请点击上面　　一键关注！

作者：高级测评师  程晓峰 等保专家编写

1.发布单位

工信部、网信办、公安部

2.实施时间

2021年9月1日

3. 目的（第一条）

3.1.规范网络产品安全漏洞

发现、报告、修补、发布

3.2.防范网络安全风险

3.3.根据《网络安全法》制定

4.适用范围（第二条）

4.1.境内的网络产品（含硬件、软件）提供者

4.1.1.对境外的供应商如何管理？

4.1.2.诺基亚交换机进口后有漏洞怎么办？

• 芬兰诺基亚5G运营商集采会中标

• 存在歧义

• 境内到底是修饰网络产品还是提供者

• 建议不要和网络运营者并列，修改为：在境内使用的网络产品的提供者和境内网络运营者

• 类似《数据安全法》、可以长臂管辖

• 境内网络运营者

• 从事网络产品安全漏洞活动的

组织、个人

5.责任划分（第三条）

5.1. 网信办

5.1.1. 统筹协调

5.2. 工信部

5.2.1.综合管理

5.2.2.电信和互联网行业漏洞监督管理

5.3. 公安部

5.3.1.网络产品漏洞监督管理

5.3.2.打击利用漏洞实施的违法犯罪活动

5.4.有关主管部门

5.4.1.协同配合

5.4.2.漏洞信息共享

5.4.3.联合评估处置

6. 主要内容

6.1. 第四条

6.1.1. 非法行为禁止

• 任何组织或个人

• 不得非法

• 收集

• 政府监管部门、产品提供者、网络运营者以外第三方组织或企业收集漏洞信息是否一概非法？

• 出售

• 哪些行为是合法出售？

• 发布

• 明知他人利用漏洞危害网络安全

• 不得帮助

•   如何界定明知？

6.2. 第五条

6.2.1.漏洞信息接收渠道

• 建立健全渠道

• 留存接收日志6个月

• 第六条

• 鼓励组织和个人通报漏洞

• 知情不报怎么办？

• 奖励太少不报怎么办？

• 进行漏洞交易买卖双方是否一概违法？

• 第七条

• 产品提供者义务

• 发现或获知漏洞后

• 立即采取措施验证

• 评估漏洞危害程度和影响范围

•通报上游产品提供者

• 2日内报工信部漏洞信息共享平台

• 报送格式

• 产品名称

• 型号

• 版本

• 漏洞

•特点

•危害

•影响范围

• 组织对漏洞进行修补

•  对产品用户或下游厂商提供技术支持

6.4.2. 工信部漏洞共享平台

• 向国家网络安全通报中心通报

• 向CNCERT通报

• 鼓励产品提供者提供漏洞奖励机制

• 产品提供者长期白piao漏洞怎么办？

• 产品提供者承诺高额奖励出尔反尔怎么办？

• 如果对漏洞是否值相应奖励产生争议怎么办？

• 第八条

• 网络运营者义务

• 发现或获知后

•立即采取措施

•及时验证

•及时修补

• 为什么不鼓励网络运营者也一并提供奖励？

• 软硬件集成过程中的漏洞是否没有奖励？

• 第九条

• 漏洞信息发布管理

• 发布主体

•从事漏洞发现收集的

• 组织

• 众测平台算不算？

• 个人

• 发布渠道

• 网络平台

•媒体

•会议

•竞赛

• 发布原则

•必要

•真实

•客观

•有利于防范风险

• 要求

•不得提前发布漏洞信息

• 需等产品提供者提供漏洞修补措施后

• 例外

•工信部、公安部评估后可发布

• 不得发布网络运营者在用网络、系统、设备漏洞细节

• 细节如何定义？

•不得夸大漏洞危害风险

• 国内没有CVSS怎么评价是否夸大？

•不得恶意炒作或敲诈勒索

• 由哪个部门判断恶意炒作？

• 判断标准？

• 不得发布漏洞利用工具危害网络安全

• PoC算不算？

• EXP算不算？

• 如何界定“菜刀”是杀人还是切菜？

• 同步发布修补或防范措施

•重大活动期间不得发布

• 例外

• 公安部同意

• 如何界定重大活动？

• 地区性国家重大活动算不算？

• 西安十四届全国运动会？

• 不得向网络产品提供者之外境外组织或个人提供未公开的漏洞信息

• 如何界定境外组织？

• 以后发现微软漏洞不能向NVD申报了？

• 漏洞发现者如果是境外人员是否还受限制？

• 香港人发现漏洞告诉香港同事

• 其他法律规定

6.7. 第十条

6.7.1. 漏洞收集平台备案

• 由工信部备案

•工信部向公安部、网信办通报

6.7.2.鼓励向4家官方漏洞收集平台报送

• 工信部

•网络安全威胁和漏洞信息共享平台

• 公安部

• 国家网络与信息安全信息通报中心漏洞平台

• CNCERT

•CNVD

• 中国信息安全测评中心

•CNNVD

6.8. 第十一条

6.8.1.漏洞发现收集组织内部管理

• 防范漏洞信息

•泄露

•违规发布

6.9.第十二条

6.9.1.产品提供者违规责任

• 未采取漏洞补救或报告措施

•由工信部、公安部处理

•构成《网络安全法》第六十条规定

• 组织

• 5w-50w罚款

• 责任人

• 1w-10w罚款

6.10.第十三条

6.10.1.  网络运营者违规责任

• 未采取漏洞修补或防范措施

•由主管部门处理

•构成《网络安全法》第六十条规定

• 一般运营者

• 组织

•1w-10w罚款

•责任人

•5k-5w罚款

• 关基运营者

•组织

•10w-100w罚款

•责任人

•1w-10w罚款

6.11. 第十四条

6.11.1. 违规收集发布漏洞信息

• 由工信部、公安部处理

• 构成《网络安全法》第六十条规定

• 组织

• 1w-10w

• 责任人

• 5k-5w

6.12.    第十五条

6.12.1.  违法犯罪

• 由公安机关处理

• 尚不构成犯罪

•依《网络安全法》第六十三条规定

• 情节一般

• 没收违法所得

• 5日以下拘留

• 5w-50w罚款

• 情节严重

• 5-15日拘留

• 10w-100w罚款

• 构成犯罪

•《刑法修正案》（九）

• 非法侵入计算机信息系统罪（刑法第二百八十五条）

• 情节严重

•三年以下有期徒刑

•情节特别严重

•3-7年有期徒刑

• 帮助信息网络犯罪活动罪（《刑法》第二百八十七条之二）

•三年以下有期徒刑

• 罚金

6.13. 第十六条

6.13.1.  实施时间

• 2021年9月1日

《网络产品安全漏洞管理规定》思维导图

「天億网络安全」 知识星球 一个网络安全学习的星球！星球主要分享、整理、原创编辑等网络安全相关学习资料，一个真实有料的网络安全学习平台，大家共同学习、共同进步！

知识星球定价：199元/年，（服务时间为一年，自加入日期顺延一年）。

如何加入：扫描下方二维码，扫码付费即可加入。

加入知识星球的同学，请加我微信，拉您进VIP交流群！

朋友都在看

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次？

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院：不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准（下载）

天億网络安全

【欢迎收藏分享到朋友圈，让更多朋友了解网络安全，分享也是一种美德！】

↑↑↑长按图片识别二维码关註↑↑↑

欢迎扫描关注【天億网络安全】公众号，及时了解更多网络安全知识

本文始发于微信公众号（天億网络安全）：《网络产品安全漏洞管理规定》解读