網絡安全漏洞監管新規，產品提供方應履行漏洞管理義務

　　工信部、國家網信辦、公安部近日聯合印發了《網絡產品安全漏洞管理規定》(以下簡稱“規定”)。《規定》明確，任何組織或者個人不得利用網絡產品安全漏洞從事危害網絡安全的活動，不得非法收集、出售、發布網絡產品安全漏洞信息;網絡產品提供者應當履行網絡產品安全漏洞管理義務，包括發現或獲知漏洞后應當在2日內向工信部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息等。

　　今年來，網絡產品漏洞的影響范圍頗廣，所有相關使用者均受其影響。2021年1月，專注于產品生命周期管理解決方案的西門子Digital Industries Software爆出數十個漏洞，導致所有使用該款產品的企業全部受到影響，黑客利用這些漏洞就能執行惡意代碼。同年5月，有報道稱高通MSM芯片被曝存在高危安全漏洞，其2G、3G、4G、5G的系列芯片全部存在此漏洞，攻擊者可利用該漏洞獲取隱私信息監聽通話將手機變成監控設備。該高危漏洞可能讓全球40億的手機用戶暴露在危險之下。

　　《規定》特別強調，從事網絡產品安全漏洞發現、收集的組織或者個人，不得刻意夸大網絡產品安全漏洞的危害和風險，不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動;不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。

　　奇安信集團副總裁、補天漏洞響應平臺主任張卓分析，此次多部門聯合印發的《規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網絡產品漏洞的收集、研判、追蹤、溯源，立足于供應鏈全鏈條，對網絡產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網絡安全的有效防護。

　　參與該《規定》起草階段意見征集的專家針對兩條容易產生誤讀的條款作出了解讀。有些安全研究人員認為《規定》限制了他們通過發布漏洞信息來“倒逼”不積極修復漏洞的廠商和運營者的權力，但專家分析認為，《規定》對漏洞信息的發布仍然體現積極的態度，從建設整個網絡安全環境來看，應該改“倒逼”為“法規”，目的是更加規范，確保真實、客觀、必要。同時，《規定》中也留下了特殊情況下允許“提前”公開的渠道：“認為有必要提前發布的，應當與相關網絡產品提供者共同評估協商，并向工業和信息化部、公安部報告，由工業和信息化部、公安部組織評估后進行發布。”

　　針對“不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況”這一條款，有些人理解為只要網絡運營者在用的產品，就不能公開其漏洞，實際上，這里禁止的是“具體細節揭秘式”的發布網絡運營者相關漏洞。例如不能發布某企業的某個服務器上有某個微軟漏洞，包括具體的IP、端口多少等等，但微軟產品本身的漏洞信息在修復后是可以發布的。

　　張卓稱，《規定》的初衷在于禁止拿漏洞作惡，規范網絡產品漏洞的處理和生命周期流程，其中有相當大的篇幅都是對廠商和運營者提出漏洞收集和處理的規范要求，不能隱瞞漏洞、拒絕漏洞、否認漏洞，必須要積極承認、積極通報、積極報告、積極修復和處理、積極通知生態環境。包括廠商要積極開通接受漏洞信息的渠道、留存信息、確保及時修復、及時評估通知上下游、及時向官方通報、及時升級通報技術問題等。

　　《規定》鼓勵各類主體發揮各自技術和機制優勢開展漏洞發現、收集、發布等相關工作，自9月1日起施行。