谈谈《网络安全漏洞管理规定(征求意见稿)》释放的信息

2019-06-19 342831人围观 ,发现 24 个不明物体 网络安全

*本文原创作者:宇宸@默安科技,本文属于FreeBuf原创奖励计划,未经许可禁止转载

摘要

当各位还在期盼自己618快递状态的时候,工信部发布了这样一部网络安全漏洞管理规定,也是给了一个惊喜。618.jpg

正文

6月18日,为贯彻落实《中华人民共和国网络安全法》,加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(以下简称规定),拟以规范性文件形式印发,现面向社会公开征求意见。

规定内容不算太多,只有十二条,看过之后感觉,还是有一定信息量的。以后对于挖洞和修复操作有约束了,不能再开开心心的挖了。

规定的全文可以在网上找到,这里不贴了,说下其中几条存在信息量的规定。

规定涵盖中国境内所有组织和个体

第二条 中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。

开篇先把范围确定好,也就是说中国境内的所有人、所有组织、公司、机构和团体,都必须遵守,说白了只要是个人就得这么做,即使是具备一定智能的AI也要遵守。

image.png

发现漏洞必须上报,禁止私自发布和利用

第三条 发现/获知存在漏洞后:

(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

验证漏洞是指的产品供应商、系统开发方、运营服务方,设备或系统的提供者/开发者来进行验证,可不是说第三方服务或企业自己去搞验证,原文的主语称为也很明确,所以对于漏洞验证的活,就由相关责任方去做,其他无关人员不要伸手,以免造成不必要风险。这次明确给出了修复和防范期限,对于产品类,比如FW存在漏洞被发现了,那么厂商就要在90天内修好漏洞或者提供同等防护能力的有效措施,而对于系统则必须在10日内进行修补。

修补或防护方案做好了,接着就要和客户或技术合作方进行实施和公告了,要求规定采取措施后5日内,将漏洞的细节、修补方式、影响程度公开发布或者自行发送给所有可能受影响的用户及先关技术合作方,并且要报告到工信部网络安全威胁信息共享平台(http://cstis.org.cn/)。这里的时间是正常时间,而不是工作日。

各监管部门施行各自监管方式

第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

看到了吧,企业要接受至少3家的检查,而且每家的检查方式和重点都会有所不同,要求的流程和规范也会有细微差别。

image.png

不过换个角度看,这样综合各家的要求,能把一些细节或者考虑不到的问题也检查到,对于企业来说也是好事,是好事,好事。

对个人和第三方提出新要求

再来看看,对于个人和组织的要求(第六条中):

(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

(二)不得刻意夸大漏洞的危害和风险;

(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。

第一点就提出来,个人或第三方不可以于厂家或开发商、运营者公布漏洞之前私自公开,以前为了彰显个人或服务方的能力,经常有这么干的,以后不行了,兄弟,你违法了。

image.png

对,自己搬砖自己赚钱不行了,或者去SRC或者提交给相关方或漏洞平台。

对于漏洞的危害要实事求是,真实客观,不能为了推广自己的产品或服务有意夸大事实。键盘侠和喜欢忽悠客户的,这回玩不转了。

再就是一些风险较大的漏洞,会有人出一些PoC工具,验证和利用漏洞,大多数是出于好意,发布到网上。这些工具、漏洞利用方法以后不能再发了,你可以发送给相关方、相关机构或国家漏洞平台,个人或第三方自行发布漏洞验证工具的,要进行约谈,造成影响的,要罚款,严重影响的,要追究刑事责任。

image.png

风险管理日趋重要

对于漏洞管理,也提出了一些管理要求(第七条中):

(一)明确漏洞管理部门和责任人;

(二)建立漏洞信息发布内部审核机制;

(三)采取防范漏洞信息泄露的必要措施。

安全问题越来越受重视(某些企业),内部风险管理也日渐显现其重要性。再用常规的漏扫打补丁,封端口的操作,无法应对以后的互联网安全态势。企业应梳理自身业务,关注最新技术趋势和漏洞情况,结合实际情况量身定制内控管理。规定中明确要求要建立漏洞管理部门和负责人,而且对于漏洞信息发布要进行内控,要有流程。除了漏洞管理,还要做好漏洞信息泄露工作。这里个人理解应该是,企业系统当前存在的漏洞情况,应该只有相关部门或责任人知道,其他无关人员不能通过其他渠道获取系统的漏洞情况;另一方面,漏洞中可能包含的敏感信息,应尽量避免此类信息泄露事件。

