漏洞危機(jī)爆發(fā)時,企業(yè)該做什么?
2021年,相關(guān)法律法規(guī)的完善極大促進(jìn)了中國網(wǎng)絡(luò)安全行業(yè)的發(fā)展,基于企業(yè)穩(wěn)定運(yùn)營、安全運(yùn)營的原則,越來越多的領(lǐng)域投入到企業(yè)安全合規(guī)的建設(shè)中來。但現(xiàn)狀是,隨著安全建設(shè)的不斷深入,各項(xiàng)出臺的法規(guī)、政策并不一定能充分執(zhí)行到位,這往往為企業(yè)和行業(yè)的安全發(fā)展埋下了隱患。
近日媒體就報(bào)道了有關(guān)「阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位」的消息。事件的起因在于,阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位,在發(fā)現(xiàn)阿帕奇Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報(bào)告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此,阿里云最終被工信部暫停作為合作單位6個月。
暫停期滿后,再根據(jù)阿里云公司整改的情況,研究是否恢復(fù)其上述合作單位的資格。
事實(shí)上,有關(guān)安全漏洞事件,國家有一套詳細(xì)的法律法規(guī),約束相關(guān)企業(yè)“盡早申報(bào)”,協(xié)助相關(guān)行業(yè)的企事業(yè)單位即時“補(bǔ)漏”。 那么,對于網(wǎng)絡(luò)安全漏洞管理,企業(yè)還有哪些硬性要求?FreeBuf和大家一起重溫一遍《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。
漏洞防范,有規(guī)可依
早在2019年,國家工業(yè)和信息化部會同有關(guān)部門成立專項(xiàng)起草組,研究分析國內(nèi)外漏洞管理現(xiàn)狀,梳理相關(guān)漏洞管理需求,形成了初期的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》送審稿。幾經(jīng)優(yōu)化后,終于在2021年9月,正式出臺《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式稿,第一次對我國漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布行為進(jìn)行明確的流程和責(zé)任劃分,讓漏洞防范,有法可循、有規(guī)可依。
《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》源于《網(wǎng)絡(luò)安全法》,由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合制定,維護(hù)國家網(wǎng)絡(luò)安全,保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行;在規(guī)范相關(guān)漏洞申報(bào)的同時,明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)產(chǎn)品運(yùn)營者以及漏洞事件中涉及到發(fā)現(xiàn)、收集、發(fā)布的組織或個人的責(zé)任及義務(wù)。
網(wǎng)絡(luò)產(chǎn)品提供者運(yùn)營者:早申報(bào)早知道
《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》提出,網(wǎng)絡(luò)產(chǎn)品提供者和運(yùn)營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道并保持暢通,留存網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收日志不少于6個月。
當(dāng)發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗(yàn)證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。同時應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息。
現(xiàn)在這也是此次阿里云被罰的真正起因。有消息表明,阿里云早在11月24日就已經(jīng)發(fā)現(xiàn)了相關(guān)漏洞通報(bào),但它并沒有第一時間將漏洞情況上報(bào)于工業(yè)和信息化部,最終致使國內(nèi)相關(guān)企業(yè)單位錯過了最佳風(fēng)險(xiǎn)防范的機(jī)會。
《規(guī)定》同時也明確了在收到漏洞通報(bào)后,網(wǎng)絡(luò)產(chǎn)品提供者和運(yùn)營者的應(yīng)對措施。相關(guān)產(chǎn)品的提供者和運(yùn)營者應(yīng)當(dāng)及時組織對網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ),對于需要產(chǎn)品用戶(含下游廠商)采取軟件、固件升級等措施的,應(yīng)當(dāng)及時將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶,并提供必要的技術(shù)支持。
值得一提的是,當(dāng)發(fā)現(xiàn)或者獲知其網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞后,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)立即采取措施,及時對安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。
組織或個人也應(yīng)即時申報(bào)漏洞詳情
除去網(wǎng)絡(luò)產(chǎn)品提供者和運(yùn)營者外,相關(guān)漏洞挖掘組織或個人也應(yīng)同時遵守《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。在《規(guī)定》中明確指出,任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺,應(yīng)當(dāng)向工業(yè)和信息化部備案。工業(yè)和信息化部及時向公安部、國家互聯(lián)網(wǎng)信息辦公室通報(bào)相關(guān)漏洞收集平臺,并對通過備案的漏洞收集平臺予以公布。
同時,鼓勵發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心漏洞平臺、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心漏洞平臺、中國信息安全測評中心漏洞庫報(bào)送網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
此外,在漏洞發(fā)布也有相應(yīng)的要求,如下:
1. 不得發(fā)布網(wǎng)絡(luò)運(yùn)營者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況
2. 不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息。
3. 不得發(fā)布或者提供專門用于利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動的程序和工具。
4. 不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn),不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙、敲詐勒索等違法犯罪活動。
5. 在國家舉辦重大活動期間,未經(jīng)公安部同意,不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
6. 在發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞時,應(yīng)當(dāng)同步發(fā)布修補(bǔ)或者防范措施。
7. 不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供。
8. 法律法規(guī)的其他相關(guān)規(guī)定。
切莫踩在違規(guī)的紅線上
近年來,網(wǎng)絡(luò)安全漏洞威脅日益嚴(yán)峻,每一次重量級漏洞的爆發(fā)往往會在社會上快速傳播,不斷威脅企業(yè)和用戶的安全。
《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的出臺進(jìn)一步規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為,明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者、以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人等各類主體的責(zé)任和義務(wù);使得漏洞管理工作變的更加制度化、規(guī)范化、法治化,對于提升漏洞管理水平,促進(jìn)網(wǎng)絡(luò)安全有著重要的作用。
而作為企業(yè)、組織和個人,也要認(rèn)真了解《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的具體要求,并參照執(zhí)行,切莫踩在紅線上。
