① 阿里雲肖力:原生安全打造雲上綠洲
2020年9月17日-18日,一年一度的雲棲大會在雲上如約而至。疫情加速數字化轉型大背景之下,雲原生以一種高能見度為各行業帶來了一個更動態多變、更具效率和生命力的架構。 雲原生安全具有什麼優勢,能否解決線下業務場景的安全困局? 作為阿里巴巴第一位安全工程師,阿里巴巴集團副總裁、阿里雲安全總經理肖力,發表了以「提速雲原生,創新安全力」為主題的演講。
肖力認為,上雲是提升安全水平的最佳選擇,創新的雲原生安全,有能力為企業用戶打造「雲上綠洲」。 數據被更有邏輯性的存儲,從物理數據中心安全、到核心雲平台安全、以及和雲平台無縫結合的雲安全能力……企業原本需要獨立、完整承擔的安全責任,轉移到阿里雲平台,低耗損的同時擁抱的是更高等級的安全。
雲原生安全的「上游思維」
雲安全的經驗很稀缺,並且很昂貴,阿里巴巴為此付出了多年努力,總結了業界領先的最佳實踐。基於雲的安全建設,最核心的思維轉變在於:區別傳統安全只能被動做出反應,基於雲的基礎架構改變,讓安全開始有能力在上游解決問題。 如果還帶著傳統安全思維,來構建新環境中的安全控制,無疑大大弱化了雲的優勢。
雲原生安全,擁有從硬體層透穿的最高等級安全能力,打造全環境、全生命周期的可信環境。用戶視角看到的層級也將發生變化,安全產品隨之演進變化。用戶基於雲原生能力構建企業安全架構,只需要選擇服務去達成自己的安全目標,安全產品不再外掛,安全能力被打通。
雲上是一個更安全的「綠洲」環境,它可以自動化幫助用戶解決掉同質化、繁雜的安全問題,讓用戶把精力集中在解決更有價值的問題上。
以下為本次演講原文的整理
這次的疫情對各行各業影響都非常大,今年上半年各行業都在加速數字化進程。一方面,更多的行業用戶在擁抱雲計算、擁抱阿里雲;另一方面,我們看到網路安全已經進入企業最關注、最需要解決的問題前三名。很多政府客戶、金融客戶在阿里雲平台上,用雲安全的核心能力去構建下一代的安全架構。接下來我們會著重給各位介紹,當前阿里雲安全在哪些技術領域上的深入、哪些雲原生的安全能力,來幫助企業更好地解決過去無解的安全問題。
2小時擴容1萬台伺服器
安全服務化默認覆蓋
2月份的疫情,釘釘承擔了數百萬人在線教育和數億人在線辦公的責任 。 面對指數級爆發的流量,釘釘只花了2個小時時間,擴容了1萬台伺服器。 這種速度在傳統架構中,安全實現全覆蓋是一項不可能完成的任務。 攻擊能夠導致釘釘的在線會議、在線視頻中斷,用戶的隱私數據泄漏風險隨之提升。釘釘通過雲原生的安全服務化能力,快速地介入了雲抗D、雲WAF等組合安全防護手段,保障了釘釘穩定的運行。
試想一下,如果在傳統安全線下場景,釘釘這樣的企業要部署這么大規模的安全設備,每個設備都需要上架、調試,包括串聯在鏈路上面起到防禦效果,我相信至少需要1個月時間。那麼雲安全服務化,能夠讓整個業務在小時級別,安全能力快速地擴容,提供實時服務,為業務保駕護航。
安全能力與基礎設施融合
0贖金解決勒索軟體問題
傳統企業安全架構在鏈路上面有大量的設備,是一個非常復雜的網路。大型企業在線下甚至擁有上百台安全設備串聯在網路上,可想而知這裡面會遇到多大的整個安全設備的鏈路聯通性問題。這會導致全面管理的問題,以及安全能力的數據孤島問題。 而雲上的安全能力可以直接整合在雲產品中。 例如雲原生安全能力和CDN和負載均衡SLB進行進一步的融合,用戶使用的時候,無論是接入性,還是全面的管理,安全能力都能得到進一步的提升。
