《網絡產品安全漏洞管理規定》:不僅是白帽子的緊箍咒,也是合規必答題

發布時間:2021-07-19

文丨史宇航 匯業律師事務所 顧問

網絡安全具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏幾年都發現不了,結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”,長期“潛伏”在里面,一旦有事就發作了?!⒄推髽I網絡安全信息共享機制,把企業掌握的大量網絡安全信息用起來,龍頭企業要帶頭參加這個機制。

——2016年4月19日習近平在網絡安全和信息化工作座談會上的講話

一、背景

2021年7月13日,工業和信息化部、國家互聯網信息辦公室、公安部共同發布了《網絡安全法》的重要配套規范——《網絡產品安全漏洞管理規定》,并且將在9月1日伴隨《數據安全法》一同生效,堪稱開學大禮包。

網絡安全漏洞是網絡產品和服務在生命周期中無意或有意產生的,有可能被利用的缺陷或薄弱點。網絡安全漏洞是大量網絡安全事件、網絡違法犯罪活動發生的罪魁禍首,具有防不勝防的特點。即使是再嚴格的測試也無法根除網絡安全漏洞。因此,建立行之有效的網絡安全漏洞管理機制成為面對潛在網絡安全漏洞的最佳策略。

二、法律義務落地

《網絡安全法》是我國網絡空間領域的基本法律,要求相關機構或個人在處置網絡安全漏洞時:

  • 發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告……網絡產品、服務的提供者應當為其產品、服務持續提供安全維護(第22條);

  • 制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險(第25條);

  • 開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞等網絡安全信息,應當遵守國家有關規定(第26條)

除了網絡《網絡安全法》,在《數據安全法》中對安全漏洞的管控也是法律義務之一:

  • 開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施(第29條)。

早在2019年6月,工信部就曾發布了《網絡安全漏洞管理規定(征求意見稿)》,此次規定正式頒布,為我國的網絡安全與數據安全法律體系補上了一塊重要的拼圖。此外,在去年年底國家市場監督管理總局與國家標準化管理委員會發布了修改后的《信息安全技術 信息安全漏洞管理規范》(GB/T 30276-2020)。后續,有關部門可能會發布《網絡安全威脅信息發布管理辦法》等同樣涉及網絡安全漏洞的相關制度。


圖片 1 水印版.png


工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》,并建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/),負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息,平臺還有會通知存在漏洞、后門的網絡服務和產品的提供者,要求采取整改措施,消除安全隱患。

公安部2018年制定的《公安機關互聯網安全監督檢查規定》中也明確國家重大網絡安全保衛任務期間專項安全監督檢查的項目包括:企業是否組織開展網絡安全風險評估,并采取相應風險管控措施堵塞網絡安全漏洞隱患?!豆矙C關互聯網安全監督檢查規定》還規定公安機關對機構是否存在網絡安全漏洞,可以開展遠程檢測。

圖片 2 水印版.png


三、企業的合規項目

此次發布的《網絡產品安全漏洞管理規定》,要求所有機構擴充自己的合規清單。

圖片3 水印版.png


四、白帽子的“緊箍咒”

網絡安全漏洞本身也是“燙手的山芋”。一方面,漏洞處理機制離不開漏洞發現者(“白帽子”)的配合,很多企業與漏洞信息共享平臺往往還會給予漏洞發現者獎勵,以鼓勵漏洞發現者參與網絡安全工作。

但另一方面,網絡安全漏洞的發掘與報送都存在較高的法律風險,漏洞發現者稍有不慎就會觸及法律的“紅線”——《刑法》第285條非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪?!缎谭ā分猩形淳途W絡安全漏洞測試進行任何例外的規定,這直接導致與漏洞報送有關的案件逐一出現:

  • 2019年7月,某政府網站管理員向網安支隊報警,該政府網絡內局長信箱模塊有網民多次發送非正常留言,后模塊運行不正常,疑遭黑客攻擊。警方調查后發現,犯罪嫌疑人利用休息時間,在未授權的情況下,對銀川市的某政府網站進行滲透測試,他的目的為了找出網站漏洞并生成漏洞報告,然后上傳國家信息安全漏洞共享平臺(“CNVD”),由CNVD下發各網站進行修補。

  • 2019年5月21日,揭陽網警工作發現違法嫌疑人蘇某有涉嫌非法侵入計算機系統的行為。經深入調查發現,違法嫌疑人蘇某于2019年5月13日,利用“御X”軟件等對南方網等網站進行漏洞掃描,后用弱口令測試北京中醫院網站的后臺并成功登錄,在未經授權的情況下擅自修改管理員賬號密碼,同時將該網站的漏洞提交給“漏洞盒子”網站。據其本人交代,其違法行為只是為了獲取相應積分,有利于其以后找工作。

  • 2016年,袁某檢測并提交世紀佳緣漏洞的事件曾引起廣泛關注。世紀佳緣出于保護用戶隱私安全考慮,報警抓人。

網絡安全漏洞本身是危險品,就像與其他危險品打交道一樣,操作員需要按照規范處理的流程,保護好自身安全。

此外,此次發布的《網絡產品安全漏洞管理規定》第9條為安全漏洞收集平臺與“白帽子”群體戴上了諸多“緊箍咒”,也讓漏洞發布行為的邊界更為清晰:

圖片4 水印版.png

根據以上規則,漏洞的發布將會被嚴格限制。尤其是在網絡安全漏洞可以被視為一種“戰略資產”的背景下,未公開的安全漏洞不得向境外組織和個人提供,避免用于威脅我國的網絡安全。

在罰則方面,《網絡產品安全漏洞管理規定》為違法漏洞平臺與“白帽子”們準備了責令改正、警告、機構最高10萬元罰款、責任個人最高5萬元罰款、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等一系列處罰手段。

五、企業如何開展網絡安全漏洞合規

根據我們為相關客戶處置網絡安全漏洞與搭建網絡安全漏洞合規機制的服務經驗,我們建議企業:

  1. 構建有效的網絡安全漏洞響應機制,如設立安全運營中心,或在網站、App設立專門頁面接收漏洞報告。

  2. 如果技術能力相對有限,可以與安全廠商合作建立企業的安全運營中心。

  3. 信息安全部門、IT部門、法務部門等利益相關方應當共同制定漏洞規則,圍繞接收、響應、處置的流程,草擬漏洞接收后的反饋文本,指定的漏洞報送的格式,以及是否有獎勵措施。在此基礎上,確保安全漏洞的接收日志留存期限不少于6個月。

  4. 在準備相關流程的準備、文本的起草可以參考國家推薦標準《網絡安全漏洞管理規范》(GB/T 30276-2020)。

  5. 根據自身的角色,如是否屬于網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者,全面梳理自己角色對應的網絡安全漏洞合規義務。

  6. 在網絡產品、服務采購的合同中,應設置條款對網絡安全漏洞的處置責任、披露義務、免責情形、過錯承擔等內容進行明確約定。

  7. 如果從事網絡產品安全漏洞收集平臺業務,應當盡快完成工信部備案,完成等級保護,并且加強內部管理,采取措施防范網絡產品安全漏洞信息泄露和違規發布。

對于“白帽子”群體,我們建議嚴格按照《網絡產品安全漏洞管理規定》為自己的行為邊界劃出紅線,更充分地利用自己的網絡安全技能,避免因為不知法、不守法讓自己陷入違法甚至犯罪的窘境。

返回列表