談談《網絡安全漏洞管理規定(征求意見稿)》釋放的信息

2019-06-19 362947人圍觀 ,發現 24 個不明物體 網絡安全

*本文原創作者:宇宸@默安科技,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

摘要

當各位還在期盼自己618快遞狀態的時候,工信部發布了這樣一部網絡安全漏洞管理規定,也是給了一個驚喜。618.jpg

正文

6月18日,為貫徹落實《中華人民共和國網絡安全法》,加強網絡安全漏洞管理,工業和信息化部會同有關部門起草了《網絡安全漏洞管理規定(征求意見稿)》(以下簡稱規定),擬以規范性文件形式印發,現面向社會公開征求意見。

規定內容不算太多,只有十二條,看過之后感覺,還是有一定信息量的。以后對于挖洞和修復操作有約束了,不能再開開心心的挖了。

規定的全文可以在網上找到,這里不貼了,說下其中幾條存在信息量的規定。

規定涵蓋中國境內所有組織和個體

第二條 中華人民共和國境內網絡產品、服務提供者和網絡運營者,以及開展漏洞檢測、評估、收集、發布及相關競賽等活動的組織(以下簡稱第三方組織)或個人,應當遵守本規定。

開篇先把范圍確定好,也就是說中國境內的所有人、所有組織、公司、機構和團體,都必須遵守,說白了只要是個人就得這么做,即使是具備一定智能的AI也要遵守。

image.png

發現漏洞必須上報,禁止私自發布和利用

第三條 發現/獲知存在漏洞后:

(一)立即對漏洞進行驗證,對相關網絡產品應當在90日內采取漏洞修補或防范措施,對相關網絡服務或系統應當在10日內采取漏洞修補或防范措施;

(二)需要用戶或相關技術合作方采取漏洞修補或防范措施的,應當在對相關網絡產品、服務、系統采取漏洞修補或防范措施后5日內,將漏洞風險及用戶或相關技術合作方需采取的修補或防范措施向社會發布或通過客服等方式告知所有可能受影響的用戶和相關技術合作方,提供必要的技術支持,并向工業和信息化部網絡安全威脅信息共享平臺報送相關漏洞情況。

驗證漏洞是指的產品供應商、系統開發方、運營服務方,設備或系統的提供者/開發者來進行驗證,可不是說第三方服務或企業自己去搞驗證,原文的主語稱為也很明確,所以對于漏洞驗證的活,就由相關責任方去做,其他無關人員不要伸手,以免造成不必要風險。這次明確給出了修復和防范期限,對于產品類,比如FW存在漏洞被發現了,那么廠商就要在90天內修好漏洞或者提供同等防護能力的有效措施,而對于系統則必須在10日內進行修補。

修補或防護方案做好了,接著就要和客戶或技術合作方進行實施和公告了,要求規定采取措施后5日內,將漏洞的細節、修補方式、影響程度公開發布或者自行發送給所有可能受影響的用戶及先關技術合作方,并且要報告到工信部網絡安全威脅信息共享平臺(http://cstis.org.cn/)。這里的時間是正常時間,而不是工作日。

各監管部門施行各自監管方式

第四條 工業和信息化部、公安部和有關行業主管部門按照各自職責組織督促網絡產品、服務提供者和網絡運營者采取漏洞修補或防范措施。

看到了吧,企業要接受至少3家的檢查,而且每家的檢查方式和重點都會有所不同,要求的流程和規范也會有細微差別。

image.png

不過換個角度看,這樣綜合各家的要求,能把一些細節或者考慮不到的問題也檢查到,對于企業來說也是好事,是好事,好事。

對個人和第三方提出新要求

再來看看,對于個人和組織的要求(第六條中):

(一)不得在網絡產品、服務提供者和網絡運營者向社會或用戶發布漏洞修補或防范措施之前發布相關漏洞信息;

(二)不得刻意夸大漏洞的危害和風險;

(三)不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具。

第一點就提出來,個人或第三方不可以于廠家或開發商、運營者公布漏洞之前私自公開,以前為了彰顯個人或服務方的能力,經常有這么干的,以后不行了,兄弟,你違法了。

image.png

對,自己搬磚自己賺錢不行了,或者去SRC或者提交給相關方或漏洞平臺。

對于漏洞的危害要實事求是,真實客觀,不能為了推廣自己的產品或服務有意夸大事實。鍵盤俠和喜歡忽悠客戶的,這回玩不轉了。

再就是一些風險較大的漏洞,會有人出一些PoC工具,驗證和利用漏洞,大多數是出于好意,發布到網上。這些工具、漏洞利用方法以后不能再發了,你可以發送給相關方、相關機構或國家漏洞平臺,個人或第三方自行發布漏洞驗證工具的,要進行約談,造成影響的,要罰款,嚴重影響的,要追究刑事責任。

image.png

風險管理日趨重要

對于漏洞管理,也提出了一些管理要求(第七條中):