阿里巴巴自身有一個系統叫統一接入層。在這一層當中,我們將安全的能力融入到了這個系統當中,所有經濟體、業務系統在上線的時候只需要統一接入這個系統,安全的能力就隨之而來。這種新型的安全對業務方來說,也是非常的方便、便捷,減輕很大的工作量。我還想再分享另一個案例, 這半年勒索軟體其實攻擊是非常猖獗的,增幅高達72%, 攻擊者通過加密企業的數據進行獲利,已經成為企業最主要的威脅之一。
國際知名的GPS公司佳明(Garmin)最近發生了一起安全事故,某一天全球的用戶無法使用、服務中斷。勒索軟體將佳明的相關數據進行了加密,並且開出上千萬美金的贖金金額。最終,佳明公司通過交付贖金解密了數據,從而恢復服務,但損失慘重。
阿里雲的防勒索方案,是將安全能力和整個基礎設施雲產品進行整合,對勒索軟體進行檢測和防護。 用戶可以利用容器鏡像快照能力來打造這個安全方案。 就算檢測和防禦的能力遇到了挑戰,有一些未知的蠕蟲加密了用戶的數據,阿里雲防勒索方案用戶可以通過鏡像快照的方式快速地恢復數據,而不用去交贖金。
我們也看到有很多這樣的場景,安全能力和技術支持雲產品進行進一步融合的時候,產生了更大的化學反應。
硬體安全降維打擊固件攻擊
最高等級安全保護
剛剛前幾周,英國的網路安全中心公布了一份報告,有組織將新冠疫苗的研究機構作為攻擊的目標。他們利用的方式,是通過替換網路上所有VPN伺服器的固件,來長久獲得邊界網路的控制權。
而大家都知道,這種基於固件的攻擊,是系統層安全軟體非常難以發現的。安全對抗的時候, 高維打低維效果最好,越底層的檢測能力跟防禦能力對越上層的攻擊越有效果。
阿里雲的硬體安全能力,支持系統啟動的時候進行安全的檢測,能夠有效的發現這一類的高安全級別的後門和木馬。這樣的例子數不勝數,我們期待通過阿里雲硬體這一層的高安全能力,給到所有的雲上用戶高安全級別的保護。
啟用身份作為新的安全邊界
打造零信任網路環境
傳統網路邊界、訪問控制包括隔離,隨著業務越來越復雜會越來越弱化, 啟用身份成為企業新的安全邊界,將成為構建新型安全的核心維度之一。 這次疫情,80%的企業選擇了遠程辦公,而安全的挑戰包括員工在家的終端的安全、整個辦公網流量的安全、雲端的應用系統的數據泄漏風險……這對企業來說都是非常大的挑戰。
阿里雲有個客戶叫猿輔導,作為在線教育龍頭企業,疫情期間很多員工在家裡面辦公,全球范圍內有超過3萬名員工,需要統一的遠程管理。經過多輪生產環境驗證,猿輔導最終選擇了阿里雲的整套零信任遠程辦公方案來解決這個問題。
阿里雲零信任方案對所有員工的終端進行了可信認證,對每個用戶的身份進行雙因素的強認證,在雲端的決策引擎打通了後端所有的核心應用系統,實現統一ID、統一授權。雲端智能決策引擎還可以通過當下的安全因子,來判斷給到每個用戶什麼樣的對應許可權,實現了辦公效率、員工體驗感和安全等級的全面提高。
數據默認加密*密鑰輪轉
讓隱私泄露成為不可能
雲上的數據安全一定是所有企業非常關注的, 而數據默認加密是數據安全的一個明確的趨勢。 我分享一個國內手機廠商的案例。大家手機照片都會存在雲端,這對個人來說一定是非常重要的隱私數據。這家手機廠商將雲端的數據存儲在我們OSS的雲產品上面,客戶通過OSS的默認加密的功能。