明确违规处罚力度

最后就是强调对于不遵守规定的,未按本规定采取漏洞修补或防范措施并向社会或用户发布的,要对其进行处罚,包括约谈、罚款、判刑等方式。具体处罚额度是参照网安法来的。

image.png

总结

那么,总结一下,规定中强调的一些重点:

1.本规定适用国内所有企业、组织和个人;

2.发现的漏洞,在限定时间内,相关厂商、第三方、运营方等必须做出修补,并公开漏洞细节和应对措施;

3.发现漏洞必须提交给相关企业、厂商或漏洞平台,不得自行发表;

4.各监管部门检查的重点可能会有所不同;

5.不允许夸大漏洞危害,不得私自发布漏洞验证工具和方法;

6.期限内不能整改的,要接受监管部门处罚。

总的来说,国内安全相关的法制在逐步健全,对企业和个人的约束也会越来越多,从杂乱无章向有条不紊过度,这是一个网络大国、网络强国必须要做到的。

PS:文中为个人观点,仅供参考。                                                                                                                  

*本文原创作者:宇宸@默安科技,本文属于FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

  • test 回复
    Tk:
    限制漏洞披露,结果必然会影响漏洞研究本身。
    漏洞研究和其它科技研究工作一样,都是特别苦的事情。人为什么愿意干特别苦的事情?那些博士们为什么愿意在实验室长年累月熬着?当然是为了发布研究成果,获得由此带来的收益(名、利、自我实现感,等等)。限制漏洞披露,就是削减漏洞研究的收益。
    如果这种限制是全世界统一行动,那么大家刀枪入库,马放南山,卸甲归田,也挺好的。而如果只是一个国家这么干,那就相当于自己单方面主动裁军。
    )143( 亮了
  • Yuange 回复
    Yuange1975:
    信息安全和传统的实体安全,有很大的不一样,信息安全没有传统实体安全的地域限制,一些传统的实体安全很有效的措施,就不能简单的直接套用。传统的实体安全,可以管制一些危险的武器,管制一些危险的人员,就可以做到比较安全了。而信息安全,因为没有地域限制,这些管制措施,只能针对自己的民众,而真正的敌人,远在十万八千里之外,他们拥有什么新型的武器,是没有办法去管制的,这些人员也没法管制。而这些武器的功能和性能,需要众多安全爱好者去研究漏洞和漏洞攻防利用技术,以及互相之间交流,才能针对性的去设计防范工具。如果不准许自己民众去研究和交流,就等同于自废武功。
    总之,千万不要用传统实体安全的管理思维去指导信息安全的管理。对于信息安全的研究者,需要给予相对宽松一点的环境。
    )72( 亮了
  • 黑产老哥 回复
    像现在,一个洞公布出来一会各种骚操作都出来了,第一时间补天各大平台就有白帽子提交漏洞,接着cert就知道了有漏洞了,第一时间推送公告,不久之后大部分公网能利用的高价值目标都已经被全部提交漏洞平台,难道这样不好?等着厂商主动发公告帮助用户修复漏洞?怕是黑产老哥早就把内网日穿了,一个勒索病毒过去,还修复啥,关门大吉吧
    如果这样推行后面就是外国大佬手握各种未公开的0day,分分钟日穿国内内网,而我国白帽子由于被严禁公开漏洞利用方法,全部都只会用阿D,这像不像农民与全副武装的职业兵对战?
    )52( 亮了
  • ss 回复
    黑产的小哥们不要怕,这东西有没有你们的境况都一样。白帽的小哥们注意了,世纪佳缘警告.jpg
    )20( 亮了
  • 最大的问题就是,如果有个s2、weblogic的0day,自己的站被日了几遍后才能看见官方公告。。。。
    )9( 亮了
发表评论

已有 24 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php