24小时黑客接单的网站

网络安全行业合规之风已经开始。

               
• 610月10日，中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》
               
• 710月10日，国家互联网信息办与有关部门修订了《网络安全审查办法》，征求公众意见。
               
• 工业和信息化部、国家互联网信息办公室、公安部联合发布了《网络产品安全漏洞管理条例》，并将于2021年9月1日生效。

本文主要阐述了《网络产品安全漏洞管理条例》，帮助读者更快地理解相关法律法规。

制定目的

               
• 规范网络产品安全漏洞发现、报告、修补和发布等行
               
• 防范网络安全风险

规定适用于哪些对象

               
• 网络产品(含硬件、软件)提供商和网络运营商在中华人民共和国境内
               
• 组织或个人从事网络产品安全漏洞发现、收集、发布等活动

重点合规措施

网络产品提供商、网络运营商和网络产品安全漏洞收集平台：

               
• 建立健全网络产品安全漏洞信息接收渠道，保持畅通
               
• 保留网络产品安全漏洞信息接收日志不少于6个月

有关组织和个人：

               
• 通知网络产品提供商其产品的安全漏洞

管理各对象安全漏洞的义务

网络产品提供商：

               
• 在发现或了解提供的网络产品存在安全漏洞后，应立即采取措施验证和评估漏洞的危害程度和影响范围
               
• 上游产品或组件的安全漏洞应立即通知相关产品提供商
               
• 相关漏洞信息业和信息化部网络安全威胁和漏洞信息共享平台提交相关漏洞信息。提交内容包括产品名称、型号、版本、技术特点、危害和影响范围。
               
• 及时组织网络产品安全漏洞的修复。对于需要软件和固件升级的产品用户（包括下游制造商），应及时通知可能受到影响的产品用户，并提供必要的技术支持。

从漏洞管理出发，规范了网络产品提供商对供应链上下游的风险评估和处置义务。

网络运营商：

               
• 在发现或了解其网络、信息系统及其设备存在安全漏洞后，应立即采取措施，及时验证和修复安全漏洞。

组织或个人从事网络产品安全漏洞的发现和收集：

要遵循必要、真实、客观、有利于防范网络安全风险的原则：

               
• 在网络产品提供商提供网络产品安全漏洞修复措施之前，不得发布漏洞信息。
               
• 如有必要提前发布，应与相关网络产品提供商进行评估和协商，并向工业和信息化部、公安部报告，最后由工业和信息化部、公安部组织评估。
               
• 网络运营商使用的网络、信息系统及其设备不得发布安全漏洞的细节。
               
• 不得故意夸大网络产品安全漏洞的危害和风险，或者利用网络产品安全漏洞信息进行恶意炒作、欺诈、勒索等违法犯罪活动。
               
• 不得发布或提供使用网络产品安全漏洞危害网络安全活动的程序和工具。
               
• 在发布网络产品安全漏洞时，应同时发布修复或预防措施。
               
• 未经公安部同意，不得在国家重大活动期间发布网络产品安全漏洞信息。

未披露的网络产品安全漏洞信息不得织或个人提供未披露的网络产品安全漏洞信息。

其中，法规“组织或个人从事网络产品安全漏洞的发现和收集”网络产品安全漏洞收集平台由任何组织或个人设立，都需要向工业和信息化部备案。工业和信息化部及时通知公安部和国家互联网信息办公室的相关漏洞收集平台，并公布通过备案的漏洞收集平台

哪些机构负责监督管理

               
• 国家互联网信息办公室：协调网络产品安全漏洞管理。
               
• 工信部：对网络产品安全漏洞进行综合管理，对电信和互联网行业网络产品安全漏洞进行监督管理。
               
• 公安部：监督管理网络产品安全漏洞，依法打击利用网络产品安全漏洞实施的违法犯罪活动。
               
• 其他有关主管部门：加强跨部门合作，实现网络产品安全漏洞信息的实时共享，对重大网络产品安全漏洞风险进行联合评价和处置。

其它违规行为

               
• 利用网络产品安全漏洞从事危害网络安全的活动
               
• 非法收集、销售、发布网络产品安全漏洞信息
               
• 知道他人利用网络产品安全漏洞从事危害网络安全的活动的，还应当提供技术支持、广告推广、支付结算等帮助。

处罚条款

               
• 第十二条 网络产品提供商未按照本规定采取网络产品安全漏洞补救或报告措施的，由工业和信息化部、公安部依法处理；构成《中华人民共和国网络安全法》第六十条的，依照本规定处罚。

               
• 第十三条 网络运营商未按照本规定采取网络产品安全漏洞修复或预防措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定的，依照本规定处罚。

               
• 第十四条 违反本规定收集、发布网络产品安全漏洞信息的，由工业、信息化部、公安部依法处理；构成《中华人民共和国网络安全法》第六十二条的，依照本规定处罚。

               
• 第十五条 利用网络产品安全漏洞或者为他人利用网络产品安全漏洞提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条的，依照规定处罚；构成犯罪的，依法追究刑事责任。

《网络产品安全漏洞管理条例》的意义在于巩固各方的责任和义务，为网络产品提供商、网络运营商、从事网络产品安全漏洞发现、收集、发布活动的组织或个人指出合规方向，并定义相关政府部门的监督职责。此外，通过明确规定违规行为和处罚，有助于进一步规范安全漏洞管理的生命周期。

随着《网络产品安全漏洞管理条例》的正式实施，网络安全行业将迎来更清晰的标准体系，漏洞收集平台和白帽子有望在承担更大社会责任的同时发挥更大的社会价值。