中心(xSRC)规划服务
广电计量可协助客户搭建符合自身需求的安全应急响应中心,作为对外接收来自用户发现并报告产品缺陷的站点,对外发布企业突发安全事件处理动态以及企业信息安全团队研究成果,掌握漏洞收集、披露等过程的主动性及私密性。企业可自行分配工程师开发属于自身的安全应急响应中心,制定自己的漏洞收集和披露计划。
目前,包括Google、Microsoft以及腾讯、阿里巴巴、百度等,均成立了自己的安全应急响应中心,对外收集并处理安全研究员报送的漏洞报告。
软件测评及信息安全画册
了解更多相关服务内容
广州广电计量检测股份有限公司(股票简称:广电计量,股票代码:002967)是原信息产业部电子602计量站,经过50余年的发展,现已成为一家全国布局、综合性的国有第三方计量检测机构。在信息安全领域,广电计量拥有一支资深安全技术专家团队,具有多年安全工程实施经验和技术储备优势,能为行业客户提供专业的安全保障和安全咨询等服务,为金融、电商、开发者和政企客户的各类应用提供一站式综合解决方案。
文:吴金鹏
编辑:杨茜
喜欢本文,记得点“赞”和“在看”支持一下!
07-01 英斯特朗
连载 | 药物一致性评价与粒度分析(三)07-01 欧美克仪器
【仪器百科】LS-909丨干湿二合一激光粒度分析仪07-01 欧美克仪器
标准物质解决方案 | PFASs(全氟及多氟化合物)06-29
第九期阿尔塔有约 | 环境专题【新污染物:PFAS】技术研讨会精彩回顾及提问解答06-29
“绿色技术范式”,分析化学未来发展方向——访中国分析测试协会副理事长、辽宁省分析科学研究院原院长刘成雁教授06-29 转载仪器信息网
华西医院-标准型数显脑立体定位仪、双通道体温维持仪、体式显微镜安装完成06-29 迈越生物
科鉴检测助力2家仪器企业获得首批产品可靠性认证证书06-28 科鉴检测
德国耶拿:锂电池生命周期分析解决方案06-28 德国耶拿
AI已来!生命科学本科教学如何紧跟技术浪潮06-28 Opentrons
盛瀚售后,五星级服务的秘诀是什么?06-28 SHINE
专为汽车制造商打造的柔性解决方案——实现制程控制06-28
西北工业大学-脑立体定位仪安装完成06-28 迈越生物
会议邀请 | 第九届海上检验医师论坛06-28
谱育科技作为主要完成方 荣获2023年度国家科学技术进步一等奖和二等奖06-28 点击关注→
精准测量, 安杰智造:气相分子吸收光谱仪校准规范发布06-27
精准科仪 高效分析 | 福立2024气相色谱技能培训会·第一期成功举行!06-27 福立仪器
Cytiva客户关怀季:仪器设备巡检,赋能生物医药前沿发展06-27
全规格上市:Cytiva Supor Prime除菌级过滤器助力高浓度生物制剂发展06-27
油脂氧化稳定性分析仪的十八般武艺 | 第六式:对抗油脂氧化,守护皮革之美06-27