【安徽网络安全等级保护网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:400-1021-996
安徽网络安全等级保护网
了解最新等级保护动态及等保资讯
等保资讯
等保资讯 您的位置:首页>等保资讯 >
《网络产品安全漏洞管理规定》解读
时间:2021-07-19阅读量:153来源:转载关键词:网络产品安全漏洞管理规定 返回列表

1.发布单位

工信部、网信办、公安部

2.实施时间

2021年9月1日

3. 目的(第一条)

3.1.规范网络产品安全漏洞

发现、报告、修补、发布

3.2.防范网络安全风险

3.3.根据《网络安全法》制定

4.适用范围(第二条)

4.1.境内的网络产品(含硬件、软件)提供者

4.1.1.对境外的供应商如何管理?

4.1.2.诺基亚交换机进口后有漏洞怎么办?

  • 芬兰诺基亚5G运营商集采会中标

  • 存在歧义

  • 境内到底是修饰网络产品还是提供者

  • 建议不要和网络运营者并列,修改为:在境内使用的网络产品的提供者和境内网络运营者

  • 类似《数据安全法》、可以长臂管辖

  • 境内网络运营者

  • 从事网络产品安全漏洞活动的

组织、个人

5.责任划分(第三条)

5.1. 网信办

5.1.1. 统筹协调

5.2. 工信部

5.2.1.综合管理

5.2.2.电信和互联网行业漏洞监督管理

5.3. 公安部

5.3.1.网络产品漏洞监督管理

5.3.2.打击利用漏洞实施的违法犯罪活动

5.4.有关主管部门

5.4.1.协同配合

5.4.2.漏洞信息共享

5.4.3.联合评估处置

6. 主要内容

6.1. 第四条

6.1.1. 非法行为禁止

  • 任何组织或个人

• 不得非法

• 收集

• 政府监管部门、产品提供者、网络运营者以外第三方组织或企业收集漏洞信息是否一概非法?

• 出售

• 哪些行为是合法出售?

• 发布

• 明知他人利用漏洞危害网络安全

• 不得帮助

•   如何界定明知?

6.2. 第五条

6.2.1.漏洞信息接收渠道

  • 建立健全渠道

  • 留存接收日志6个月

  • 第六条

  • 鼓励组织和个人通报漏洞

  • 知情不报怎么办?

  • 奖励太少不报怎么办?

  • 进行漏洞交易买卖双方是否一概违法?

  • 第七条

  • 产品提供者义务

  • 发现或获知漏洞后

• 立即采取措施验证

• 评估漏洞危害程度和影响范围

•通报上游产品提供者

  • 2日内报工信部漏洞信息共享平台

• 报送格式

• 产品名称

• 型号

• 版本

• 漏洞

•特点

•危害

•影响范围

  • 组织对漏洞进行修补

•  对产品用户或下游厂商提供技术支持

6.4.2. 工信部漏洞共享平台

  • 向国家网络安全通报中心通报

  • 向CNCERT通报

  • 鼓励产品提供者提供漏洞奖励机制

  • 产品提供者长期白piao漏洞怎么办?

  • 产品提供者承诺高额奖励出尔反尔怎么办?

  • 如果对漏洞是否值相应奖励产生争议怎么办?

  • 第八条

  • 网络运营者义务

  • 发现或获知后

•立即采取措施

•及时验证

•及时修补

  • 为什么不鼓励网络运营者也一并提供奖励?

  • 软硬件集成过程中的漏洞是否没有奖励?

  • 第九条

  • 漏洞信息发布管理

  • 发布主体

•从事漏洞发现收集的

• 组织

• 众测平台算不算?

• 个人

  • 发布渠道

• 网络平台

•媒体

•会议

•竞赛

  • 发布原则

•必要

•真实

•客观

•有利于防范风险

  • 要求

•不得提前发布漏洞信息

• 需等产品提供者提供漏洞修补措施后

• 例外

•工信部、公安部评估后可发布

• 不得发布网络运营者在用网络、系统、设备漏洞细节

• 细节如何定义?

•不得夸大漏洞危害风险

• 国内没有CVSS怎么评价是否夸大?

•不得恶意炒作或敲诈勒索

• 由哪个部门判断恶意炒作?

• 判断标准?

• 不得发布漏洞利用工具危害网络安全

• PoC算不算?

• EXP算不算?

• 如何界定“菜刀”是杀人还是切菜?

• 同步发布修补或防范措施

•重大活动期间不得发布

• 例外

• 公安部同意

• 如何界定重大活动?

• 地区性国家重大活动算不算?

• 西安十四届全国运动会?

• 不得向网络产品提供者之外境外组织或个人提供未公开的漏洞信息

• 如何界定境外组织?

• 以后发现微软漏洞不能向NVD申报了?

• 漏洞发现者如果是境外人员是否还受限制?

• 香港人发现漏洞告诉香港同事

• 其他法律规定

6.7. 第十条

6.7.1. 漏洞收集平台备案

  • 由工信部备案

•工信部向公安部、网信办通报

6.7.2.鼓励向4家官方漏洞收集平台报送

  • 工信部

•网络安全威胁和漏洞信息共享平台

  • 公安部

• 国家网络与信息安全信息通报中心漏洞平台

  • CNCERT

•CNVD

  • 中国信息安全测评中心

•CNNVD

6.8. 第十一条

6.8.1.漏洞发现收集组织内部管理

  • 防范漏洞信息

•泄露

•违规发布

6.9.第十二条

6.9.1.产品提供者违规责任

  • 未采取漏洞补救或报告措施

•由工信部、公安部处理

•构成《网络安全法》第六十条规定

• 组织

• 5w-50w罚款

• 责任人

• 1w-10w罚款

6.10.第十三条

6.10.1.  网络运营者违规责任

  • 未采取漏洞修补或防范措施

•由主管部门处理

•构成《网络安全法》第六十条规定

• 一般运营者

• 组织

•1w-10w罚款

•责任人

•5k-5w罚款

• 关基运营者

•组织

•10w-100w罚款

•责任人

•1w-10w罚款

6.11. 第十四条

6.11.1. 违规收集发布漏洞信息

  • 由工信部、公安部处理

  • 构成《网络安全法》第六十条规定

• 组织

• 1w-10w

• 责任人

• 5k-5w

6.12.    第十五条

6.12.1.  违法犯罪

  • 由公安机关处理

  • 尚不构成犯罪

•依《网络安全法》第六十三条规定

• 情节一般

• 没收违法所得

• 5日以下拘留

• 5w-50w罚款

• 情节严重

• 5-15日拘留

• 10w-100w罚款

  • 构成犯罪

•《刑法修正案》(九)

• 非法侵入计算机信息系统罪(刑法第二百八十五条)

• 情节严重

•三年以下有期徒刑

•情节特别严重

•3-7年有期徒刑

• 帮助信息网络犯罪活动罪(《刑法》第二百八十七条之二)

•三年以下有期徒刑

• 罚金

6.13. 第十六条

6.13.1.  实施时间

  • 2021年9月1日


Copyright © 2020-2021 安徽网络安全等级保护网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。