2021年9月1日起,由工业和信息化部、国家互联 信息办公室、公安部三部门联合印发的《 络产品安全漏洞管理规定》(以下简称“规定”)施行。规定的施行可进一步规范 络产品漏洞发现、 告、修补和发布等行为,防范 络安全风险。
一·《 络产品安全漏洞管理规定》出台的目的和意义
没有 络安全就没有国家安全!为了维护国家 络安全,根据《中华人民共和国 络安全法》关于漏洞管理有关要求,三部门联合制定了“规定”,“规定”的出台将推动 络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序的漏洞收集和发布渠道,防范 络安全重大风险,保障国家 络安全。
二·《 络产品安全漏洞管理规定》的要求和责任
《 络产品漏洞管理规定》共16条,针对 络产品提供者、 络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人,提出漏洞发现、 告、修补、发现等方面的规范要求。
三项管理职责及分工
国家互联 信息办公室:负责统筹协调 络产品安全漏洞管理工作。
工业和信息化部:负责 络产品安全漏洞综合管理,承担电信和互联 行业 络产品安全漏洞监督管理。
公安部:负责 络产品安全漏洞监督管理,依法打击利用 络产品安全漏洞实施的违法犯罪活动。
三类责任主体
络产品(含硬件、软件)提供者。
络运营者。
从事 络产品安全漏洞发现、收集、发布等活动的组织或者个人。
三项活动不得从事
任何组织或者个人不得利用 络产品安全漏洞从事危害 络安全的活动。
不得非法收集、出售、发布 络产品安全漏洞信息。
明知他人利用 络产品安全漏洞从事危害 络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
三类责任主体管理要求
● 络产品提供者
接收:应当建立健全 络产品安全漏洞信息接收渠道并保持畅通,留存 络产品安全漏洞信息接收日志不少于6个月。
发现或者获知所提供 络产品存在安全漏洞后:
验证:应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
送:应当在2日内向工业和信息化部 络安全威胁和漏洞信息共享平台 送相关漏洞信息。
修补:应当及时组织对 络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将 络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
同步:工业和信息化部 络安全威胁和漏洞信息共享平台同步向国家 络与信息安全信息通 中心、国家计算机 络应急技术处理协调中心通 相关漏洞信息。
鼓励:鼓励 络产品提供者建立所提供 络产品安全漏洞奖励机制,对发现并通 所提供 络产品安全漏洞的组织或者个人给予奖励。
● 络运营者
接收:应当建立健全 络产品安全漏洞信息接收渠道并保持畅通,留存 络产品安全漏洞信息接收日志不少于6个月。
修补:发现或者获知其 络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
●任何组织和个人
备案:任何组织或者个人设立的 络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联 信息办公室通 相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励:鼓励发现 络产品安全漏洞的组织或者个人向工业和信息化部 络安全威胁和漏洞信息共享平台、国家 络与信息安全信息通 中心漏洞平台、国家计算机 络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库 送 络产品安全漏洞信息。
八项漏洞发布要求
1. 不得在 络产品提供者提供 络产品安全漏洞修补措施之前发布漏洞信息。
2. 不得发布 络运营者在用的 络、信息系统及其设备存在安全漏洞的细节情况。
3. 不得刻意夸大 络产品安全漏洞的危害和风险,不得利用 络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
4. 不得发布或者提供专门用于利用 络产品安全漏洞从事危害 络安全活动的程序和工具。
5. 在发布 络产品安全漏洞时,应当同步发布修补或者防范措施。
6. 在国家举办重大活动期间,未经公安部同意,不得擅自发布 络产品安全漏洞信息。
7. 不得将未公开的 络产品安全漏洞信息向 络产品提供者之外的境外组织或者个人提供。
