NOVASEC对于漏洞管理规定的分析与响应

admin 2021年12月24日07:29:07安全闲碎评论93 views3466字阅读11分33秒阅读模式

NOVASEC对于漏洞管理规定的分析与响应


△△△点击上方“蓝字”关注我们了解更多精彩




0x00 前言

2021年7月12日,《网络产品安全漏洞管理规定》予以发布
2021年9月01日网络产品安全漏洞管理规定》正式施行

此规定对广大安全从业者的都存在深远的影响,成功从根源阻断了国内安全问题的扩散。

对安全博客与论坛的运营者还有更多的要求,逐条分析《规定》以公众号运营的范围界限。

PS:这不是提交任何意见就能够解决的问题,随遇而安。
PS:以下个人观点,不做任何参考。





0x01 规定影响内容

规定影响范围:

漏洞发现到处理过程中的所有人员。

规定影响内容:

1、依法打击利用产品漏洞实施的违法犯罪活动。2、不得利用漏洞危害网络安全、实施恶意炒作和违法犯罪活动。3、不得为违法活动提供技术支持、广告推广、支付结算等帮助。4、不得非法收集、出售、发布漏洞信息

对网络安全从业者的影响
1、鼓励组织和个人发现和提交漏洞2、漏洞修补措施发布之前不允许直接发布漏洞信息,3、不允许直接发布在用网络、信息系统及设备漏洞细节5、发布漏洞必要真实客观、以防御作为目的,不得夸大漏洞危害和风险。5、重大活动期间,未经公安部同意,不得发布漏洞信息。6、不得发布提供专门用于利用产品漏洞的程序和工具。7、不允许将未公开的漏洞向境外组织或者个人提供。

对网络产品提供者的影响
1、健全漏洞信息接收渠道,鼓励建立漏洞奖励机制2、及时验证、评估、上报、修复漏洞。

对网络漏洞收集者的影响
1、漏洞收集平台应备案.2、鼓励漏洞收集平台向组织报送漏洞信息。3、漏洞发现收集组织应该防范漏洞信息泄露和违规发布


具体规定请查看附录。





0x02 公众号行为规范及影响

由上述总结,逐步总结出公众号后续限制发布内容。
1、不再发布任何漏洞信息细节。可能允许在组织发布漏洞信息后,发布相关漏洞概述和危害通知。
2、不再发布产品漏洞利用工具。可能发布常规漏洞挖掘工具和漏洞验证工具,如sqlmap等。
3、主要发布技术学习、实战技巧类型文章。

规定实施后的安全从业者短期影响:

1、SRC平台产品增多,SRC从业人员收益会有所增加。
2、渗透测试过程中无公开漏洞库可用,人员逐步实现两极分化。
3、安全个人需要提升漏洞挖掘能力,全团队需要培养漏洞挖掘、工具开发部门,否则只能进行从事安全服务。



0x03 附录:网络产品安全漏洞管理规定

第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。


第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。


第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。

有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。


第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。



第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。


第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。


第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。



第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。


第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。


第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。


第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。


第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。


第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。


第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。



第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。



第十六条 本规定自2021年9月1日起施行。





1、本团队任何实战都是已授权的、任何技术及工具也仅用于学习分享,请勿用于任何非法、违法活动,如有违背请自行承担后果,感谢大家的支持!!!


2、本团队一贯秉承Free共享的精神,但是也有大家的小愿望,因此本团队所有分享工具,严禁不经过授权的公开分享,被关注就是对我们付出的精力做的最大的支持。


END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

NOVASEC对于漏洞管理规定的分析与响应

或添加NOVASEC-MOYU 以便于及时回复。

NOVASEC对于漏洞管理规定的分析与响应


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!



本文始发于微信公众号(NOVASEC):NOVASEC对于漏洞管理规定的分析与响应

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月24日07:29:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  NOVASEC对于漏洞管理规定的分析与响应 http://cn-sec.com/archives/491219.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: