打个样｜如何更好地践行《网络产品安全漏洞管理规定》？

《网络安全法》中，对网络安全产品和网络运营者做了要求，这是《规定》制定依据，细化管理对象的规范要求。

《规定》的管理对象包括：网络产品提供者、网络运营者、从事漏洞发现、收集、披露等活动的组织或个人。网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，需要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者在用系统的漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

绿盟科技八大实验室之一天机实验室，专注于漏洞挖掘和分析等攻防对抗的研究，同时，绿盟科技面向市场提供的60余款网络安全产品也经过高度严格的安全审查。此二者，都是《规定》中所提到的管理对象，需要满足《规定》之要求。绿盟科技对外发布的威胁信息一直坚持客观、真实、审慎、负责的原则，并且内部有一套成熟的情报生态体系做支撑。我们基于事件和情报的运营体系，以绿盟科技安全运营中心的专家团队为核心，集成了SOAR和威胁情报能力的集成平台，依托遍布全国的安全服务团队，为客户提供准确高效的情报和应急处置服务。

从绿盟科技内部的管理规定和日常要求出发，也制订并实施了一系列的工作制度与流程来满足《网络安全法》中对漏洞的要求，也契合《规定》中的细则。

首先，从网络产品提供者角度，绿盟科技成立了PSIRT（产品安全事件响应工作组）小组，专门负责产品安全漏洞的应急处置工作。覆盖公司交付客户的所有软件、硬件和在线服务产品 。

图：绿盟科技产品漏洞应急处置流程

其次，绿盟科技制定《绿盟科技内部办公安全管理办法》，全员每年据此做个人安全等级的评测，包括实验室漏洞研究的同事在内的统一要求，明确测试授权、测试报备、测试过程等规定。

《规定》面向网络产品安全漏洞的不同参与方提出了详细要求，需要大家引起重视：

1) 发现或获知漏洞后，应立即对漏洞进行验证、评估，并通报给存在漏洞的上游产品或组件提供者

2) 2日内将漏洞详情报送至工业和信息化部网络安全威胁和漏洞信息共享平台

3) 及时对漏洞进行修补，将漏洞风险、修补方式告知相关产品用户，并提供必要技术支持

4) 鼓励建立所提供网络产品安全漏洞的上报奖励机制

发现或者获知其运营网络产品安全漏洞后，应立即对漏洞进行验证并修补

1) 不得在网络产品提供者提供漏洞修补措施之前发布漏洞信息，提前发布需由工业和信息化部、公安部组织评估后进行

2) 不得发布网络运营者在用的网络产品漏洞细节

3) 不得刻意夸大漏洞危害和风险、实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动

4) 不得发布或提供专门用于利用漏洞从事危害网络安全活动的程序和工具

5) 在发布漏洞时，应同步发布修补或者防范措施

6) 国家重大活动期间，未经公安部同意，不得擅自发布漏洞信息

7) 不得将未公开漏洞信息向网络产品提供者之外的境外组织或者个人提供

需在工业和信息化部备案，由工业和信息化部及时向公安部、国家互联网信息办公室通报，并对通过备案的漏洞收集平台予以公布。