工信部7月13日公告，工信部、國家互聯網信息辦公室、公安部發(fā)布通知，公布《網絡產品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》），自2021年9月1日起施行。

簡讀《網絡產品安全漏洞管理規(guī)定》

《規(guī)定》要求任何組織和個人不得利用網絡產品安全漏洞從事危害網絡安全的活動，不得非法收集、出售、發(fā)布網絡產品安全漏洞信息；明知他人利用網絡產品安全漏洞從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。

《規(guī)定》明確了網絡產品提供者、網絡運營者和網絡產品安全漏洞收集平臺應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通，留存網絡產品安全漏洞信息接收日志不少于6個月。網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發(fā)布，并指導支持產品用戶采取防范措施:

（一）發(fā)現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。

（二）應當在2日內向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。

（三）應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶（含下游廠商）采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

同時，《規(guī)定》還對漏洞報送的具體時限進行要求。對于從事漏洞發(fā)現、收集、發(fā)布等活動的組織和個人，《規(guī)定》規(guī)范了網絡產品安全漏洞發(fā)現、報告、修補和發(fā)布等行為，可有效防范網絡安全風險。

工信部還表示，近年來，不少專業(yè)機構、企業(yè)和社會組織等建立了從事漏洞發(fā)現和收集的漏洞收集平臺，在實際工作中部分漏洞收集平臺也暴露出內部運營不規(guī)范、擅自發(fā)布漏洞等問題，亟需加強管理。為此，《規(guī)定》明確對漏洞收集平臺實行備案管理，由工業(yè)和信息化部對通過備案的漏洞收集平臺予以公布，并要求漏洞收集平臺采取措施防范漏洞信息泄露和違規(guī)發(fā)布。

一圖了解《網絡產品安全漏洞管理規(guī)定》

當前，網絡安全形勢日趨嚴峻，漏洞規(guī)范化管理已成為網絡安全防御中不可或缺的關鍵。普一科技作為深耕網絡安全的科技型企業(yè)，我們致力為各類政企提供業(yè)務、資產、漏洞安全等安全解決方案，專業(yè)的安全團隊為企業(yè)提供7*24小時安全漏洞管理技術。