<menuitem id="zjjjr"><em id="zjjjr"></em></menuitem>
      <dfn id="zjjjr"></dfn>

                綠盟

                綠盟科技

                • 基礎設施安全

                  基礎設施安全
                • 數據安全

                  數據安全
                • 云計算安全

                  云計算安全
                • 工控安全

                  工控安全
                • 物聯網安全

                  物聯網安全
                • 信息技術應用創新

                  信息技術應用創新
                • 全部產品

                  全部產品
                • 全部解決方案

                  全部解決方案

                基礎設施安全


                • 政府

                  政府
                • 運營商

                  運營商
                • 金融

                  金融
                • 能源

                  能源
                • 交通

                  交通
                • 企業

                  企業
                • 科教文衛

                  科教文衛

                返回列表

                打個樣|如何更好地踐行《網絡產品安全漏洞管理規定》?

                2021-07-15

                近日,工業和信息化部、國家互聯網信息辦公室、公安部近日聯合印發《網絡產品安全漏洞管理規定》(以下簡稱《規定》)。該《規定》的發布對于安全漏洞的發現、報告、修復、收集等多個行為進行了規范和約束,能夠促使網絡安全行業更快更健康的發展,同時也說明了國家對于網絡安全的重視程度,強調了網絡安全的發展和建設應以不損害國家安全為前提,綠盟科技基于網絡安全攻防技術研究二十一年的經驗,對如何更好地遵守并實踐該《規定》整理了自己的理解以饗讀者。

                《規定》的法律依據

                《網絡安全法》中,對網絡安全產品和網絡運營者做了要求,這是《規定》制定依據,細化管理對象的規范要求。

                 

                第二十二條 網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。

                第二十五條 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。

                 

                《規定》管理對象

                 

                《規定》的管理對象包括:網絡產品提供者、網絡運營者、從事漏洞發現、收集、披露等活動的組織或個人。網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體,需要建立暢通的漏洞信息接收渠道,及時對漏洞進行驗證并完成漏洞修補。對于從事漏洞發現、收集、發布等活動的組織和個人,《規定》明確了其經評估協商后可提前披露產品漏洞、不得發布網絡運營者漏洞細節、同步發布修補防范措施、不得將未公開漏洞提供給產品提供者之外的境外組織或者個人等八項具體要求。

                綠盟科技的實踐

                綠盟科技八大實驗室之一天機實驗室,專注于漏洞挖掘和分析等攻防對抗的研究,同時,綠盟科技面向市場提供的60余款網絡安全產品也經過高度嚴格的安全檢查。此二者,都是《規定》中所提到的管理對象,需要滿足《規定》之要求。綠盟科技對外發布的威脅信息一直堅持客觀、真實、審慎、負責的原則,并且內部有一套成熟的情報生態體系做支撐。我們基于事件和情報的運營體系,以綠盟科技安全運營中心的專家團隊為核心,集成了SOAR和威脅情報能力的集成平臺,依托遍布全國的安全服務團隊,為客戶提供準確高效的情報和應急處置服務。

                從綠盟科技內部的管理規定和日常要求出發,成立了安全委員會,加強自身產品安全管理,并制訂并實施了一系列的工作制度與流程來滿足《網絡安全法》中對漏洞的要求,也契合《規定》中的細則。

                首先,從網絡產品提供者角度,綠盟科技成立了PSIRT(產品安全事件響應工作組)小組,專門負責產品安全漏洞的應急處置工作。覆蓋公司交付客戶的所有軟件、硬件和在線服務產品 。

                 

                圖:綠盟科技產品漏洞應急處置流程

                 

                其次,綠盟科技制定《綠盟科技內部辦公安全管理辦法》,全員每年據此做個人安全等級的評測,包括實驗室漏洞研究的同事在內的統一要求,明確測試授權、測試報備、測試過程等規定。

                 

                對于網站、軟件/客戶端/設備的掃描、滲透測試授權及漏洞通報,必須遵守以下規定:

