为加强网络漏洞管理,工业和信息化部于2019年6月18日发布《网络安全漏洞管理规定(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见,意见反馈截止时间为2019年7月18日。
纵览全文,《征求意见稿》是对《网络安全法》第二十二条第一款“网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”以及第二十六条“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”的进一步细化与落实。相较于全国信息安全标准化技术委员会于2018年12月发布的国家标准《信息安全技术网络安全漏洞管理规范(征求意见稿)》(以下简称“《漏洞管理规范》”),《征求意见稿》系统地规定了网络产品、服务、系统的网络安全漏洞验证、修补、防范、报告和信息发布等行为,并对第三方组织和个人报送、披露漏洞信息提出了更为明确具体的要求。但《征求意见稿》没有对漏洞的发现和接收作出具体的规定,关于漏洞发现和接收行为的操作还是需要依据《信息安全技术网络安全漏洞管理规范》等相关规定进行。
依据《漏洞管理规范》,网络安全漏洞全生命周期的管理包括漏洞发现、漏洞接收、漏洞验证、漏洞处置、漏洞发布等多个环节。具体如下图所示:
《征求意见稿》在第二条明确其规制对象为中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,基本囊括了网络安全漏洞发现、接受、验证、处置和发布的各类主体。根据主体身份的不同,《征求意见稿》重点规定了各主体从漏洞接收到漏洞发布之间各个环节应采取的主要措施。
01 网络产品、服务提供者和网络运营者的漏洞管理要求
(一)漏洞验证与修补、防范义务
《征求意见稿》要求网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,立即对漏洞进行验证。对于相关网络产品,应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施。
对于漏洞的验证,《征求意见稿》明确了《漏洞管理规范》5.3.1(a)“应按国家相关要求在规定的时间内对漏洞信息进行技术验证、确认和反馈”的要求,网络产品、服务提供者和网络运营者发现或获知漏洞后,应当立即对漏洞进行验证。如果漏洞涉及其他厂商或网络运营者,也应及时通知相关厂商或网络运营者共同进行验证。
对于漏洞的修补与防范,《征求意见稿》针对网络产品和服务、系统的不同特质(包括硬件产品修补的复杂程度、产品召回、厂商实地查看耗时等)设定了相应的时间范围。结合《漏洞管理规范》,网络运营者在对漏洞进行修补或部署防范措施前,应制定明确的漏洞处置方案及回退方案,避免影响用户的正常使用。值得注意的是,网络运营者应当在规定的时间内,即网络产品的修补与防范在90日内,服务或系统的修补与防范在10日内完成。上述日期的起始时间点为发现或者获知漏洞存在时。
(二)漏洞的发布、告知与报送义务
《征求意见稿》第三条第二款明确规定了网络产品、服务提供者和网络运营者的漏洞发布、告知与报送义务。
首先,需要用户或相关技术合作方采取漏洞修补或防范措施的,网络产品、服务提供者和网络运营者应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方。对于无需用户或相关技术合作方采取漏洞修补或防范措施的情形,《征求意见稿》并未规定,但网络产品、服务提供者和网络运营者不可就此认为可以不向社会或用户发布,或由此限制第三方组织或个人向社会发布网络安全漏洞信息。根据《网络安全法》第二十二条第一款:网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。因此,即使不存在“需要用户或相关技术合作方采取漏洞修补或防范措施”等情形,网络产品、服务提供者和网络运营者也需要向用户告知网络安全漏洞信息,但在告知时间上应不受《征求意见稿》第三条的限制。其次,网络产品、服务提供者和网络运营者应当为用户和相关技术合作方提供必要的技术支持,包括但不限于补丁升级、软件版本升级等。
最后,网络产品、服务提供者和网络运营者须向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。《征求意见稿》对于报送流程与相关的漏洞情况并未详细说明,有待《信息安全技术网络安全漏洞发现与报告管理指南》的进一步细化。当前,结合《漏洞管理规范》5.5.3中漏洞信息发布内容的列举,通常包括漏洞类型、危害等级及其他相关参考信息,可报考影响范围、补救措施、缓解建议和警告信息等。
02 第三方组织或个人发布漏洞信息要求
为打击随意发布漏洞信息的行为,《征求意见稿》要求第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。
(一)“三不得”+“一同步”
