新闻资讯
时间: 2024-03-29 05:21:04 起源: 江南娱乐app官网下载
中新经纬客户端7月13日电 工业与信息化部、国家互联网信息办公室、公安部日前发布《关于印发网络产品安全漏洞管理规定的通知》,上述规定自2021年9月1日起施行。
工信部网络安全管理局介绍,根据《网络安全法》关于漏洞管理有关要求,工业与信息化部、国家互联网信息办公室、公安部联合制定《规定》,最大的目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理上的水准,引导建设规范有序、充满了许多活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
《规定》明确,网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞做验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户更好的提供技术上的支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。
工信部网络安全管理局指出,网络产品漏洞信息可利用互联网平台、媒体、会议等方式在社会上迅速传播,危害大量网络用户权益,有必要采取一定的措施防止风险扩大或者避免损害发生。《网络安全法》精确指出,网络产品提供者发现其网络产品存在安全缺陷、漏洞等风险时,应当立即采取补救措施,依规定及时告知用户并向有关主管部门报告。因此,《规定》要求网络产品提供者于2日内向工业与信息化部报送漏洞信息,并及时来修补,将修补方式告知可能受影响的产品用户。
工信部网络安全管理局还指出,近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际在做的工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟需加强管理。为此,《规定》明确对漏洞收集平台实行备案管理,由工业与信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取一定的措施防范漏洞信息泄露和违规发布。
工信部网络安全管理局表示,《规定》出台后,工业与信息化部将从政策宣贯、机制完善、平台建设多方面抓好落实。一是加强政策宣贯,做好对相关企业机构的政策咨询和工作指导,引导漏洞收集平台依法依规开展漏洞收集和发布。二是完善相关工作机制,建立健全漏洞评估、发布、通报等重要环节的工作机制,明确漏洞收集平台备案方式和报送内容。三是加强工业与信息化部网络安全威胁和漏洞信息共享平台建设,做好与其他漏洞平台、漏洞库的信息共享,提升平台技术支撑能力。
扫一扫,加我为好友