English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务 AG公司主机卫士系统 HGS AG公司数据安全交换系统 DES AG公司视频安全交换系统 VES AG公司安全隔离与信息单向导入系统 SUCS AG公司工控安全审计系统 SAS-ICS AG公司工业安全隔离装置 ISID AG公司工控安全入侵检测系统 IDS-ICS AG公司工控漏洞扫描系统 ICSScan AG公司工业网络安全监测管理平台 NSFOCUS INSP AG公司工业防火墙 ISG AG公司工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营 AG公司云 AG公司云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线盟管家服务维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯北京AG公司公益基金会产品安全软件升级

返回列表

打个样｜如何更好地践行《网络产品安全漏洞管理规定》？

2021-07-15

近日，工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。该《规定》的发布对于安全漏洞的发现、报告、修复、收集等多个行为进行了规范和约束，能够促使网络安全行业更快更健康的发展，同时也说明了国家对于网络安全的重视程度，强调了网络安全的发展和建设应以不损害国家安全为前提，AG公司科技基于网络安全攻防技术研究二十一年的经验，对如何更好地遵守并实践该《规定》整理了自己的理解以飨读者。

《规定》的法律依据

《网络安全法》中，对网络安全产品和网络运营者做了要求，这是《规定》制定依据，细化管理对象的规范要求。

第二十二条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第二十五条　网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《规定》管理对象

《规定》的管理对象包括：网络产品提供者、网络运营者、从事漏洞发现、收集、披露等活动的组织或个人。网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，需要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

AG公司科技的实践

AG公司科技八大实验室之一天机实验室，专注于漏洞挖掘和分析等攻防对抗的研究，同时，AG公司科技面向市场提供的60余款网络安全产品也经过高度严格的安全检查。此二者，都是《规定》中所提到的管理对象，需要满足《规定》之要求。AG公司科技对外发布的威胁信息一直坚持客观、真实、审慎、负责的原则，并且内部有一套成熟的情报生态体系做支撑。我们基于事件和情报的运营体系，以AG公司科技安全运营中心的专家团队为核心，集成了SOAR和威胁情报能力的集成平台，依托遍布全国的安全服务团队，为客户提供准确高效的情报和应急处置服务。

从AG公司科技内部的管理规定和日常要求出发，成立了安全委员会，加强自身产品安全管理，并制订并实施了一系列的工作制度与流程来满足《网络安全法》中对漏洞的要求，也契合《规定》中的细则。

首先，从网络产品提供者角度，AG公司科技成立了PSIRT（产品安全事件响应工作组）小组，专门负责产品安全漏洞的应急处置工作。覆盖公司交付客户的所有软件、硬件和在线服务产品。

图：AG公司科技产品漏洞应急处置流程

其次，AG公司科技制定《AG公司科技内部办公安全管理办法》，全员每年据此做个人安全等级的评测，包括实验室漏洞研究的同事在内的统一要求，明确测试授权、测试报备、测试过程等规定。

对于网站、软件/客户端/设备的扫描、渗透测试授权及漏洞通报，必须遵守以下规定:

A.严格禁止未经目标网站授权直接进行安全测试，以及各种途径的漏洞披露。B.对于客户授权我司对此客户负责或监管的网站/软件/客户端/设备进行的测试，应将测试结果直接通报客户项目联系人，禁止通报其他任何漏洞平台。

C.对于公开征集自身漏洞的网站或厂商，应将测试结果直接通报网站自身的漏洞上报平台。

D.对于通用软件/客户端/设备类对象的测试，应通过合法途径获得，并在本地实验环境下进行测试，测试结果直接通报高级安全研究部总监。

划个重点

《规定》面向网络产品安全漏洞的不同参与方提出了详细要求，需要大家引起重视：

针对网络产品提供者

1) 发现或获知漏洞后，应立即对漏洞进行验证、评估，并通报给存在漏洞的上游产品或组件提供者

2) 2日内将漏洞详情报送至工业和信息化部网络安全威胁和漏洞信息共享平台

3) 及时对漏洞进行修补，将漏洞风险、修补方式告知相关产品用户，并提供必要技术支持

4) 鼓励建立所提供网络产品安全漏洞的上报奖励机制

针对网络运营者

发现或者获知其运营网络产品安全漏洞后，应立即对漏洞进行验证并修补

针对网络产品漏洞发现、收集的组织和个人

1) 不得在网络产品提供者提供漏洞修补措施之前发布漏洞信息，提前发布需由工业和信息化部、公安部组织评估后进行

2) 不得发布网络运营者在用的网络产品漏洞细节

3) 不得刻意夸大漏洞危害和风险、实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动

4) 不得发布或提供专门用于利用漏洞从事危害网络安全活动的程序和工具

5) 在发布漏洞时，应同步发布修补或者防范措施

6) 国家重大活动期间，未经公安部同意，不得擅自发布漏洞信息

7) 不得将未公开漏洞信息向网络产品提供者之外的境外组织或者个人提供

针对网络产品安全漏洞收集平台

需在工业和信息化部备案，由工业和信息化部及时向公安部、国家互联网信息办公室通报，并对通过备案的漏洞收集平台予以公布。

以《网络安全法》为依据，《网络产品安全漏洞管理规定》将会推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平。AG公司科技携手业界同仁，发挥网络安全技术优势，学习和贯彻相关文件，为保障国家网络安全贡献力量。

<<上一篇

攻防论道之保障篇｜克难制胜，攻防对抗之五步保障要领

>>下一篇

敞开大门拥抱合作伙伴 | 2021AG公司科技合作伙伴大会济南站、郑州站圆满结束

✕

您的联系方式

购买热线

提交项目需求

欢迎加入AG公司科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|技术交流

信息安全

网站地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; AG公司书橱; AG公司新闻; 工作机会

如何购买: 提交项目需求; 请求回电; 购买热线

AG公司: 公司总部; 分支机构; 全球分支机构

廉洁建设和举报: 举报说明; 举报奖励; 保障制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld技术嘉年华; 北京AG公司公益基金会; 技术博客; 成功案例

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证68191074号

网站首页 AG公司