今天,各大安全圈交流群疯狂转发某公众号作者擅自发布安全漏洞,被攻击者利用攻击某企业的消息。随着网安行业下行,大量网安从业者开始步入自媒体行业,有部分从业者为了博取眼球,增加流量,通过发布一些安全漏洞及poc来寻求更多人阅读和关注,显然作为网络安全从业者,没有仔细研究相关的法律和法规,这样就容易出问题。
作为一名网络安全从业者,应当在了解和学习相关的技术同时,还应当重点了解网络安全的法律、政策、制度等。网络空间虽然是一个虚拟空间,但也是有印迹的,作为网络空间中存在的实体应当遵守网络空间的法律和法规,尤其是网络安全从业者更应当以法律为准绳,恪守职业道德,有责任和义务维护网络空间安全。
为了规范网络产品安全漏洞发现、报告、修补、发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》规定制定了《网络产品安全漏洞管理规定》,在2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发通知公布了该规定,在2021年9月1日起施行。
其中第十五条规定,利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
其中第三条规定,明确了三个部分的主要职责,国家互联网办公室负责统筹协调网络产品安全漏洞管理工作。工信部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
其中第四条规定,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息。
其中第九条规定了相关的漏洞发布原则,如下所示:
总之,该作者通过公众号发布安全产品漏洞,一是个人没有向工业和信息化部备案;二是没有遵循安全漏洞发布原则;三是为他人利用网络产品安全漏洞从事危害网络安全的活动提供了技术支持,违背了《网络安全法》,理应受到相应的处罚。
个人观点,仅供参考
原创 承影 兰花豆说网络安全
