网络安全基础

汪华斌

目录

  • 1 互联网法律法规
    • 1.1 网络安全法
    • 1.2 深圳市公安局实施处罚的裁量指
    • 1.3 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见
    • 1.4 中华人民共和国计算机信息系统安全保护条例
    • 1.5 数据安全法
    • 1.6 关键信息基础设施安全保护条例
    • 1.7 密码法
    • 1.8 个人信息保护法
    • 1.9 未成年人网络保护条例
    • 1.10 个人信息案例
    • 1.11 网络安全审查办法
    • 1.12 网络产品安全漏洞管理规定
    • 1.13 关于加强网络信息保护的决定
    • 1.14 中华人民共和国治安管理处罚法
    • 1.15 司法解释
    • 1.16 最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定
    • 1.17 电信和互联网用户个人信息保护规定
    • 1.18 儿童个人信息网络保护规定
    • 1.19 医疗卫生机构网络安全管理办法
    • 1.20 常见类型移动互联网应用程序必要个人信息范围规定
    • 1.21 关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)
    • 1.22 网信部门行政执法程序规定
    • 1.23 实施行政处罚的违法行为名称及适用条款
    • 1.24 上海市公安局关于网络安全管理行政处罚的裁量基准
    • 1.25 广东省计算机信息系统安全保护条例
    • 1.26 《党委(党组)网络安全工作责任制实施办法》
    • 1.27 典型案例
    • 1.28 侵犯公民个人信息犯罪典型案例
    • 1.29 指导性案例
    • 1.30 个人信息和重要数据出境安全评估办法(征求意见稿)
    • 1.31 信息安全等级保护管理办法
    • 1.32 公共互联网网络安全威胁监测与处置办法
    • 1.33 中华人民共和国刑法
      • 1.33.1 刑法判决依据
    • 1.34 国家网络安全事件应急预案
    • 1.35 数据出境安全评估办法
    • 1.36 网络产品和服务安全审查办法(试行)
    • 1.37 法律法规发布和施行时间表
  • 2 密码学
    • 2.1 古典密码
    • 2.2 网络安全等级保护
    • 2.3 第三课时
    • 2.4 第四课时
    • 2.5 第五课时
  • 3 法制视频
    • 3.1 民生日常
    • 3.2 新建课程目录
    • 3.3 国家安全军事安全
  • 4 课程要求
    • 4.1 网络安全违法案例分析模板
  • 5 新建课程目录
    • 5.1 2021年以前社会服务
    • 5.2 2023-2024年社会服务
网络产品安全漏洞管理规定

工业和信息化部 国家互联网信息办公室 公安部

关于印发网络产品安全漏洞管理规定的通知

工信部联网安〔202166

 

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、公安厅(局),各省、自治区、直辖市通信管理局:

 

现将《网络产品安全漏洞管理规定》予以发布,自2021年9月1日起施行。

 

工业和信息化部 国家互联网信息办公室 公安部

2021712

 

 

 

网络产品安全漏洞管理规定

 

第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。

第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。

第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。

有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。

第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。

第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。

第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。

第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

第十六条 本规定自2021年9月1日起施行。