近年來��,網(wǎng)絡(luò)上出現(xiàn)了很多從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)��、收集發(fā)布的平臺�,不過這些平臺也存在著很多不規(guī)范運營的現(xiàn)象,由此帶來網(wǎng)絡(luò)安全風(fēng)險。尤其是網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運營者面對自身產(chǎn)品的漏洞修復(fù)不及時�����,沒有預(yù)警防范措施�,導(dǎo)致信息安全事件發(fā)生后,給相關(guān)企業(yè)和個人造成很大損失��。
僅今年9月份����,全球因遭遇勒索軟件而發(fā)生的已對外公布的大型網(wǎng)絡(luò)安全事件就有6起之多,涉及政府部門�����、醫(yī)療衛(wèi)生系統(tǒng)��、金融交易系統(tǒng)�����、公共交通運輸系統(tǒng)等多個領(lǐng)域��。
為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)�、報告�、修補��、發(fā)布等行為�����,防范網(wǎng)絡(luò)安全風(fēng)險�����,工業(yè)和信息化部����、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)已于2021年9月1日起施行���。廣電計量信息化服務(wù)技術(shù)專家特別針對《規(guī)定》重要條款整理了詳細(xì)解讀�,一起看下吧�!
一�、哪些組織或個人會受到該規(guī)定的影響?
- 1. 中國境內(nèi)的硬件�、軟件的網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運營者;
- 2. 從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)��、收集發(fā)布等活動的組織或者個人。
二�、 必須采取的措施有哪些?
1. 針對網(wǎng)絡(luò)產(chǎn)品提供者
接收:應(yīng)當(dāng)建立安全漏洞信息接收渠道�,留存至少6個月的漏洞接收信息。
驗證:應(yīng)當(dāng)立即對安全漏洞進行驗證���,評估其危害程度和影響范圍�����;對上游產(chǎn)品安全漏洞���,應(yīng)立即通知相關(guān)人員。
報送:應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息���。
修補:應(yīng)當(dāng)及時修補安全漏洞�,并通知用戶相關(guān)漏洞信息����,升級和修補方法。
同步:同時向三個部門通報相關(guān)漏洞信息:工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺�、國家網(wǎng)絡(luò)與信息安全信息通報中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心��。
鼓勵:鼓勵對發(fā)現(xiàn)安全漏洞的組織或者個人給予獎勵。
2. 針對網(wǎng)絡(luò)運營者
接收:應(yīng)建立網(wǎng)絡(luò)產(chǎn)品安全漏洞接收渠道�,留存至少6個月的漏洞接收信息。
修補:發(fā)現(xiàn)信息系統(tǒng)存在安全漏洞后�,應(yīng)及時對漏洞進行驗證和修補。
3. 針對任何組織和個人
備案:任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺���,應(yīng)當(dāng)向工業(yè)和信息化部備案����。工業(yè)和信息化部及時向公安部�����、國家互聯(lián)網(wǎng)信息辦公室通報相關(guān)漏洞收集平臺�,并對通過備案的漏洞收集平臺予以公布。
鼓勵:鼓勵發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺�����、國家網(wǎng)絡(luò)與信息安全信息通報中心漏洞平臺�����、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心漏洞平臺�、中國信息安全測評中心漏洞庫報送網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
禁止:
- 1. 不得發(fā)布網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品提供者的安全漏洞的細(xì)節(jié)情況
- 2. 不得在網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品提供者提供安全漏洞修補措施之前發(fā)布漏洞信息�����。
