信息來源：Freebuf

2021年，相關法律法規(guī)的完善極大促進了中國網(wǎng)絡安全行業(yè)的發(fā)展，基于企業(yè)穩(wěn)定運營、安全運營的原則，越來越多的領域投入到企業(yè)安全合規(guī)的建設中來。但現(xiàn)狀是，隨著安全建設的不斷深入，各項出臺的法規(guī)、政策并不一定能充分執(zhí)行到位，這往往為企業(yè)和行業(yè)的安全發(fā)展埋下了隱患。

近日媒體就報道了有關「阿里云被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位」的消息。事件的起因在于，阿里云作為工信部網(wǎng)絡安全威脅信息共享平臺合作單位，在發(fā)現(xiàn)阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理。因此，阿里云最終被工信部暫停作為合作單位6個月。

暫停期滿后，再根據(jù)阿里云公司整改的情況，研究是否恢復其上述合作單位的資格。

事實上，有關安全漏洞事件，國家有一套詳細的法律法規(guī)，約束相關企業(yè)“盡早申報”，協(xié)助相關行業(yè)的企事業(yè)單位即時“補漏”。 那么，對于網(wǎng)絡安全漏洞管理，企業(yè)還有哪些硬性要求？FreeBuf和大家一起重溫一遍《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》。

漏洞防范，有規(guī)可依

早在2019年，國家工業(yè)和信息化部會同有關部門成立專項起草組，研究分析國內外漏洞管理現(xiàn)狀，梳理相關漏洞管理需求，形成了初期的《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》送審稿。幾經(jīng)優(yōu)化后，終于在2021年9月，正式出臺《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》正式稿，第一次對我國漏洞發(fā)現(xiàn)、報告、修補和發(fā)布行為進行明確的流程和責任劃分，讓漏洞防范，有法可循、有規(guī)可依。

《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》源于《網(wǎng)絡安全法》，由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合制定，維護國家網(wǎng)絡安全，保護網(wǎng)絡產(chǎn)品和重要網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行；在規(guī)范相關漏洞申報的同時，明確了網(wǎng)絡產(chǎn)品提供者、網(wǎng)絡產(chǎn)品運營者以及漏洞事件中涉及到發(fā)現(xiàn)、收集、發(fā)布的組織或個人的責任及義務。

網(wǎng)絡產(chǎn)品提供者運營者：早申報早知道

《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》提出，網(wǎng)絡產(chǎn)品提供者和運營者應當建立健全網(wǎng)絡產(chǎn)品安全漏洞信息接收渠道并保持暢通，留存網(wǎng)絡產(chǎn)品安全漏洞信息接收日志不少于6個月。

當發(fā)現(xiàn)或者獲知所提供網(wǎng)絡產(chǎn)品存在安全漏洞后，網(wǎng)絡產(chǎn)品提供者應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應當立即通知相關產(chǎn)品提供者。同時應當在2日內向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。

現(xiàn)在這也是此次阿里云被罰的真正起因。有消息表明，阿里云早在11月24日就已經(jīng)發(fā)現(xiàn)了相關漏洞通報，但它并沒有第一時間將漏洞情況上報于工業(yè)和信息化部，最終致使國內相關企業(yè)單位錯過了最佳風險防范的機會。

《規(guī)定》同時也明確了在收到漏洞通報后，網(wǎng)絡產(chǎn)品提供者和運營者的應對措施。相關產(chǎn)品的提供者和運營者應當及時組織對網(wǎng)絡產(chǎn)品安全漏洞進行修補，對于需要產(chǎn)品用戶（含下游廠商）采取軟件、固件升級等措施的，應當及時將網(wǎng)絡產(chǎn)品安全漏洞風險及修補方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術支持。

值得一提的是，當發(fā)現(xiàn)或者獲知其網(wǎng)絡、信息系統(tǒng)及其設備存在安全漏洞后，網(wǎng)絡運營者應當立即采取措施，及時對安全漏洞進行驗證并完成修補。

組織或個人也應即時申報漏洞詳情

除去網(wǎng)絡產(chǎn)品提供者和運營者外，相關漏洞挖掘組織或個人也應同時遵守《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》。在《規(guī)定》中明確指出，任何組織或者個人設立的網(wǎng)絡產(chǎn)品安全漏洞收集平臺，應當向工業(yè)和信息化部備案。工業(yè)和信息化部及時向公安部、國家互聯(lián)網(wǎng)信息辦公室通報相關漏洞收集平臺，并對通過備案的漏洞收集平臺予以公布。

同時，鼓勵發(fā)現(xiàn)網(wǎng)絡產(chǎn)品安全漏洞的組織或者個人向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺、國家網(wǎng)絡與信息安全信息通報中心漏洞平臺、國家計算機網(wǎng)絡應急技術處理協(xié)調中心漏洞平臺、中國信息安全測評中心漏洞庫報送網(wǎng)絡產(chǎn)品安全漏洞信息。

此外，在漏洞發(fā)布也有相應的要求，如下：

1. 不得發(fā)布網(wǎng)絡運營者在用的網(wǎng)絡、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況

2. 不得在網(wǎng)絡產(chǎn)品提供者提供網(wǎng)絡產(chǎn)品安全漏洞修補措施之前發(fā)布漏洞信息。

3. 不得發(fā)布或者提供專門用于利用網(wǎng)絡產(chǎn)品安全漏洞從事危害網(wǎng)絡安全活動的程序和工具。

4. 不得刻意夸大網(wǎng)絡產(chǎn)品安全漏洞的危害和風險，不得利用網(wǎng)絡產(chǎn)品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。

5. 在國家舉辦重大活動期間，未經(jīng)公安部同意，不得擅自發(fā)布網(wǎng)絡產(chǎn)品安全漏洞信息。

6. 在發(fā)布網(wǎng)絡產(chǎn)品安全漏洞時，應當同步發(fā)布修補或者防范措施。

7. 不得將未公開的網(wǎng)絡產(chǎn)品安全漏洞信息向網(wǎng)絡產(chǎn)品提供者之外的境外組織或者個人提供。

8. 法律法規(guī)的其他相關規(guī)定。

切莫踩在違規(guī)的紅線上

近年來，網(wǎng)絡安全漏洞威脅日益嚴峻，每一次重量級漏洞的爆發(fā)往往會在社會上快速傳播，不斷威脅企業(yè)和用戶的安全。

《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》的出臺進一步規(guī)范漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為，明確網(wǎng)絡產(chǎn)品提供者、網(wǎng)絡運營者、以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人等各類主體的責任和義務；使得漏洞管理工作變的更加制度化、規(guī)范化、法治化，對于提升漏洞管理水平，促進網(wǎng)絡安全有著重要的作用。

而作為企業(yè)、組織和個人，也要認真了解《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》的具體要求，并參照執(zhí)行，切莫踩在紅線上。