《網絡產品安全漏洞管理規定》解讀

　　近日，工業和信息化部、國家互聯網信息辦公室、公安部聯合印發《網絡產品安全漏洞管理規定》（以下簡稱《規定》），引發了業界高度關注。《規定》出臺的目的和意義是什么？《規定》提出了哪些具體要求？后續《規定》將如何實施？針對業界關注的熱點問題，解讀如下。

　　《規定》出臺的目的和意義是什么？

　　根據《網絡安全法》關于漏洞管理的有關要求，工業和信息化部、國家互聯網信息辦公室、公安部聯合制定《規定》，主要目的是維護國家網絡安全，保護網絡產品和重要網絡系統的安全穩定運行；規范漏洞發現、報告、修補和發布等行為，明確網絡產品提供者、網絡運營者以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務；鼓勵各類主體發揮各自技術和機制優勢，開展漏洞發現、收集、發布等相關工作。《規定》的出臺將推動網絡產品安全漏洞管理工作的制度化、規范化、法治化，提高相關主體漏洞管理水平，引導建設規范有序、充滿活力的漏洞收集和發布渠道，防范網絡安全重大風險，保障國家網絡安全。

　　《規定》的制定過程是什么樣的？

　　2019年，工業和信息化部會同有關部門成立了專項起草組，深入開展調研、座談、論證工作，研究分析國內外漏洞管理現狀，梳理各方面漏洞管理需求，聽取網絡安全領域專家學者意見建議，形成《規定》征求意見稿。之后，多次面向網絡產品提供者、網絡運營者、網絡安全企業、專業機構征求意見，并于2019年6月向社會公開征求意見，組織相關部門和企事業單位集中討論，充分采納各方建議，形成《規定》送審稿，經工業和信息化部和相關部門審議通過后出臺。

　　《規定》中網絡產品提供者，網絡運營者，從事漏洞發現、收集、披露等活動的組織或個人有哪些方面的責任和義務？

　　網絡產品提供者和網絡運營者是自身產品與系統漏洞的責任主體，要建立暢通的漏洞信息接收渠道，及時對漏洞進行驗證并完成漏洞修補。同時，《規定》還對網絡產品提供者提出了漏洞報送的具體時限要求，以及對產品用戶提供技術支持的義務。對于從事漏洞發現、收集、發布等活動的組織和個人，《規定》明確了其經評估協商后可提前披露產品漏洞、不得發布網絡運營者漏洞細節、同步發布修補防范措施、不得將未公開漏洞提供給產品提供者之外的境外組織或者個人等八項具體要求。

　　《規定》中將及時修補網絡產品安全漏洞作為網絡產品提供者應當履行的安全義務，其主要考慮是什么？

　　網絡產品漏洞信息可通過網絡平臺、媒體、會議等方式在社會上快速傳播，危害大量網絡用戶權益，有必要采取措施防止風險擴大或者避免損害發生。《網絡安全法》明確指出，網絡產品提供者發現其網絡產品存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。因此，《規定》要求網絡產品提供者于兩日內向工業和信息化部報送漏洞信息，并及時進行修補，將修補方式告知可能受影響的產品用戶。

　　《規定》對漏洞收集平臺的管理要求是什么？

　　近年來，不少專業機構、企業和社會組織等建立了從事漏洞發現和收集工作的漏洞收集平臺，在實際工作中部分漏洞收集平臺也暴露出內部運營不規范、擅自發布漏洞等問題，亟須加強管理。為此，《規定》明確對漏洞收集平臺實行備案管理，由工業和信息化部對通過備案的漏洞收集平臺予以公布，并要求漏洞收集平臺采取措施防范漏洞信息泄露和違規發布。

　　下一步如何推進相關工作？

　　《規定》出臺后，工業和信息化部將從政策宣貫、機制完善、平臺建設等方面抓好落實。一是加強政策宣貫，做好對相關企業機構的政策咨詢和工作指導，引導漏洞收集平臺依法依規開展漏洞收集和發布。二是完善相關工作機制，建立健全漏洞評估、發布、通報等重要環節的工作機制，明確漏洞收集平臺備案方式和報送內容。三是加強工業和信息化部網絡安全威脅和漏洞信息共享平臺建設，做好與其他漏洞平臺、漏洞庫的信息共享，提升平臺技術支撐能力。

　　轉自：人民郵電報

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