互联网大漏洞(互联网漏洞管理办法)
1、2021年12月17日,中国工业和信息化部,“工信部”,网络安全管理局,“网安局”,发布《关于阿帕奇42组件重大安全漏洞的网络安全风险提示》,指出公司发现阿帕奇42组件存在远程代码执行漏洞,“阿帕奇漏洞”,并已通报阿帕奇软件基金会,网安局相应发布风险预警。“阿帕奇事件”,
2、平台[1]接到关于阿帕奇漏洞的报告后,采取了一连串行动,包括组织风险分析和研判、通报督促阿帕奇软件基金会及时修补,向行业单位预警风险;并在12月22日对《工业和信息化领域数据安全风险信息报送与共享工作指引,试行,征求意见稿,》公开征求意见。网传该公司在2021年11月24日已将阿帕奇安全漏洞通报给了阿帕奇软件基金会,而延迟至2021年12月9日方才向工信部指定渠道上报,工信部于2021年12月22日对公司作出暂停合作单位身份6个月的处理。该则传闻暂未能找到相应的工信部官方公开发布消息,本文暂不进行讨论。但是,如果网络产品提供者、网络运营者等发现了网络产品安全漏洞,“安全漏洞”,正确处理的“打开”方式应该是什么呢。
3、处理安全漏洞的法律依据。在明确正确“打开”方式之前,需要先明确处理网络安全漏洞的法律依据。《网络安全法》。
4、《网络安全法》早在2016年11月7日发布,2017年6月1日生效,是我国网络安全管理领域的主要法律。该法与生效的《数据安全法》和《个人信息保护法》并称三架马车。《网络安全法》要求“网络产品、服务的提供者&;&;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”[2];“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
5、”[3]“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”[4]。简而言之,网络产品、服务的提供者,对于安全漏洞具有及时处置、补救、报告义务。
互联网大漏洞(互联网漏洞管理办法)
1、《网络产品安全漏洞管理规定》。由于《网络安全法》发布较早;且作为一部法律,其规制的范围需要包括网络安全的各方面。
2、因此,《网络安全法》关于安全漏洞处理的规定较为原则,对实践的指导略有欠缺。为此,工信部和国家网信办于2021年7月12日发布了《网络产品安全漏洞管理规定》,“《管理规定》”,该规定已于2021年9月1日生效。《管理规定》主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作[5]。
3、《工业和信息化领域数据安全风险信息报送与共享工作指引,试行,征求意见稿,》,“《指引》”,2021年12月22日,工信部发布了《指引》。《指引》对安全风险信息报送和共享进一步细化,包括组织机构及职责、报送管理、风险信息研判与共享和保障措施。
4、处理安全漏洞的责任主体。根据《管理规定》,安全漏洞的责任主体包括两大类。一,网络产品提供者和网络运营者。首先,网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,其对安全漏洞的信息接收、对安全漏洞进行验证并完成漏洞修补、漏洞的报送都承担相应责任。
5、下文将详述其主要义务。二,从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。