近日，为贯彻落实《中华人民共和国网络安全法》，加强网络安全漏洞管理，工业和信息化部会同有关部门起草了《网络安全漏洞管理规定（征求意见稿）》，面向社会公开征求意见。

《网络安全漏洞管理规定（征求意见稿）》

第一条 为规范网络安全漏洞（以下简称漏洞）报告和信息发布等行为，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，根据《国家安全法》《网络安全法》，制定本规定。

第二条 中华人民共和国境内网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织（以下简称第三方组织）或个人,应当遵守本规定。

第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后，应当遵守以下规定：

（一）立即对漏洞进行验证，对相关网络产品应当在90日内采取漏洞修补或防范措施，对相关网络服务或系统应当在10日内采取漏洞修补或防范措施；

（二）需要用户或相关技术合作方采取漏洞修补或防范措施的，应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内，将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方，提供必要的技术支持，并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

第五条 工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。

第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息，应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则，并遵守以下规定：

（一）不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息； 

（二）不得刻意夸大漏洞的危害和风险；

（三）不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具；

（四）应当同步发布漏洞修补或防范措施。

第七条 第三方组织应当加强内部管理，履行下列管理义务，防范漏洞信息泄露和内部人员违规发布漏洞信息：

（一）明确漏洞管理部门和责任人；

（二）建立漏洞信息发布内部审核机制；

（三）采取防范漏洞信息泄露的必要措施；

（四）定期对内部人员进行保密教育；

（五）制定内部问责制度。

第八条 网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的，由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。

第九条 第三方组织违反本规定向社会发布漏洞信息，由工业和信息化部、公安部等有关部门组织对其进行约谈，或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚；构成犯罪的，依法追究刑事责任；给网络产品、服务提供者和网络运营者造成经济或名誉损害的，依法承担民事责任。

第十条 鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后，及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。漏洞收集平台应当遵守本规定第六条、第七条规定。

第十一条 任何组织或个人发现涉嫌违反本规定的情形，有权向工业和信息化部、公安部举报。

第十二条 本规定自印发之日起施行。

征求意见稿发布后，引发了业内人士的广泛关注与讨论。其中，在意见稿第三条中明确提出网络产品、服务提供者和网络运营者发现或获知存在网络安全漏洞时应“立即对漏洞进行验证，对相关网络产品应当在90日内采取漏洞修补或防范措施，对相关网络服务或系统应当在10日内采取漏洞修补或防范措施”。

有关部门正在通过法规形式进一步加强安全监管，要求企业关注网络安全漏洞问题，提高漏洞修复效率。但现实是，很多企业甚至都没有一套完整、有效的漏洞生命周期管理体系与漏洞管理系统，不能落实定期评估与漏洞修补工作，不能保证对企业重要资产的及时修补，也不能规避信息流转所带来的风险等。法规要求的落地实施已然近在咫尺，企业行动迫在眉睫。

漏洞发现与接收

随着时代技术的发展，单靠安全设备扫描监测或企业安全人员的能力已远远不能应对现如今的安全挑战，越来越多的漏洞问题发现来自第三方平台或白帽子，而绝大多数企业缺少一个能够与之直接对接的机制和渠道，建设企业安全应急响应中心（以下简称SRC）正逐渐受到越来越多的关注。

但对于多数企业而言，SRC的建设运营时常面临着成本投入、人力资源、企业级架构设计、效果量化等诸多痛点，导致企业不能很好的与白帽子沟通响应企业安全事件，在安全攻防战中失去主动性。

漏洞盒子企业SRC通过共享行业漏洞管理运营经验，作为一个连接白帽子和企业的桥梁，为企业提供漏洞生命周期管理的一站式安全托管服务，覆盖范围广、内容深入、场景多样，帮助企业实现更便捷、高效的SRC建设运营。

漏洞盒子SRC具有“全托管”、“半托管”或“免费自助”多种模式，完全满足大型企业需求特性，可根据企业需求发布定制化的活动公告、企业公告、悬赏金额及活动内容等信息，提升企业品牌影响力，最大化的吸引白帽子入驻，过程全透明化，主动权掌握在企业手中。

漏洞盒子以开放运营生态和漏洞管理体系，具有针对企业的“漏洞盒子SRC”模式，帮助企业以多种形式处理各类互联网漏洞收集和管理场景。

漏洞全生命周期管理

在大企业中，安全漏洞的全生命周期管理是难以落地实施的一项工作。然而，这项工作的重要性毋庸置疑。企业规模越大，待处理的风险数据也更多，这时候就需要在统一的平台上对接所有第三方平台进行实时同步信息，通过标准化流程操作，降低安全人员时间成本，进而提升漏洞修复效率。

依托斗象科技旗下漏洞盒子平台多年来对政府、企业的安全服务经验和超过30万枚漏洞的处理管理经验积聚，漏洞盒子VMS(Vulnerability Management System) ，一款集漏洞收集，漏洞数据清洗和生命周期管理，漏洞态势统计为一体的管理系统 ，兼容各行业中小型企业与大体量企业的漏洞管理系统应运而生。

1

漏洞盒子VMS拥有标准化流程，不仅能够与多个安全设备对接漏洞数据 ，建立各企业平台适用的标准进行统一管理，确保各外接系统间相关业务数据的一致性；还能够为运维人员提供一个全 面、权威和有效的漏洞修复指导方案库，节省用户繁琐的手工测试和常用漏洞的搜索工作，更加清晰、有效、便捷的管理漏洞，保证漏洞修复工作能更有效进行。

2

漏洞盒子VMS能够利用组织及业务架构等不同资产组分类方式，直观的展示当前资产漏洞管理工作的成效。通过角色分组用户设置不同权限，利用组织及业务架构等不同资产组分类方式，绑定具体资产负责人员，有效解决企业成员不同权限的查看与操作问题。

（这也符合意见稿第七条提出的“第三方组织应当加强内部管理，履行下列管理义务，防范漏洞信息泄露和内部人员违规发布漏洞信息：明确漏洞管理部门和责任人；建立漏洞信息发布内部审核机制；制定内部问责制度。”）

《网络安全法》实施两年来，从各个层面推动了国家关键信息基础设施和数据安全体系的建设，满足了当下迫切的安全需求，为我国网络空间安全治理取得巨大突破提供了法律高度的强大助力。今后关于网络安全保护的具体实施办法必将有更多的规范性文件和指引，企业须与时俱进，实际推动网络安全保护管理制度进程。