《征求意见稿》沿用《漏洞管理规范》5.5的相关规定,对第三方组织或个人向社会发布漏洞信息提出了具体要求,这也是《网络安全法》第二十六条的进一步细化:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。主要要求有以下四点:
第一,发布时间的要求,第三方组织或个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。
第二,发布真实性的要求,第三方组织或个人不得刻意夸大漏洞的危害和风险。结合《漏洞管理规范》5.5.1(b)与《中国互联网协会漏洞信息披露和处置自律公约》第十一条客观披露原则,对漏洞信息涉及的目标对象、风险情况的描述不应出现重大偏差,要注重区分漏洞风险和攻击事件,对漏洞可导致的潜在风险不能作为网络攻击事件进行披露和引导,以免引起媒体舆论和社会公众的误读和恐慌。
第三,发布内容的要求,第三方组织或个人不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。
第四,第三方组织或个人应当同步发布漏洞修补或防范措施。该要求意味着在第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息的同时,漏洞修补或防范措施需要与漏洞消息一同发布。
(二)第三方组织的内部管理义务
《漏洞管理规范》5.5.1(d)明确要求漏洞相关组织应建立漏洞发布内部审核机制,防范漏洞信息泄露和内部人员违规发布漏洞信息。《征求意见稿》第七条对此标准进行了重申,并进一步提出了第三方组织的五项内部管理义务,为相关组织的内部合规操作提供了参考依据。具体包括:明确漏洞管理部门和责任人、建立漏洞信息发布内部审核机制、采取防范漏洞信息泄露的必要措施、定期对内部人员进行保密教育以及制定内部问责制度。
03 法律责任
(一)网络产品、服务提供者和网络运营者的法律责任
《征求意见稿》第八条规定,网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的,由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。
网络产品、服务提供者和网络运营者未承担《征求意见稿》所设置的采取漏洞修补或防范措施并向社会或用户发布的义务所面临的行政风险。
一般情节 | 拒不改正或者导致危害网络安全等后果的 | ||
一般网络运营者 | 约谈 | 由有关主管部门责令改正,给予警告 | 处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 |
关键信息基础设施运营者 | 处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款 | ||
同时存在违反《网络安全法》第二十二条第一款、第二款或第四十八条第一款规定情形的 | / | 处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款 | |
(二)第三方组织的法律责任
第三方组织违反本规定向社会发布漏洞信息,由工业和信息化部、公安部等有关部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。
第三方组织违反《征求意见稿》向社会发布漏洞信息所面临的行政风险:
一般情节 | 约谈 |
由有关主管部门责令改正,给予警告 | |
拒不改正或者情节严重的 | 处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款 |
同时存在从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助等行为但尚不构成犯罪的 | ① 由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款; ② 单位有前述行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照第①点规定处罚; ③ 违反《网络安全法》第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作 |
有前述行为且情节较重的 | ① 处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款; ② 单位有前述行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照第①点规定处罚 |
04 结语
作为规范性文件,《征求意见稿》在网络安全漏洞的验证、修补、防范、报送和披露等各个环节为网络产品、服务提供者与网络运营者以及第三方组织或个人设定了不同的义务,相关主体应严格履行各项义务,尤其注意其中的流程与时间节点。
虽然《征求意见稿》尚处于意见征求阶段,具体实施时间有待正式文件的出台。但是应当注意的是,《征求意见稿》自印发之日起施行,中间并未设置过渡时间,是故相关主体须及时关注相应规定与标准的出台,提前做好漏洞管理合规准备。