8. 法律法规的其他相关规定。
从事 络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范 络产品安全漏洞信息泄露和违规发布。
相关罚则
1、 络产品提供者未按本规定采取 络产品安全漏洞补救或者 告措施的,由工业和信息化部、公安部依据各自职责依法处理。
2、 络运营者未按本规定采取 络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理。
3、违反本规定收集、发布 络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理。
4、利用 络产品安全漏洞从事危害 络安全活动,或者为他人利用 络产品安全漏洞从事危害 络安全的活动提供技术支持的,由公安机关依法处理。
三·梆梆安全移动应用产品漏洞全流程解决方案
“规定”的发布,对 络产品(Android和iOS等移动应用)的漏洞治理提出了更严格的管理要求,如何及时发现移动应用产品存在的漏洞?如何验证漏洞真实性、重要性和影响范围?如何采取有效的修补措施?如何责任到人?如何对漏洞进行有效管理?这些都将给 络产品的提供者和运营者的工作带来一定挑战,同时也要考虑到在开发过程中尽可能检测、修复、降低漏洞的数量,实现安全左移,降低后期因安全漏洞带来的修复成本和其它损失。
移动应用产品的漏洞,贯穿了移动应用产品的产生直到 废的全生命周期,如何在移动应用产品生命周期的最开始就对移动应用产品的漏洞进行检测、修复、管理,直到 废,是所有开发者和运营者都极为关心和需要考虑的事情。
当信息安全越来越被软件开发管理人员所重视, 而从源头开始控制安全问题的发生,把安全问题融入 SDLC (Software Development Life Cycle,软件生命周期)过程也成为信息安全行业的共识。建立企业的软件开发生命周期安全,是以企业业务目标及软件开发目标为基础,从管理层面,流程层面、控制点层面及软件自动化层面,以体系化的思路来落地软件开发过程的安全。
梆梆安全对于移动应用的S-SDLC体系建设的核心聚焦在流程制度设定、工具支撑,培训支持等方面。采用小步快跑,持续集成的思路来做,避免以大统建的思维模式来僵化执行。通过建立通用安全标准和基于业务场景分类的安全等级标准,同时遵循行业监管的安全标准,把标准渗透到移动应用S-SDLC 的每个环节,用标准来驱动和考核过程,量化安全建设的成果。
基于安全框架, 移动应用S-SDLC帮助企业在以下环节构建体系流程,并通过软件平台实现流程及管理控制的自动化与整合。
管理层面
1) S-SDLC 安全标准系列
2) S-SDLC 安全管理流程
安全知识库
1) 基于金融行业特定场景的威胁建模库
2) 安全需求库
3) 安全设计规范库
4) 安全组件库
5) 安全测试用例库
6) 安全培训课程库
S-SDLC 自动化
1) 基于 S-SDLC 的安全管理控制平台
2) 软件安全自动化测试工具集
3) 安全平台-软件开发平台对接整合
最终,梆梆安全根据相关的监管规定、 行业规范和最佳实践, 针对 Web、Android、 iOS 不同平台制定详细且全面的安全框架。通过S-SDLC,来实现符合客户实际情况的 络产品建设和管理体系。
四·保障移动互联 APP产品安全漏洞管理
2021年8月26日,由中国电子信息产业发展研究院和中国软件评测中心主办、北京梆梆安全科技有限公司等单位承办的“工业和信息化部移动互联 APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式”于北京成功举办。本次活动为贯彻落实《 络产品安全漏洞管理规定》相关要求,旨在提高 络产品安全漏洞管理水平,推动移动互联 APP产品安全漏洞管理工作的制度化、规范化、法治化发展。
发布会上举行了工业和信息化部移动互联 产品漏洞库特设工作组成立及授牌仪式,凭借移动安全和物联 安全行业领先的技术实力,梆梆安全成为工业和信息化部移动互联 产品漏洞库特设工作组支撑单位。
移动互联 产品漏洞库的发布意味着移动APP相关漏洞收集、认证、修补和发布等全生命周期管理规范化、统一化。梆梆安全将依托于自身在移动安全领域丰富的技术积累,推动移动APP产品安全漏洞管理工作的发展,为保障移动互联 APP产品安全漏洞管理工作健康可持续发展,构建协同联动普惠共享的生态圈贡献专业安全力量。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!