具体来说,本周一一则相关国务院法制办《重要信息安全安全漏洞管理工作明确规定 (草案稿) 》,引起整座重要信息安全界热议。
重要信息安全安全漏洞管理工作明确规定(草案稿)
第二条 为规范化重要信息安全安全漏洞(下列全称安全漏洞)调查报告和重要信息正式发布等犯罪行为,确保网络产品、服务项目、控制系统的安全漏洞获得及时处理修整,提升重要信息安全防雷水准,依照《北欧国家管理法》《重要信息管理法》,制订本明确规定。
第三条 中华人民共和国政府全境软件产品、提供更多者和网络管理工作者,以及积极开展安全漏洞检验、评估结果、搜集、正式发布及相关体育竞技等公益活动的组织机构(下列全称服务项目器端组织机构)或对个人,应严格遵守本明确规定。
第三条 软件产品、提供更多者和网络管理工作者辨认出或得知其软件产品、服务项目、控制系统存有安全漏洞后,应严格遵守下列明确规定:
(一)立刻对安全漏洞进行校正,对相关网络产品应在90日内采行安全漏洞修整或预防措施,对相关网络服务项目或控制系统应在10日内采行安全漏洞修整或预防措施;
(二)须要使用者或相关控制技术圣索弗采行安全漏洞修整或预防措施的,应在对相关软件产品、服务项目、控制系统采行安全漏洞修补或预防措施后5日内,将安全漏洞信用风险及使用者或相关控制技术圣索弗需采行的修整或预防措施向社会风气正式发布或透过客服人员等形式知会大部份可能受影响的使用者和相关控制技术圣索弗,提供更多必要性的控制相关服务,并向轻工业和重要信息控制技术部重要信息安全严重威胁重要信息共享网络平台上报相关安全漏洞情况。
第五条 轻工业和重要信息控制技术部、中国公安部和相关金融行业行政职能部门依照各别职能组织机构严格执行软件产品、提供更多者和网络管理工作者采行安全漏洞修整或预防措施。
第九条 轻工业和重要信息控制技术部、中国公安部、北欧国家网络重要信息服务部等相关职能部门同时实现安全漏洞重要信息动态共享资源。
第七条 服务项目器端组织机构或对个人透过网站、媒体、会议等形式向社会风气正式发布安全漏洞重要信息,应遵循必要性、真实、客观、有利于防范和应对重要信息安全信用风险的原则,并严格遵守下列明确规定:
(一)不得在软件产品、提供更多者和网络管理工作者向社会风气或使用者正式发布安全漏洞修整或预防措施之前正式发布相关安全漏洞重要信息;
(二)不得刻意夸大安全漏洞的危害和信用风险;
(三)不得正式发布和提供更多专门用于利用软件产品、服务项目、控制系统安全漏洞从事危害重要信息安全公益活动的方法、程序和工具;
(四)应同步正式发布安全漏洞修整或预防措施。
第七条 服务项目器端组织机构应加强内部管理工作,履行下列管理工作义务,防范安全漏洞重要信息泄露和内部人员违规正式发布安全漏洞重要信息:
(一)明确安全漏洞管理工作职能部门和责任人;
(二)建立安全漏洞重要信息发布内部审核机制;
(三)采行防范安全漏洞重要信息泄露的必要性措施;
(四)定期对内部人员进行保密教育;
(五)制订内部问责制度。
第八条 软件产品、提供更多者和网络管理工作者未按本明确规定采行安全漏洞修整或预防措施并向社会风气或使用者发布的,由轻工业和重要信息控制技术部、中国公安部等相关职能部门按职能依据《重要信息管理法》第五十六条、第五十九条、第六十条等明确规定组织机构对其进行约谈或给予行政处罚。
第九条 服务项目器端组织机构违反本明确规定向社会风气正式发布安全漏洞重要信息,由轻工业和重要信息控制技术部、中国公安部等相关职能部门组织机构对其进行约谈,或依据《重要信息管理法》第六十二条、第六十三条等明确规定给予行政处罚;构成犯罪的,依法追究刑事责任;给软件产品、提供更多者和网络管理工作者造成经济或名誉损害的,依法承担民事责任。
第十条 鼓励服务项目器端组织机构和对个人得知软件产品、服务项目、控制系统存有的安全漏洞后,及时处理向北欧国家重要信息安全安全漏洞共享资源网络平台、北欧国家重要信息安全安全漏洞库等安全漏洞搜集网络平台上报相关情况。安全漏洞搜集网络平台应严格遵守本明确规定第七条、第七条明确规定。
第十一条 任何组织机构或对个人辨认出涉嫌违反本明确规定的情形,有权向轻工业和重要信息控制技术部、中国公安部举报。
第十二条 本明确规定自印发之日起施行。
在此,我仅代表经常作死发安全漏洞通告的人,先对国务院法制办说一声:感谢此前不杀之恩。
实际上,这个建议稿能引起热议和争论,主要问题出在这一条。
服务项目器端组织机构或对个人透过网站、媒体、会议等形式向社会风气正式发布安全漏洞重要信息,应遵循必要性、真实、客观、有利于防范和应对重要信息安全信用风险的原则,并严格遵守下列明确规定:
(一)不得在软件产品、提供更多者和网络管理工作者向社会风气或使用者正式发布安全漏洞修整或预防措施之前正式发布相关安全漏洞重要信息;
(二)不得刻意夸大安全漏洞的危害和信用风险;
(三)不得正式发布和提供更多专门用于利用软件产品、服务项目、控制系统安全漏洞从事危害重要信息安全公益活动的方法、程序和工具;
其中第二条好理解,前些日子某行动各种0day爆出,但是很多人还是把安全漏洞重要信息泄露了出去,这个情况确实存有,而我的建议实际上还是赞同,换位思考如果你是黑产从业人员,你就明白了。
而第三条,不得刻意夸大安全漏洞的危害和信用风险,我也是赞同票,这种存粹无良人士和无良销售为了自身利益搞事情,说实话这种造谣的犯罪行为应该枪毙。
那么到了第三条。
不得正式发布和提供更多专门用于利用软件产品、服务项目、控制系统安全漏洞从事危害重要信息安全公益活动的方法、程序和工具
对于这条。
我反对。
意见建议?