所有的雲端的用戶隱私照片存放在阿里雲OSS上面的時候,都是默認加密的,所有的密鑰都是由客戶自己來保管。這樣子有效防止了雲端的數據泄漏後會造成的所有的安全隱患。 我們當前在17款雲產品當中都支持了默認加密的功能,同時提供密鑰輪轉的功能, 用戶可以通過密鑰管理系統來自主管理密鑰,而且一旦雲端密鑰泄漏,可以進一步通過一鍵密鑰輪轉來提升雲端數據安全性。
數據智能驅動安全技術
原來,企業遇到的安全挑戰在於數據量太大,在海量的流量中需要有效地發現威脅,精準的檢測出威脅在哪裡,第一時間進行攔截。 而阿里雲把數據技術應用在了多個安全方面的領域,帶了很好的效果。
我們在DDoS防禦、Web安全防禦當中,通過演算法模型能夠非常精準地識別攻擊流量、進行阻斷。 在威脅情報方面,阿里雲可以識別全網的惡意IP,自動化地分析威脅,自動化地產生「安全疫苗」。 內容安全以及風控的場景,通過對圖像、視頻的分析和理解,幫助用戶在業務上面識別涉黃、涉恐、涉暴的違禁內容,以及對用戶進行視頻的實人認證等等。這些是過去一年實踐中總結出的雲原生安全「六點核心優勢」,基於很多已經落地的安全產品能力和框架,今天我也重點發布阿里雲原生安全架構。
每個企業可以基於這個架構,根據自己的業務需求、業務場景特點來構建基於雲的下一代創新安全架構。整個架構會分為三大層面:
第一個層面:雲平台安全
阿里雲使用硬體安全能力和全局雲平台的威脅檢測和響應能力,來打造更安全的雲平台底層。
第二個層面: 雲產品安全
安全能力和安全威脅建模能力在產品設計階段,就已經被融入到產品的開發流程當中。所有代碼上線前確保是安全的,給到用戶一個安全的雲產品。
第三個層面:內置原生安全
在主機層、網路層、應用層甚至在數據層、業務層,各個層面上將安全能力融合成場景化的解決方案,提供給各行業用戶。
今天毋庸置疑,無論是IDC 、Gartner、 Forrester等國際第三方咨詢機構全線領導者象限的認可,還是國內外行業頭部用戶的選擇,阿里雲安全已經是雲安全的領導者。
阿里巴巴全棧上雲,我們一方面基於雲平台、雲原生的安全能力幫助各業務主體去解決好安全問題;另一方面,也希望通過雲平台,讓雲上的數百萬級用戶能夠享受到跟阿里巴巴同等安全能力的保護。
雲演進到今天, 底層基礎設施變化給安全帶來了天翻覆地的變化,我相信未來所有的企業都會在雲上享受最高等級的安全。
雲安全領域會有更多的創新的湧入,那我也期待通過雲原生的安全能力,來協助用戶構建下一代的安全架構,使用雲更要駕馭雲,在「雲上綠洲」充分釋放企業的商業競爭力!
② 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。
③ 阿里雲盾(雲安全)是什麼有什麼作用
阿里雲盾(雲安全)是阿里巴巴集團多年來安全技術研究積累的成果,結合阿里雲雲計算平台強大的數據分析能力。為中小網站提供如安全漏洞檢測、網頁木馬檢測以及面向雲伺服器用戶提供的主機入侵檢測、防DDOS等一站式安全服務。阿里雲盾每天保護著全國超過37%的網站,致力於成為互聯網安全的基礎設施,雲盾旗下包括DDoS高防、web應用防火牆、伺服器安全(安騎士)、先知、態勢感知等安全產品及服務。
一直以來,阿里雲將網路安全視為生命,曾先後多次推出安全防護功能,比如:DDOS高防、CC安全防護、雲監控、安全組等系列功能。雲盾防護不僅豐富了阿里雲安全防護產品線,更進一步保障了用戶網站及數據安全。
阿里雲盾使用重要知識點:
1. 雲盾提供什麼服務?
