规定|漏洞管理进入规范化时代，白帽军团或将成为网安重要力量_管理局|工业和信息化部

7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。据工业和信息化部网络安全管理局介绍，《规定》的出台将提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。

文章插图
三六零（股票代码：601360.SH，以下简称360）创始人、董事长周鸿祎对此表示，在数字化时代，一切皆可编程，这就意味着漏洞无处不在。“新技术同样有漏洞，有漏洞就能被黑客利用遭致攻击，使得整个社会和国家在网络攻击面前变得十分脆弱，对网络安全构成严重威胁。”在他看来，《网络产品安全漏洞管理规定》的出台，有利于推进安全漏洞管理的制度化、规范化发展。

文章插图
360创始人、董事长周鸿祎在2021世界人工智能大会上演讲

文章插图
网络安全服务或将出现巨大缺口据工业和信息化部网络安全管理局相关人士介绍，《规定》旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。从具体内容上来看，《规定》明确提出，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。对网络安全行业而言，这无疑是重大利好。360漏洞云开源漏洞响应平台负责人胡晓娜认为，这些条例的出台，在网络安全和漏洞风险隐患管控上有了更高要求，提供了更切实可行的优化方法，并倒逼相关企业和厂商要更加重视网络安全能力建设。之前很多企业和厂商处于被动应对安全的状态，安全管理大概率走在产品研发之后，应对漏洞及风险隐患态度消极，一定程度上造成隐患发现不及时、面对漏洞不处理、带病运行的现象，给产品使用者带来巨大的安全隐患。“现在政策倒逼大家必须将安全管理前置，重视网络安全责任义务, 在开发网络产品时就需要植入安全意识、安全理念、安全相关架构及技术等，将网络安全理念根植于网络产品的每一处基因，也让‘安全性’作为网络产品的主战场。”在她看来，如果产品有漏洞不修复，就算没造成危害，也要承担相应责任，成为产品提供者悬在头顶的达摩克利斯之剑。因此《规定》出台，从顶层设计的角度为产品使用者和社会安全稳定提供更大保障，也让相关企业和厂商必须具备高度的社会责任感。不少业内人士表示，当前很多网络产品提供者和网络运营者并不完全具备网络安全能力，这对网络人才和网络安全服务而言，无疑是一个巨大的缺口，为网络安全行业的未来发展提供了巨大的想象空间。

文章插图
完善制度掐断网络攻击时间差
此外，在360安全专家看来，《规定》出台还将有利于安全漏洞管理的规范化。工业和信息化部网络安全管理局表示，近年来不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞响应平台，但在实际工作中部分漏洞响应平台也暴露出过内部运营不规范、擅自违规发布漏洞等问题，亟需加强管理。具体而言，对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。