永恒之蓝系列安全漏洞爆出,被WannaCry利用的时候。
永恒之蓝系列利用工具已经爆出了将近1个多月。
换成这个明确规定,因为重要信息不共享资源。
恐怕现在用来敲这明确规定的电脑。
早就被境外势力打成筛子了吧。
说句不好听的,我今天爆出了一个安全漏洞,我不正式发布poc,无法证明他的危害,按目前中国的办事效率。
我tm明年都别想看见内网的任何一台设备打上补丁。
亲身经历。
并且,很多时候,他们会说,你这个东西有什么危害,能干什么,证明给我看。
可是对于很多能力不够,但又想让世界变得更安全的人们,他们怎么去证明。
安全社区实际上就是这个作用,况且厂商的安全漏洞一般都已经修整完毕,分享poc和exp,不是为了测试危害,证明给一群不懂安全还非说我控制系统安全的人,避免被黑产从业者入侵,这不是好事?
而且,黑产从业者,你安全社区能拿到POC和EXP,坐拥上亿流水的他们,拿不到?
以后他们黑产圈互相通气,互相交换重要信息。
安全圈表面一派祥和,实际小圈子更加严重化,还要防止圈子混入间谍,以致于更加不说话,甚至对安全漏洞研究失去兴趣。
最后,安全社区一派死水,没人发文章,没人分享控制技术,越来越多人往下走。
为什么我会说出这种话,因为我今天看见太多人表示出失望的情绪。
激情了这么多,只想说一句,若是为了省事,为了不被上报,那就这样实施好了。
既然解决不了问题,那就解决辨认出问题的人。
所以我的意见建议很明确,不要一杠子打死,对严重,特大的安全漏洞,不得正式发布代码和利用工具,我可以理解。
但是如果国外都发出利用工具,国内还不正式发布,然后不进行跟进,这绝对是过分的。
务必细化这一条明确规定,要对国际形势加以研判,要知道如今应该一致对外,美国都开始针对各国发起网络攻击了,我们应该养精蓄锐,做好防御措施才行。
因此严重威胁情报的重要性不言而喻。
而对于国内的安全漏洞情报和利用工具,对于已经修复的安全漏洞,我认为可以正式发布分析文章和POC,对于EXP,一概不得正式发布,这样也有助于提升安全研究人员的水准。
虽然对于入门者会特别不友好,但这也是我能想到的许多折中方案了。
最后,对于惩罚措施适当调低,必须要有过渡期。
以上均是本人对个人观点,请适当阅读。
最后附上教主的一番话。
本周一整座安全界建议如山,但愿能采纳。
最后,还有一张图,也在今天被好一同发出。
第六十二条 违反本法第二十六条明确规定,积极开展重要信息安全认证、检验、信用风险评估等公益活动,或者向社会风气正式发布控制系统安全漏洞、计算机病毒、网络攻击、网络侵入等重要信息安全重要信息的,由相关行政职能部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元下列罚款,并可以由相关行政职能部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元下列罚款。
因此,该法案于2017年6月1日起就已经开始实施。
而这张图片在本周一颁布漏洞管理工作明确规定意见建议稿之时忽然传播了起来,众人纷纷大骂,那么此前颁发重要信息管理法的时候众人纷纷称赞又是所谓何般。
切勿激情犯罪,理性看待问题,不要被带节奏。
那么最后发起投票,对于意见建议稿的意见建议,留下你的留言,二道将会搜集留言,一并发送至国务院法制办邮箱。
最后再提一句,现在这个时期,今年这个形势,请各位务必保命为好。
我为啥要说这么多。
意见建议稿不提意见建议,难道是用来公示?
