近日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助;任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。本规定自2021年9月1日起施行。

　　该《规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

　　鼓励漏洞通报 但必须备案

　　近年来白帽黑客建立漏洞发现与收集的平台并告知企业的做法曾一度在圈内流行，但这种做法往往也伴随着一定争议。而按照《网络产品安全漏洞管理规定》要求，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。

　　《规定》明确了产品安全漏洞的发现、修补、管理流程，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。同时《规定》明确指出，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

　　《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的社会价值。

　　业内专家认为，针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款，有些人理解为只要网络运营者在用的产品，就不能公开其漏洞，其实这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。例如不能发布某企业的某个服务器上有某个微软漏洞，包括具体的IP、端口多少等，但微软产品本身的漏洞信息在修复后是可以发布的。

　　改变以往攻击事件视角等为主的漏洞收集及管理模式

　　该规定改变了以往攻击事件视角、网络系统视角等为主的漏洞收集及管理模式，这样的管理模式，只能解决单点问题，很难对该漏洞影响各行各业的风险情况进行全面研判和处置，本次《规定》以产品视角进行漏洞管理，就可以对上下游整个供应链进行全面的风险评估和有效处置。

　　据了解，网络产品漏洞的影响往往不会局限于一点，所有相关使用者均受其影响。如2021年1月，专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞，导致所有使用该款产品的企业全部受到影响，黑客利用这些漏洞就能执行恶意代码。同年5月，有报道称高通MSM芯片被爆存在高危安全漏洞(漏洞编号CVE-202011292)。高通2G、3G、4G、5G的系列芯片全部存在此漏洞。攻击者可利用该漏洞获取隐私信息监听通话将手机变成监控设备。作为向三星、LG、小米等多个手机品牌供货的芯片大厂，该高危漏洞让全球40亿的手机用户暴露在了危险之下。

　　工业和信息化部网络安全管理局人士表示，《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。