芬兰诺基亚5G运营商集采会中标
境内到底是修饰网络产品还是提供者
类似《数据安全法》、可以长臂管辖
任何组织或个人
• 不得非法
• 收集
• 政府监管部门、产品提供者、网络运营者以外第三方组织或企业收集漏洞信息是否一概非法?
• 出售
• 哪些行为是合法出售?
• 发布
• 明知他人利用漏洞危害网络安全
• 不得帮助
• 如何界定明知?
建立健全渠道
留存接收日志6个月
知情不报怎么办?
奖励太少不报怎么办?
进行漏洞交易买卖双方是否一概违法?
发现或获知漏洞后
• 立即采取措施验证
• 评估漏洞危害程度和影响范围
•通报上游产品提供者
2日内报工信部漏洞信息共享平台
• 报送格式
• 产品名称
• 型号
• 版本
• 漏洞
•特点
•危害
•影响范围
组织对漏洞进行修补
• 对产品用户或下游厂商提供技术支持
向国家网络安全通报中心通报
向CNCERT通报
产品提供者长期白piao漏洞怎么办?
产品提供者承诺高额奖励出尔反尔怎么办?
如果对漏洞是否值相应奖励产生争议怎么办?
发现或获知后
•立即采取措施
•及时验证
•及时修补
为什么不鼓励网络运营者也一并提供奖励?
软硬件集成过程中的漏洞是否没有奖励?
发布主体
•从事漏洞发现收集的
• 组织
• 众测平台算不算?
• 个人
发布渠道
• 网络平台
•媒体
•会议
•竞赛
发布原则
•必要
•真实
•客观
•有利于防范风险
要求
•不得提前发布漏洞信息
• 需等产品提供者提供漏洞修补措施后
• 例外
•工信部、公安部评估后可发布
• 不得发布网络运营者在用网络、系统、设备漏洞细节
• 细节如何定义?
•不得夸大漏洞危害风险
• 国内没有CVSS怎么评价是否夸大?
•不得恶意炒作或敲诈勒索
• 由哪个部门判断恶意炒作?
• 判断标准?
• 不得发布漏洞利用工具危害网络安全
• PoC算不算?
• EXP算不算?
• 如何界定“菜刀”是杀人还是切菜?
• 同步发布修补或防范措施
•重大活动期间不得发布
• 例外
• 公安部同意
• 如何界定重大活动?
• 地区性国家重大活动算不算?
• 西安十四届全国运动会?
• 不得向网络产品提供者之外境外组织或个人提供未公开的漏洞信息
• 如何界定境外组织?
• 以后发现微软漏洞不能向NVD申报了?
• 漏洞发现者如果是境外人员是否还受限制?
• 香港人发现漏洞告诉香港同事
• 其他法律规定
由工信部备案
•工信部向公安部、网信办通报
工信部
•网络安全威胁和漏洞信息共享平台
公安部
• 国家网络与信息安全信息通报中心漏洞平台
CNCERT
•CNVD
中国信息安全测评中心
•CNNVD
防范漏洞信息
•泄露
•违规发布
未采取漏洞补救或报告措施
•由工信部、公安部处理
•构成《网络安全法》第六十条规定
• 组织
• 5w-50w罚款
• 责任人
• 1w-10w罚款
未采取漏洞修补或防范措施
•由主管部门处理
•构成《网络安全法》第六十条规定
• 一般运营者
• 组织
•1w-10w罚款
•责任人
•5k-5w罚款
• 关基运营者
•组织
•10w-100w罚款
•责任人
•1w-10w罚款
由工信部、公安部处理
构成《网络安全法》第六十条规定
• 组织
• 1w-10w
• 责任人
• 5k-5w
由公安机关处理
尚不构成犯罪
•依《网络安全法》第六十三条规定
• 情节一般
• 没收违法所得
• 5日以下拘留
• 5w-50w罚款
• 情节严重
• 5-15日拘留
• 10w-100w罚款
构成犯罪
•《刑法修正案》(九)
• 非法侵入计算机信息系统罪(刑法第二百八十五条)
• 情节严重
•三年以下有期徒刑
•情节特别严重
•3-7年有期徒刑
• 帮助信息网络犯罪活动罪(《刑法》第二百八十七条之二)
•三年以下有期徒刑
• 罚金
2021年9月1日
