重磅| 國家戰略 《網絡產品安全漏洞管理規定》釋放了什么信號?
近日,工業和信息化部、國家互聯網信息辦公室、公安部聯合印發《網絡產品安全漏洞管理規定》(以下簡稱:《規定》),并將于2021年9月1日起施行。奇安信集團副總裁、補天漏洞響應平臺主任張卓認為,該《規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網絡產品漏洞的收集、研判、追蹤、溯源,立足于供應鏈全鏈條,對網絡產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網絡安全的有效防護。
在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對于維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行,具有重大意義。
網絡產品漏洞的影響往往不會局限于一點,所有相關使用者均為受其影響。2021年1月,專注于產品生命周期管理解決方案的西門子Digital Industries Software爆出數十個漏洞,導致所有使用該款產品的企業全部受到影響,黑客利用這些漏洞就能執行惡意代碼。同年5月,有報道稱高通MSM芯片被曝存在高危安全漏洞(漏洞編號CVE-202011292)。高通2G、3G、4G、5G的系列芯片全部存在此漏洞。攻擊者可利用該漏洞獲取隱私信息監聽通話將手機變成監控設備。作為向三星、LG、小米等多個手機品牌供貨的芯片大廠,該高危漏洞讓全球40億的手機用戶暴露在了危險之下。
該規定改變了以往攻擊事件視角、網絡系統視角等為主的漏洞收集及管理模式,這樣的管理模式,只能解決單點問題,很難對該漏洞影響各行各業的風險情況進行全面研判和處置,本次《規定》以產品視角進行漏洞管理,就可以對上下游整個供應鏈進行全面地風險評估和有效處置。
張卓認為,該《規定》重點解決了以下幾方面問題:
一、壓實責任
《規定》明確了遵守對象,即中華人民共和國境內的網絡產品(含硬件、軟件)提供者和網絡運營者,以及從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人,應當遵守本規定。同時,對各主體、相關部門的職責給出了清晰劃分。
二、明確流程
《規定》明確了產品安全漏洞的發現、修補、管理流程,發現或者獲知所提供網絡產品存在安全漏洞后,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。
同時《規定》明確指出,應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
三、清晰指引
《規定》第十條指出,任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網絡產品提供者通報其產品存在的安全漏洞,還“鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制,對發現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。”這兩條規定規范了漏洞收集平臺和白帽子的行為,有利于讓白帽子在合法合規的條件下發揮更大的社會價值。
四、劃清紅線
《規定》特別強調,“從事網絡產品安全漏洞發現、收集的組織或者個人,不得刻意夸大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。”
參與該《規定》起草階段意見征集的專家,針對兩條容易產生誤讀的條款作出了特別深度解讀:
1、有些安全研究人員認為《規定》限制了他們通過發布漏洞信息來“倒逼”不積極修復漏洞的廠商和運營者的權力,實際上《規定》對漏洞信息的發布仍然體現積極的態度,從建設整個網絡安全環境來看,應該改“倒逼”為“法規”,目的是更加規范,確保真實、客觀、必要。同時,《規定》中也留下了特殊情況下允許“提前”公開的渠道:“認為有必要提前發布的,應當與相關網絡產品提供者共同評估協商,并向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估后進行發布。”
2、針對“不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況。”這一條款,有些人理解為只要網絡運營者在用的產品,就不能公開其漏洞,其實這里禁止的是“具體細節揭秘式”的發布網絡運營者相關漏洞。例如不能發布某企業的某個服務器上有某個微軟漏洞,包括具體的IP、端口多少等等,但微軟產品本身的漏洞信息在修復后是可以發布的。
他還表示:“《規定》的初衷在于禁止拿漏洞作惡,規范網絡產品漏洞的處理和生命周期流程,《規定》中有相當大的篇幅都是對廠商和運營者提出漏洞收集和處理的規范要求,不能隱瞞漏洞、拒絕漏洞、否認漏洞,必須要積極承認、積極通報、積極報告、積極修復和處理、積極通知生態環境。包括廠商要積極開通接受漏洞信息的渠道、留存信息、確保及時修復、及時評估通知上下游、及時向官方通報、及時升級通報技術問題等。”
張卓介紹,補天平臺先后被國家網絡與信息安全信息通報中心、國家信息安全漏洞共享平臺(CNVD)、國家信息安全漏洞庫(CNNVD)分別評定為技術支持先進單位、漏洞信息報送突出貢獻單位和一級技術支撐單位,還入選了工信部網絡安全技術應用試點示范項目。補天平臺建立至今,匯聚了超過8萬名白帽黑客、6000余家企業入駐,擁有長達8年、極其豐富的漏洞平臺運營經驗。他表示:“本次頒布的《規定》將覆蓋每一款網絡產品,相關網絡產品廠商的當務之急,是要根據要求,積極開通接受漏洞信息的渠道。補天平臺將根據規定要求,不斷優化提升平臺能力,也有意愿幫助各大網絡產品廠商,建設和運營符合要求的產品漏洞收集平臺,或者像服務現有6000多家入駐企業一樣,為廣大廠商代收漏洞。”
