漏洞危机爆发时,企业该做什么?
2021年,相关法律法规的完善极大促进了中国网络安全行业的发展,基于企业稳定运营、安全运营的原则,越来越多的领域投入到企业安全合规的建设中来。但现状是,随着安全建设的不断深入,各项出台的法规、政策并不一定能充分执行到位,这往往为企业和行业的安全发展埋下了隐患。
近日媒体就报道了有关「阿里云被暂停工信部网络安全威胁信息共享平台合作单位」的消息。事件的起因在于,阿里云作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,阿里云最终被工信部暂停作为合作单位6个月。
暂停期满后,再根据阿里云公司整改的情况,研究是否恢复其上述合作单位的资格。
事实上,有关安全漏洞事件,国家有一套详细的法律法规,约束相关企业“尽早申报”,协助相关行业的企事业单位即时“补漏”。 那么,对于网络安全漏洞管理,企业还有哪些硬性要求?FreeBuf和大家一起重温一遍《网络产品安全漏洞管理规定》。
漏洞防范,有规可依
早在2019年,国家工业和信息化部会同有关部门成立专项起草组,研究分析国内外漏洞管理现状,梳理相关漏洞管理需求,形成了初期的《网络产品安全漏洞管理规定》送审稿。几经优化后,终于在2021年9月,正式出台《网络产品安全漏洞管理规定》正式稿,第一次对我国漏洞发现、报告、修补和发布行为进行明确的流程和责任划分,让漏洞防范,有法可循、有规可依。
《网络产品安全漏洞管理规定》源于《网络安全法》,由工业和信息化部、国家互联网信息办公室、公安部联合制定,维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;在规范相关漏洞申报的同时,明确了网络产品提供者、网络产品运营者以及漏洞事件中涉及到发现、收集、发布的组织或个人的责任及义务。
网络产品提供者运营者:早申报早知道
《网络产品安全漏洞管理规定》提出,网络产品提供者和运营者应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
当发现或者获知所提供网络产品存在安全漏洞后,网络产品提供者应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
现在这也是此次阿里云被罚的真正起因。有消息表明,阿里云早在11月24日就已经发现了相关漏洞通报,但它并没有第一时间将漏洞情况上报于工业和信息化部,最终致使国内相关企业单位错过了最佳风险防范的机会。
《规定》同时也明确了在收到漏洞通报后,网络产品提供者和运营者的应对措施。相关产品的提供者和运营者应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
值得一提的是,当发现或者获知其网络、信息系统及其设备存在安全漏洞后,网络运营者应当立即采取措施,及时对安全漏洞进行验证并完成修补。
组织或个人也应即时申报漏洞详情
除去网络产品提供者和运营者外,相关漏洞挖掘组织或个人也应同时遵守《网络产品安全漏洞管理规定》。在《规定》中明确指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
同时,鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
此外,在漏洞发布也有相应的要求,如下:
1. 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况
2. 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。
3. 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
4. 不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
5. 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
6. 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
7. 不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
8. 法律法规的其他相关规定。
切莫踩在违规的红线上
近年来,网络安全漏洞威胁日益严峻,每一次重量级漏洞的爆发往往会在社会上快速传播,不断威胁企业和用户的安全。
《网络产品安全漏洞管理规定》的出台进一步规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;使得漏洞管理工作变的更加制度化、规范化、法治化,对于提升漏洞管理水平,促进网络安全有着重要的作用。
而作为企业、组织和个人,也要认真了解《网络产品安全漏洞管理规定》的具体要求,并参照执行,切莫踩在红线上。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
戴尔BIOS更新后可能导致电脑无法正常启动
据 Bleeping Computer 网站披露,戴尔最近发布的BIOS 更新在多个笔记本电脑和台式机型号上引起严重启动问题,部分用户反映更新后,电脑不能正常启动。 BIOS 更新后,电脑启动出现问题 根据用户在社交媒体平台和戴尔官方社区上反映的信息来看,受影响型号主要包括戴尔 Latitude 笔记本电脑(5320和5520),以及戴尔 Inspiron 5680和 Alienware Aurora R8 台式机。 Dell用户更新BIOS版本(Latitude笔记本电脑的1.14.3版本,Inspiron的2.8.0版本,Aurora R8的1.0.18版本)后,发现更新后的系统会启动,但外围灯和显示器不会打开,当电脑启动时,直接会进入蓝屏,然后会再次关闭。 一位受影响的用户称,将5320BIOS升级到新的1.14.3版本后,笔记本电脑将无法启动。当按下电源按钮时,按钮上的灯会显示10秒左右,然后再次关闭。偶尔整个键盘会亮起来,但笔记本很快就会关机,但有时笔记本会开机并显示“时间未设定--请运行SETUP程序”的错误,当用户按“继续”后,笔记本又会关机。有几次,它启动后,在关机前显...
- 下一篇
海纳数据,领航YB时代:华为发布六大数据存储新品
2021年12月22日,以“海纳数据,领航YB时代”为主题的2021创新数据基础设施论坛拉开帷幕,华为正式发布全新的全闪存存储、混合闪存存储、专用备份存储、分布式存储、超融合+以及数据中心虚拟化等六大数据存储新品与解决方案。同时,在论坛上,华为还现场揭晓了2021年“奥林帕斯奖”获奖名单并发布2022年“奥林帕斯悬红”,奖励在数据存储领域取得突破性贡献的科研工作者。此次论坛由央视新闻和华为共同带来,并由央视新闻新媒体平台进行了全程直播。 华为数据存储与机器视觉产品线总裁周跃峰在直播中表示:“到2030年,全球每年新增数据量将突破1YB量级。有数据的地方要用存储,有存储的地方,一定要用专业存储。企业数字化转型、云、大数据正在深刻改变着全球数据产业,华为将和全球的客户、生态合作伙伴、科研工作者一起持续创新,打造世界领先的数据存储产品和解决方案。” 专业存储设备承载的是千行百业的数据资产,数据不能丢、访问不能停、访问不能等是各行业对专业存储的关键诉求。面向不同数据场景,华为六大数据存储新品将助力行业客户打造更为安全、可靠、高效的数据底座,以及更好的数据存储与使用体验。 华为全新OceanSt...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群