《网络产品安全漏洞管理规定》出台：白帽黑客再发漏洞需备案

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助;任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。本规定自2021年9月1日起施行。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳财经记者采访时表示，该《规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

鼓励漏洞通报 但必须备案

近年来白帽黑客建立漏洞发现与收集的平台并告知企业的做法曾一度在圈内流行，但这种做法往往也伴随着一定争议。而按照《网络产品安全漏洞管理规定》要求，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。

《规定》明确了产品安全漏洞的发现、修补、管理流程，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。同时《规定》明确指出，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的社会价值。

“有些安全研究人员认为《规定》限制了他们通过发布漏洞信息来‘倒逼’不积极修复漏洞的厂商和运营者的权力，实际上《规定》对漏洞信息的发布仍然体现积极的态度，从建设整个网络安全环境来看，应该改‘倒逼’为‘法规’，目的是更加规范，确保真实、客观、必要。同时，《规定》中也留下了特殊情况下允许‘提前’公开的渠道：‘认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。’”张卓表示。

张卓认为，针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款，有些人理解为只要网络运营者在用的产品，就不能公开其漏洞，其实这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。例如不能发布某企业的某个服务器上有某个微软漏洞，包括具体的IP、端口多少等，但微软产品本身的漏洞信息在修复后是可以发布的。

改变以往攻击事件视角等为主的漏洞收集及管理模式

在张卓看来，该规定改变了以往攻击事件视角、网络系统视角等为主的漏洞收集及管理模式，这样的管理模式，只能解决单点问题，很难对该漏洞影响各行各业的风险情况进行全面研判和处置，本次《规定》以产品视角进行漏洞管理，就可以对上下游整个供应链进行全面的风险评估和有效处置。

据了解，网络产品漏洞的影响往往不会局限于一点，所有相关使用者均受其影响。如2021年1月，专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞，导致所有使用该款产品的企业全部受到影响，黑客利用这些漏洞就能执行恶意代码。同年5月，有报道称高通MSM芯片被爆存在高危安全漏洞(漏洞编号CVE-202011292)。高通2G、3G、4G、5G的系列芯片全部存在此漏洞。攻击者可利用该漏洞获取隐私信息监听通话将手机变成监控设备。作为向三星、LG、小米等多个手机品牌供货的芯片大厂，该高危漏洞让全球40亿的手机用户暴露在了危险之下。

“《规定》的初衷在于禁止拿漏洞作恶，规范网络产品漏洞的处理和生命周期流程，《规定》中有相当大的篇幅都是对厂商和运营者提出漏洞收集和处理的规范要求，不能隐瞒漏洞、拒绝漏洞、否认漏洞，必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。包括厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。”张卓称。

据了解，补天平台拥有8年的漏洞平台运营经验，目前有超过8万名白帽黑客、6000余家企业入驻。张卓表示：“本次颁布的《规定》将覆盖每一款网络产品，相关网络产品厂商的当务之急，是要根据要求，积极开通接受漏洞信息的渠道。补天平台将根据规定要求优化提升平台能力，也有意愿帮助各大网络产品厂商，建设和运营符合要求的产品漏洞收集平台，为广大厂商代收漏洞。”

工业和信息化部网络安全管理局人士表示，《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。

来源：新京报、工业和信息化部网络安全管理局