核心解读
1)规范网络产品漏洞的处理和生命周期流程,鼓励企业建立SRC来收集自己的漏洞,或将漏洞提交至国家漏洞平台。其他个人和组织,需要向相关漏洞监管平台提交备案后收集和发布漏洞;
2)提供软件、硬件的厂商,使用软件、硬件的企业如果不及时修复漏洞,厂商和运营者将面临通报和处罚。
责任对象:
1)国内网络产品提供商:软件、硬件。(包括开源项目与产品,云计算、SaaS服务)。
2)网络运营者:是网络所有者、网络服务提供者、网络管理者。
3)从事漏洞的「发现、收集、发布」的组织与个人(白帽子)。
处罚措施(依据网络安全法):
1)网络产品提供商:未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
2)网络运营者:未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
3)违反本规定收集、发布网络产品安全漏洞信息,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
网络产品提供商需知悉本次《规定》的以下要求:
1)鼓励网络产品提供商建立安全漏洞奖励机制(SRC),并向工信部备案。鼓励白帽子、安全组织、安全企业向「四大国家漏洞平台」和「网络产品提供商」报告安全漏洞信息。
2)发现或者获知云厂商的产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
3)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
4)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
5)网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
另外,对于网络运营者的重点要求是,发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
漏洞攻击事件影响我国基础网络设施和重要信息系统的运行安全,给国家政治、经济和社会造成了严重危害。
2020年,阿里云共帮助用户修复超2000万次漏洞,支持全年近百起安全应急响应。
目前应急漏洞功能已应用到云安全中心,并免费提供给云上客户一键检测,累计使用次数420余万次,发现高危漏洞超过500万个。
作为国家信息安全漏洞共享平台(CNVD)的技术单位之一,阿里云安全团队与监管部门一起,实时跟踪安全态势更新漏洞 POC 库,形成漏洞检测、响应、修复的正向循环,为提升社会各界安全防御水平贡献力量。
阿里云安全
国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。
2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。
阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。
作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。