漏洞危機爆發時,企業該做什么?
2021年,相關法律法規的完善極大促進了中國網絡安全行業的發展,基于企業穩定運營、安全運營的原則,越來越多的領域投入到企業安全合規的建設中來。但現狀是,隨著安全建設的不斷深入,各項出臺的法規、政策并不一定能充分執行到位,這往往為企業和行業的安全發展埋下了隱患。
近日媒體就報道了有關「阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位」的消息。事件的起因在于,阿里云作為工信部網絡安全威脅信息共享平臺合作單位,在發現阿帕奇Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。因此,阿里云最終被工信部暫停作為合作單位6個月。
暫停期滿后,再根據阿里云公司整改的情況,研究是否恢復其上述合作單位的資格。
事實上,有關安全漏洞事件,國家有一套詳細的法律法規,約束相關企業“盡早申報”,協助相關行業的企事業單位即時“補漏”。 那么,對于網絡安全漏洞管理,企業還有哪些硬性要求?FreeBuf和大家一起重溫一遍《網絡產品安全漏洞管理規定》。
漏洞防范,有規可依
早在2019年,國家工業和信息化部會同有關部門成立專項起草組,研究分析國內外漏洞管理現狀,梳理相關漏洞管理需求,形成了初期的《網絡產品安全漏洞管理規定》送審稿。幾經優化后,終于在2021年9月,正式出臺《網絡產品安全漏洞管理規定》正式稿,第一次對我國漏洞發現、報告、修補和發布行為進行明確的流程和責任劃分,讓漏洞防范,有法可循、有規可依。
《網絡產品安全漏洞管理規定》源于《網絡安全法》,由工業和信息化部、國家互聯網信息辦公室、公安部聯合制定,維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行;在規范相關漏洞申報的同時,明確了網絡產品提供者、網絡產品運營者以及漏洞事件中涉及到發現、收集、發布的組織或個人的責任及義務。
網絡產品提供者運營者:早申報早知道
《網絡產品安全漏洞管理規定》提出,網絡產品提供者和運營者應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通,留存網絡產品安全漏洞信息接收日志不少于6個月。
當發現或者獲知所提供網絡產品存在安全漏洞后,網絡產品提供者應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。同時應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
現在這也是此次阿里云被罰的真正起因。有消息表明,阿里云早在11月24日就已經發現了相關漏洞通報,但它并沒有第一時間將漏洞情況上報于工業和信息化部,最終致使國內相關企業單位錯過了最佳風險防范的機會。
《規定》同時也明確了在收到漏洞通報后,網絡產品提供者和運營者的應對措施。相關產品的提供者和運營者應當及時組織對網絡產品安全漏洞進行修補,對于需要產品用戶(含下游廠商)采取軟件、固件升級等措施的,應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶,并提供必要的技術支持。
值得一提的是,當發現或者獲知其網絡、信息系統及其設備存在安全漏洞后,網絡運營者應當立即采取措施,及時對安全漏洞進行驗證并完成修補。
組織或個人也應即時申報漏洞詳情
除去網絡產品提供者和運營者外,相關漏洞挖掘組織或個人也應同時遵守《網絡產品安全漏洞管理規定》。在《規定》中明確指出,任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業和信息化部備案。工業和信息化部及時向公安部、國家互聯網信息辦公室通報相關漏洞收集平臺,并對通過備案的漏洞收集平臺予以公布。
同時,鼓勵發現網絡產品安全漏洞的組織或者個人向工業和信息化部網絡安全威脅和漏洞信息共享平臺、國家網絡與信息安全信息通報中心漏洞平臺、國家計算機網絡應急技術處理協調中心漏洞平臺、中國信息安全測評中心漏洞庫報送網絡產品安全漏洞信息。
此外,在漏洞發布也有相應的要求,如下:
1. 不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況
2. 不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發布漏洞信息。
3. 不得發布或者提供專門用于利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具。
4. 不得刻意夸大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。
5. 在國家舉辦重大活動期間,未經公安部同意,不得擅自發布網絡產品安全漏洞信息。
6. 在發布網絡產品安全漏洞時,應當同步發布修補或者防范措施。
7. 不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。
8. 法律法規的其他相關規定。
切莫踩在違規的紅線上
近年來,網絡安全漏洞威脅日益嚴峻,每一次重量級漏洞的爆發往往會在社會上快速傳播,不斷威脅企業和用戶的安全。
《網絡產品安全漏洞管理規定》的出臺進一步規范漏洞發現、報告、修補和發布等行為,明確網絡產品提供者、網絡運營者、以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務;使得漏洞管理工作變的更加制度化、規范化、法治化,對于提升漏洞管理水平,促進網絡安全有著重要的作用。
而作為企業、組織和個人,也要認真了解《網絡產品安全漏洞管理規定》的具體要求,并參照執行,切莫踩在紅線上。