- 3. 不得發(fā)布或者提供針對網(wǎng)絡(luò)產(chǎn)品安全漏洞的利用程序��。
- 4. 不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實施惡意炒作或者進行詐騙��、敲詐勒索等違法犯罪活動�����。
- 5. 未經(jīng)相關(guān)部門同意�,在重大節(jié)日期間,不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息����。
- 6. 在發(fā)布安全漏洞時,應(yīng)當(dāng)同步發(fā)布修補或者防范措施��。
- 7. 不得向境外組織或者個人提供未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息����。
- 8. 法律法規(guī)的其他相關(guān)規(guī)定。
在信息安全領(lǐng)域�����,廣電計量擁有一支資深安全技術(shù)專家團隊,具有多年安全工程實施經(jīng)驗和技術(shù)儲備優(yōu)勢����,能為行業(yè)客戶提供專業(yè)的安全保障和安全咨詢等服務(wù),為金融���、電商�����、開發(fā)者和政企客戶的各類應(yīng)用提供一站式綜合解決方案�。針對《規(guī)定》的相關(guān)要求�,可提供如下技術(shù)服務(wù):
●滲透測試服務(wù)
通過模擬黑客攻擊方式,對客戶產(chǎn)品進行安全性測試���,協(xié)助企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露�、資產(chǎn)受損�、數(shù)據(jù)被篡改等安全漏洞,并為客戶提供安全漏洞修復(fù)等技術(shù)服務(wù)�����。
●代碼審計服務(wù)
從信息安全角度出發(fā),廣電計量可提供應(yīng)用系統(tǒng)相關(guān)邏輯路徑測試服務(wù)����,通過分析源代碼�����,挖掘代碼中存在的安全缺陷以及規(guī)范性缺陷�����,找到普通安全測試無法發(fā)現(xiàn)的如二次注入���、反序列化�����、xml實體注入等安全漏洞��。
●SDL服務(wù)
安全是整個IT團隊(包括開發(fā)����、測試、運維及安全團隊)所有成員的責(zé)任�,貫穿需求、架構(gòu)���、編碼���、測試、部署以及運維等整個研發(fā)周期的各個階段���,通過加入相關(guān)安全措施�����,以安全左移的形式�����,提高信息安全的綜合防御能力和降低安全漏洞的修復(fù)代價��。
廣電計量可提供有針對性的解決方案����,協(xié)助客戶實現(xiàn)思維方式�����、流程和技術(shù)的整體提升,并通過系列化安全工具編排及實施�����,完成軟件開發(fā)行業(yè)的安全賦能��,改善企業(yè)和機構(gòu)的軟件安全現(xiàn)狀��。
●應(yīng)急響應(yīng)服務(wù)
提供快速響應(yīng)�����、力?����;謴?fù)的應(yīng)急響應(yīng)服務(wù)��,以及針對網(wǎng)絡(luò)安全事件的預(yù)防����、發(fā)現(xiàn)���、預(yù)警和協(xié)調(diào)處置等安全服務(wù)�。
●應(yīng)急響應(yīng)中心(xSRC)規(guī)劃服務(wù)
廣電計量可協(xié)助客戶搭建符合自身需求的安全應(yīng)急響應(yīng)中心,作為對外接收來自用戶發(fā)現(xiàn)并報告產(chǎn)品缺陷的站點���,對外發(fā)布企業(yè)突發(fā)安全事件處理動態(tài)以及企業(yè)信息安全團隊研究成果�,掌握漏洞收集�����、披露等過程的主動性及私密性����。企業(yè)可自行分配工程師開發(fā)屬于自身的安全應(yīng)急響應(yīng)中心,制定自己的漏洞收集和披露計劃�。
目前,包括Google�����、Microsoft以及騰訊���、阿里巴巴�����、百度等�,均成立了自己的安全應(yīng)急響應(yīng)中心,對外收集并處理安全研究員報送的漏洞報告�。
點擊下載軟件測評及信息安全畫冊,了解更多相關(guān)服務(wù)內(nèi)容
廣州廣電計量檢測股份有限公司(股票簡稱:廣電計量�,股票代碼:002967)是原信息產(chǎn)業(yè)部電子602計量站,經(jīng)過50余年的發(fā)展��,現(xiàn)已成為一家全國布局�����、綜合性的國有第三方計量檢測機構(gòu)��。在信息安全領(lǐng)域����,廣電計量擁有一支資深安全技術(shù)專家團隊���,具有多年安全工程實施經(jīng)驗和技術(shù)儲備優(yōu)勢�����,能為行業(yè)客戶提供專業(yè)的安全保障和安全咨詢等服務(wù)�����,為金融�����、電商����、開發(fā)者和政企客戶的各類應(yīng)用提供一站式綜合解決方案。