2. 雲盾控制台補丁管理使用方法
3. 雲盾開啟補丁管理功能 (web shell自動修復功能)
購買雲伺服器 ECS 即可免費使用雲盾的基礎功能,幫您輕松應對各種攻擊、安全漏洞問題,確保雲服務穩定正常。
DDoS防護
包含1-5G的DDos防護和基礎Web攻擊,防護類型包括CC、SYN flood、UDP flood等所有DDoS攻擊方式;提供5分鍾到7天范圍的防護帶寬報表,並且提供實時防護帶寬展示;根據業務自動計算清洗閥值。
伺服器安全
包含高危漏洞修復、登錄檢測和防密碼破解、木馬文件雲查殺等防入侵功能。支持各雲平台 Windows、Linux 雲伺服器安裝部署。
應用防火牆
基於阿里雲百萬個應用做大數據分析,對各種web攻擊做出快速響應,讓黑客無可乘之機;專業安全團隊每天更新防護規則,告別天天擔憂的日子。
信息安全
提供多種違規內容的實時監控和檢測;可分時段、分方式進行消息提醒,靈活配置接收郵箱或手機;提供「疑似違規」及「違規記錄」模塊,方便用戶快速查閱及操作。
阿里雲盾熱門產品:
雲安全中心(態勢感知) :有效保護主機安全,讓安全運維變得簡單,防勒索防篡改。
Web應用防火牆(WAF) :中國區市場佔有第一的雲WAF,適用於網站、小程序、H5等的安全防護。
SSL證書 :網站必備安全產品,解決網站在瀏覽器顯示」不安全「的提示。
DDoS防護 :覆蓋全球的DDoS防護網路,快速解決攻擊造成的延遲、業務中斷。
④ 導致阿里雲被暫停合作的漏洞 究竟是什麼
新京報貝殼 財經 訊(記者 羅亦丹)因發現安全漏洞後的處理問題,近日阿里雲引發了一波輿論。
據媒體報道,11月24日,阿里雲安全團隊向美國開源社區Apache(阿帕奇)報告了其所開發的組件存在安全漏洞。12月22日,因發現Apache Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。
12月23日,阿里雲在官方微信公號表示,其一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助,「隨後,該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。」
「之前發現這樣的漏洞都是直接通知軟體開發方,這確實屬於行業慣例,但是《網路產品安全漏洞管理規定》出台後,要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長,我覺得漏洞的發現者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說,這個處理不算冤,但處罰其實也沒有那麼嚴格,一不罰錢,二不影響做業務。」」某安全公司技術總監鄭陸(化名)告訴貝殼 財經 記者。
漏洞影響有多大?
那麼,如何理解Log4j2漏洞的嚴重程度呢?
安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」,奇安信描述稱,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日誌信息的級別,能夠更加細致地控制日誌生成過程,「Log4j2中存在JNDI注入漏洞,當程序將用戶輸入的數據進行日誌記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意代碼。」
安域雲防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多餘操作即可觸發該漏洞,使攻擊者可以遠程式控制制受害者伺服器,90%以上基於java開發的應用平台都會受到影響。
「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在於其易於利用,更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。」奇安信安全專家對貝殼 財經 記者表示。
「這個漏洞嚴重性在於兩點,一是log4j作為java日誌的基礎組件使用相當廣泛,Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等,以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵,網友「yuange1975」在微博發文稱。
「簡而言之,該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。
在「yuange1975」看來,該漏洞出來後,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子裡發文章為了說明這個漏洞的嚴重性,又有點用了過高評價這個漏洞的詞語,「我不否認這個漏洞很嚴重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網路漏洞,就是說目前所有已經發現公布的漏洞里排第一,這顯然有點誇大了。」
「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足,這個應用的范圍以及漏洞觸發路徑,我相信一直到阿里雲上報完漏洞,恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性,有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。
9月1日起施行新規 專家:對於維護國家網路安全具有重大意義
據了解,業界的開源條例遵循的是《負責任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商,是業內常見的程序漏洞披露的做法。
貝殼 財經 記者觀察到,白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道,把漏洞報給原廠商而不是平台方,也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵,「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝。「對於安全研究人員而言,這種名聲也會讓他們非常在意。
不過,今年9月1日後,這一行業「常見程序」就要發生變化。
7月13日,工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》,要求任何組織或者個人設立的網路產品安全漏洞收集平台,應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。
值得注意的是,《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示,發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。第七條第七款則表示,不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示,《網路產品安全漏洞管理規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網路產品漏洞的收集、研判、追蹤、溯源,立足於供應鏈全鏈條,對網路產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對於維護國家網路安全,保護網路產品和重要網路系統的安全穩定運行,具有重大意義。
張卓表示,《規定》第十條指出,任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞,還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為,有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。