《网络产品安全漏洞管理规定》自9月1日起施行

前言

工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》自9月1日起施行。
新规定中，国家鼓励个人去挖掘漏洞是一件好事，可是，与此同时也有了一些不同的声音产生。发现漏洞于厂商而言可以提高网络产品质量，于个人而言可以拿到一笔不错的收入，既然是双赢局面，为什么会有不同声音出现呢？
这篇文章用来回复一些近期大家疑惑的问题。

小小分析

当我们仔细阅读《规定》时，就会发现在规定中第九条中，有这样一款规定：“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况“。

这一款规定可能在大家眼里没什么，但是在许多的网络安全界工作人员眼中，却是一个严重的打击

"细节情况"

这四个字是很耐人寻味的哦 ??

在互联网时代，人们为了追求更多的便捷，许多网站的搭建都大部分采用了CMS系统（具体是什么可以百度一下，简单而言就是一个自助建站系统）比如企业网站系统、论坛系统、门户网站系统和购物网站系统基本都采用了此系统，各大厂商抓住契机，从而便产生了各种各样的CMS。但是在简单快捷与方便的同时，也带来了严重的危险，就是我们所称的 漏洞

举个栗子，作者就在近期在挖掘漏洞的时候，发现某医院的网站采用了某博CMS v7版本，如果说互联网上有人发布了这款CMS的漏洞的利用方式，我就可以直接利用，非常快速简单地获取到该医院的详细数据，包括病患人员情况、医生信息等等，往坏处想，如果我存在坏心思，给病人修改了服用药品的话 。。。同理，如果一所学校采用地某款CMS，它所存在漏洞也被人披露在网络上，在电信诈骗高发的近几年，这些学生数据恐怕又是一个非常大的威胁。

网络上存在着许多安全文库，收集了各种CMS以及其他操作系统的漏洞的漏洞方式，”知其黑，守其白“ ，文库建立的初衷是为了更好地帮助网络安全人员支撑起国家信息安全，但也难免有别有用心的人利用这些安全文库，来扰乱国家的信息安全环境。

那就没有什么办法来面对这种风险吗？

其实早在前几年，为了及时修补暴露出的漏洞，国内就出现了漏洞安全应急响应平台，比较出名的有 教育行业漏洞提交平台 ，这也是业内俗称的 edu src ，看名字就知道这个平台是专门收集教育网站所存在的漏洞，以及 补天应急响应平台，这个平台收集各大政府网站、学校网站，此外各大商业公司也成立了自己的安全应急响应中心，比如美团、阿里等公司。当有人发布漏洞细节在这些平台上，平台管理人员就会联系网站管理人员进行审核与修补，审核通过后，就会给予提交者一定的奖励。此外，国家也成立了国家信息安全漏洞共享平台，来更好地维护信息安全。

既然修补了，那为什么还要禁止在网络上发布安全漏洞的细节情况呢？

因为漏洞是网站所采用的系统存在的，而网站是各自搭建在服务器上的，所以并不是修补一个系统漏洞，整个采用该系统的所有网站都会完成修补，而是需要网站管理员自己去下载补丁和修改代码。

总结

其实，总的而言，《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞手机和发布渠道，防范网络安全重大风险，保障国家网络安全。