針對《網絡安全漏洞管理規定(征求意見稿)》的一些看法:利大于弊

2019-06-20 190286人圍觀 ,發現 24 個不明物體 觀點

6月18日晚間,工信部一紙《網絡安全漏洞管理規定 (征求意見稿)》(以下簡稱規定)很快引爆了安全圈……FreeBuf上一位作者及時發布了一篇針對該意見稿的解讀文章:

談談《網絡安全漏洞管理規定(征求意見稿)》釋放的信息

http://www.pqrski.live/articles/network/206313.html

《網絡安全法》正式發布兩年以來,越來越多的相關法律法規陸續出臺,其中也吸收了大量網絡安全工作者的積極諫言。相信隨著監管機制愈發成熟透明,我國網絡安全市場必將迎來進一步的機遇和發展。

征求意見稿發布后,引發了業內人士的廣泛關注與討論。不過才一天的時間,筆者察覺到一些平臺上發布的文章解讀有誤,對部分沒有認真審視該規定的讀者會造成嚴重誤導。

首先需要說明的是,《網絡安全漏洞管理規定(征求意見稿)》還沒有最終定稿,部分規定也許存在較大爭議,任何個人和單位都可以在2019年7月18日前提交反饋意見。本文涉及的部分解讀也均是基于2019年6月18日發布的征求意見稿內容。

該規定的初衷是為了規范網絡安全漏洞報告和信息發布的行為,同時督促相關廠商、第三方及運營方及時應對漏洞問題,這也是基于《網絡安全法》的基礎上進一步完善法制體系。從這個出發點來說,本規定應該可以得到大多數人的支持和反饋。

部分文章對規定指出的漏洞提交方式的解讀有誤,根據本規定的第十條:

鼓勵第三方組織和個人獲知網絡產品、服務、系統存在的漏洞后,及時向國家信息安全漏洞共享平臺、國家信息安全漏洞庫等漏洞收集平臺報送有關情況。漏洞收集平臺應當遵守本規定第六條、第七條規定。

可以明確的是,本規定鼓勵組織或者個人主動發掘網絡產品、服務、系統的漏洞,已獲知的漏洞可以向“國家信息安全漏洞共享平臺、國家信息安全漏洞庫等漏洞收集平臺”提交,這其中是包含漏洞盒子等第三方漏洞平臺的,而并非如部分文章中僅僅局限于國家安全漏洞管理平臺。

而個人披露漏洞及漏洞收集平臺對漏洞的管理則需要遵循規定的第六條、第七條:

第六條 第三方組織或個人通過網站、媒體、會議等方式向社會發布漏洞信息,應當遵循必要、真實、客觀、有利于防范和應對網絡安全風險的原則,并遵守以下規定:

(一)不得在網絡產品、服務提供者和網絡運營者向社會或用戶發布漏洞修補或防范措施之前發布相關漏洞信息;

(二)不得刻意夸大漏洞的危害和風險;

(三)不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具;(四)應當同步發布漏洞修補或防范措施。

第七條 第三方組織應當加強內部管理,履行下列管理義務,防范漏洞信息泄露和內部人員違規發布漏洞信息:

(一)明確漏洞管理部門和責任人;

(二)建立漏洞信息發布內部審核機制;

(三)采取防范漏洞信息泄露的必要措施;

(四)定期對內部人員進行保密教育;

(五)制定內部問責制度。

而這兩條基本是該規定最核心的部分,其確定了漏洞管理流程中的責任歸屬,也明確了在漏洞披露過程中的一些規范,例如不得可以夸大漏洞危害和風險、不得在漏洞相關方修復漏洞或者提出防范措施之前披露漏洞信息。

Image

從近兩天的媒體輿論來看,絕大多數持有反對意見的個人基本都是集中在第六條中“不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具”,引用一位安全屆大咖的點評:

眾多安全愛好者去研究漏洞和漏洞攻防利用技術,以及互相之間交流,才能針對性的去設計防范工具。不要用傳統實體安全的管理思維去指導信息安全的管理。對于信息安全的研究者,需要給予相對寬松一點的環境。

在這一點上,筆者與大多數安全愛好者一樣,期待能有一個相對寬松的研究環境。安全圈內做研究本身就是一個長期且辛苦的工作,獲得的回報也很難說成正比,確實趕不上國外的安全環境。不少年輕人抱著一腔熱血投入這個圈子,如果每個人在發布研究成果時還要戰戰兢兢地害怕重蹈烏云網事件的覆轍,這與本規定鼓勵發覺漏洞的初衷是相違背的。

距離意見征集的截止時間還有差不多一個月的時間,期望廣大安全工作者為構建一個健全、完善的漏洞管理機制而積極反饋意見,也歡迎朋友們在評論區發表自己的觀點,更不要讓錯誤的解讀傳播開從而引發的不當的輿論,網安江湖本就不平靜,鍵盤當是“平亂”的武器而不是引戰的工具。

聯系電話:010-66022093

傳 真:010-66022774

郵 箱:[email protected]

地 址:北京市西城區西長安街 13 號工業和信息化部網絡安全管理局(郵編:100804)。請在信封上注明「《網絡安全漏洞管理規定(征求意見稿)》意見反饋」。

*本文作者:百里不守約,轉載請注明來自FreeBuf.COM

相關推薦

這些評論亮了

  • xiaoshsha 回復
    看語氣就是相關部門的人注冊的賬號,萬物恒有法,無形勝有形!不要什么事情都要伸手是最好的,個人感覺既然要落實《網安法》,那應該先找企業落實責任,不應該從從業人員身上開刀啊!比如說公開華住的處理結果?處理了沒,怎么處理的,還有深網視界,后續怎么樣?
    )75( 亮了
  • 123 回復
    恕我直言,這樣禁止發表漏洞研究成果,只會導致更多的漏洞流向黑產
    因為研究院追求的是成就感,如果你把光明正大的的渠道堵死了那只會流向黑暗面
    )37( 亮了
  • xiaoshsha 回復
    @ lywhiz? 這個文章的作者就是你吧,專家挖了多少個有影響的0day啊?tk教主都出來說話了,看來教主這個級別的不夠專家的行列!
    )14( 亮了
  • AdM1NR (1級) 回復
    恕我直言,此文件一實施,黑產和國家安全,一個你都別想控制
    )12( 亮了
  • qqqxx 回復
    這玩意總體上沒大問題,但是就那一點上問題大了去了
    )9( 亮了
發表評論

已有 24 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图 山西泳坛夺金 3d开机号 手机麻将软件价格 现在开什么样的彩票赚钱 黑龙江时时彩 承包工地食堂赚钱吗 南京麻将外包规则 大圣捕鱼 麻将技巧实战打法视频 5元自助早餐赚钱吗 北单比分奖金计算器 黑龙江22选5 女人丝袜脚就可以赚钱 捕鱼来了怎么捕才赚钱 美国棒球比分直播 免费手游赚钱软件