(一)明確漏洞管理部門和責任人;

(二)建立漏洞信息發布內部審核機制;

(三)采取防范漏洞信息泄露的必要措施。

安全問題越來越受重視(某些企業),內部風險管理也日漸顯現其重要性。再用常規的漏掃打補丁,封端口的操作,無法應對以后的互聯網安全態勢。企業應梳理自身業務,關注最新技術趨勢和漏洞情況,結合實際情況量身定制內控管理。規定中明確要求要建立漏洞管理部門和負責人,而且對于漏洞信息發布要進行內控,要有流程。除了漏洞管理,還要做好漏洞信息泄露工作。這里個人理解應該是,企業系統當前存在的漏洞情況,應該只有相關部門或責任人知道,其他無關人員不能通過其他渠道獲取系統的漏洞情況;另一方面,漏洞中可能包含的敏感信息,應盡量避免此類信息泄露事件。

明確違規處罰力度

最后就是強調對于不遵守規定的,未按本規定采取漏洞修補或防范措施并向社會或用戶發布的,要對其進行處罰,包括約談、罰款、判刑等方式。具體處罰額度是參照網安法來的。

image.png

總結

那么,總結一下,規定中強調的一些重點:

1.本規定適用國內所有企業、組織和個人;

2.發現的漏洞,在限定時間內,相關廠商、第三方、運營方等必須做出修補,并公開漏洞細節和應對措施;

3.發現漏洞必須提交給相關企業、廠商或漏洞平臺,不得自行發表;

4.各監管部門檢查的重點可能會有所不同;

5.不允許夸大漏洞危害,不得私自發布漏洞驗證工具和方法;

6.期限內不能整改的,要接受監管部門處罰。

總的來說,國內安全相關的法制在逐步健全,對企業和個人的約束也會越來越多,從雜亂無章向有條不紊過度,這是一個網絡大國、網絡強國必須要做到的。

PS:文中為個人觀點,僅供參考。                                                                                                                  

*本文原創作者:宇宸@默安科技,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

這些評論亮了

  • test 回復
    Tk:
    限制漏洞披露,結果必然會影響漏洞研究本身。
    漏洞研究和其它科技研究工作一樣,都是特別苦的事情。人為什么愿意干特別苦的事情?那些博士們為什么愿意在實驗室長年累月熬著?當然是為了發布研究成果,獲得由此帶來的收益(名、利、自我實現感,等等)。限制漏洞披露,就是削減漏洞研究的收益。
    如果這種限制是全世界統一行動,那么大家刀槍入庫,馬放南山,卸甲歸田,也挺好的。而如果只是一個國家這么干,那就相當于自己單方面主動裁軍。
    )143( 亮了
  • Yuange 回復
    Yuange1975:
    信息安全和傳統的實體安全,有很大的不一樣,信息安全沒有傳統實體安全的地域限制,一些傳統的實體安全很有效的措施,就不能簡單的直接套用。傳統的實體安全,可以管制一些危險的武器,管制一些危險的人員,就可以做到比較安全了。而信息安全,因為沒有地域限制,這些管制措施,只能針對自己的民眾,而真正的敵人,遠在十萬八千里之外,他們擁有什么新型的武器,是沒有辦法去管制的,這些人員也沒法管制。而這些武器的功能和性能,需要眾多安全愛好者去研究漏洞和漏洞攻防利用技術,以及互相之間交流,才能針對性的去設計防范工具。如果不準許自己民眾去研究和交流,就等同于自廢武功。
    總之,千萬不要用傳統實體安全的管理思維去指導信息安全的管理。對于信息安全的研究者,需要給予相對寬松一點的環境。
    )72( 亮了
  • 黑產老哥 回復
    像現在,一個洞公布出來一會各種騷操作都出來了,第一時間補天各大平臺就有白帽子提交漏洞,接著cert就知道了有漏洞了,第一時間推送公告,不久之后大部分公網能利用的高價值目標都已經被全部提交漏洞平臺,難道這樣不好?等著廠商主動發公告幫助用戶修復漏洞?怕是黑產老哥早就把內網日穿了,一個勒索病毒過去,還修復啥,關門大吉吧
    如果這樣推行后面就是外國大佬手握各種未公開的0day,分分鐘日穿國內內網,而我國白帽子由于被嚴禁公開漏洞利用方法,全部都只會用阿D,這像不像農民與全副武裝的職業兵對戰?
    )52( 亮了
  • ss 回復
    黑產的小哥們不要怕,這東西有沒有你們的境況都一樣。白帽的小哥們注意了,世紀佳緣警告.jpg
    )20( 亮了
  • 最大的問題就是,如果有個s2、weblogic的0day,自己的站被日了幾遍后才能看見官方公告。。。。
    )9( 亮了
發表評論

已有 24 條評論

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图