                A.嚴格禁止未經目標網站授權直接進行安全測試,以及各種途徑的漏洞披露。B.對于客戶授權我司對此客戶負責或監管的網站/軟件/客戶端/設備進行的測試,應將測試結果直接通報客戶項目聯系人,禁止通報其他任何漏洞平臺。

                C.對于公開征集自身漏洞的網站或廠商,應將測試結果直接通報網站自身的漏洞上報平臺。

                D.對于通用軟件/客戶端/設備類對象的測試,應通過合法途徑獲得,并在本地實驗環境下進行測試,測試結果直接通報高級安全研究部總監。

                劃個重點

                《規定》面向網絡產品安全漏洞的不同參與方提出了詳細要求,需要大家引起重視:

                針對網絡產品提供者

                1)    發現或獲知漏洞后,應立即對漏洞進行驗證、評估,并通報給存在漏洞的上游產品或組件提供者

                2)    2日內將漏洞詳情報送至工業和信息化部網絡安全威脅和漏洞信息共享平臺

                3)    及時對漏洞進行修補,將漏洞風險、修補方式告知相關產品用戶,并提供必要技術支持

                4)    鼓勵建立所提供網絡產品安全漏洞的上報獎勵機制

                針對網絡運營者

                發現或者獲知其運營網絡產品安全漏洞后,應立即對漏洞進行驗證并修補

                針對網絡產品漏洞發現、收集的組織和個人

                1)      不得在網絡產品提供者提供漏洞修補措施之前發布漏洞信息,提前發布需由工業和信息化部、公安部組織評估后進行

                2)      不得發布網絡運營者在用的網絡產品漏洞細節

                3)      不得刻意夸大漏洞危害和風險、實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動

                4)      不得發布或提供專門用于利用漏洞從事危害網絡安全活動的程序和工具

                5)      在發布漏洞時,應同步發布修補或者防范措施

                6)      國家重大活動期間,未經公安部同意,不得擅自發布漏洞信息

                7)      不得將未公開漏洞信息向網絡產品提供者之外的境外組織或者個人提供

                針對網絡產品安全漏洞收集平臺

                需在工業和信息化部備案,由工業和信息化部及時向公安部、國家互聯網信息辦公室通報,并對通過備案的漏洞收集平臺予以公布。

                 

                以《網絡安全法》為依據,《網絡產品安全漏洞管理規定》將會推動網絡產品安全漏洞管理工作的制度化、規范化、法治化,提高相關主體漏洞管理水平。綠盟科技攜手業界同仁,發揮網絡安全技術優勢,學習和貫徹相關文件,為保障國家網絡安全貢獻力量。

                <<上一篇

                攻防論道之保障篇|克難制勝,攻防對抗之五步保障要領

                >>下一篇

                敞開大門擁抱合作伙伴 | 2021綠盟科技合作伙伴大會濟南站、鄭州站圓滿結束
                ?

                您的聯系方式

                *姓名
                *單位名稱
                *聯系方式
                *驗證碼
                提交到郵箱

                購買熱線

                • 購買咨詢:

                  400-818-6868-1

                • 服務熱線:

                  010-68438880-5069

                • 投訴專線:

                  010-59610080

                提交項目需求

                歡迎加入綠盟科技,成為我們的合作伙伴!
                • *請描述您的需求
                • *最終客戶名稱
                • *項目名稱
                • 您感興趣的產品
                • 項目預算
                您的聯系方式
                • *姓名
                • *聯系電話
                • *郵箱
                • *職務
                • *公司
                • *城市
                • *行業
                • *驗證碼
                • 提交到郵箱
                微博
                微博

                微博

                微信
                微信

                微信

                B站
                B站

                B站

                抖音
                抖音

                抖音

                視頻號
                視頻號

                視頻號

                服務熱線

                400-818-6868

                服務時間

                7*24小時

                ? 2021 NSFOCUS 綠盟科技 www.nsfocus.com All Rights Reserved . 京公網安備 11010802021605號 京ICP備14004349號 京ICP證110355號

                日本一级婬片A片在线观看视频,日本一级婬片日本高清视频一,日韩AV毛片无码免费,日韩a一级欧美一级