【财经分析】网络安全漏洞管理新规开启“产品视角” 开通信息接收渠道成厂商当务之急

新华财经北京7月14日电(记者李唐宁)《网络产品安全漏洞管理规定》(以下简称《规定》)13日正式发布。业内人士表示,新规首次以“产品视角”来管理漏洞,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,对于维护国家网络安全有重要意义。下一步,网络产品厂商的当务之急就是要根据要求,积极开通接收漏洞信息的渠道。

新规以“产品视角”管理网络安全漏洞

工业和信息化部、国家互联网信息办公室、公安部13日联合印发《网络产品安全漏洞管理规定》,工信部表示,制定《规定》主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。

奇安信集团副总裁、补天漏洞响应平台主任张卓对新华财经记者表示,在供应链安全威胁日益严重的全球形势下,《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。

“该《规定》释放了一个重要信号,即我国将首次以‘产品视角’来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。”张卓说。

事实上,网络产品漏洞的影响往往不会局限于一点,所有相关使用者均为受其影响。2021年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software被发现数十个漏洞,导致所有使用该款产品的企业全部受到影响,黑客利用这些漏洞就能执行恶意代码。同年5月,高通MSM芯片被曝存在高危安全漏洞,高通2G、3G、4G、5G的系列芯片全部存在此漏洞,攻击者可利用该漏洞获取隐私信息监听通话将手机变成监控设备。作为向三星、LG、小米等多个手机品牌供货的芯片大厂,该高危漏洞让全球40亿的手机用户处于危险之下。

“新规改变了以往攻击事件视角、网络系统视角等为主的漏洞收集及管理模式。”张卓说:“以往的管理模式,只能解决单点问题,很难对该漏洞影响各行各业的风险情况进行全面研判和处置,而未来以‘产品视角’进行漏洞管理,就可以对上下游整个供应链进行全面地风险评估和有效处置。”

网络产品厂商应积极开通接收漏洞信息的渠道

近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台也出现过内部运营不规范、擅自发布漏洞等问题,亟需加强管理。

为此,《规定》压实了各方责任,明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,同时,对各主体、相关部门的职责给出了清晰划分。

不仅如此,《规定》同时明确了产品安全漏洞的发现、修补、管理流程,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

值得一提的是,《规定》第六条指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”

“这条规定实际上规范了漏洞收集平台和白帽子的行为。”一位白帽子黑客告诉记者,因为以前漏洞管理机制不完善,很多白帽子黑客怕惹事上身,即使发现漏洞往往不敢报送,而且也不知道向谁报送,此次规定明确了安全问题的责任划分明确,有利于让白帽子黑客在合法合规的条件下发挥更大的社会价值,“只有建立畅通的漏洞信息接收渠道,才可以及时对漏洞进行验证并完成漏洞修补。”他说。

另一方面,也有安全研究人员认为新规限制了他们通过发布漏洞信息来“倒逼”不积极修复漏洞的厂商和运营者的权力,一位参与《规定》起草阶段意见征集的专家对记者表示,实际上文件对漏洞信息的发布仍然体现积极的态度,从建设整个网络安全环境来看,从“倒逼”改为“法规”,目的是管理更加规范,确保真实、客观、必要。同时也留下了特殊情况下允许“提前”公开的渠道。

张卓介绍,补天平台建立至今,汇聚了超过8万名白帽黑客、6000余家企业入驻,拥有长达8年、极其丰富的漏洞平台运营经验。他表示:“本次颁布的《规定》将覆盖每一款网络产品,相关网络产品厂商的当务之急就是要根据要求,积极开通接收漏洞信息的渠道。


编辑:罗浩


声明:新华财经为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。

新华社民族品牌工程:服务民族企业,助力中国品牌

新华社品族品牌工程

[责任编辑:罗浩]