漏洞信息披露和处置自律公约

漏洞信息披露和处置自律公约

第一章 总则

第一条  遵照“趋利避害、有效管理、积极引导”的基本方针，为依法维护国家、企业和社会公众互联网安全权益，保障政府和重要信息系统部门信息系统安全，进一步规范国内外漏洞平台、相关厂商、信息系统管理方以及国家计算机网络应急技术处理协调中心（以下简称CNCERT）在漏洞信息接收、处置和发布方面的行为，制定本公约。

第二条  本公约所称安全漏洞（以下简称漏洞）是指信息系统在硬件、软件、通信协议的设计与实现过程中或在系统安全策略上存在的缺陷和不足；非法用户可利用安全漏洞获得信息系统的额外权限，在未经授权的情况下访问或提高其访问权，破坏系统，危害信息系统安全。

第三条  本公约所称政府和重要信息系统部门是指党政机关、军队、公安、安全、保密以及金融、证券、海关、保险、能源、税务、铁路、民航、电信等关系国计民生的重要行业领域单位。本公约所称漏洞平台是指实际运行并参与接收、发布、处置信息系统漏洞信息的网站以及网站运行管理方的总称。相关厂商主要指软硬件产品生产厂商、互联网服务提供商。信息系统管理方指负责运行维护信息系统的归口单位或主管机构。

第四条  倡议国内外漏洞平台、相关厂商、信息系统管理方和CNCERT加入本公约，从维护国家、行业和用户利益的高度出发，积极加强自律，共同营造良好的网络安全环境。

第二章 自律条款

第六条  自觉遵守我国有关互联网管理的法律、法规和政策，自觉维护国家、行业和互联网用户的网络安全合法权益。

第七条  漏洞平台、相关厂商、信息系统管理方和CNCERT应协同一致做好漏洞信息的接收、处置和发布等环节工作，做好漏洞信息披露和处置风险管理，避免因漏洞信息披露不当和处置不及时而危害到国家安全、社会安全、企业安全和用户安全。

第八条  CNCERT应遵循的自律义务有：

积极参与漏洞的接收、验证、处置、发布监督，与漏洞平台建立漏洞归口处置机制和信息披露审核联动机制；加强技术手段建设，做好漏洞信息威胁和危害的准确评估；积极建立与政府和重要信息系统部门、行业单位的处置联系渠道，协同做好漏洞处置监督。对重大漏洞风险和攻击情况及时跟踪，必要时发布核查和处置情况。

第九条  漏洞平台应遵循的自律义务有：

建立规范的漏洞信息接收、处理和发布流程。对漏洞报送者提交的信息要进行预先核实，确保漏洞信息的真实性和完整性，以便于漏洞验证和核实；建立信息分发处理机制，确保漏洞信息及时流转到处置环节；规范漏洞信息发布机制，建立与CNCERT联动的信息审核发布机制，加强对漏洞平台用户的管理，确保漏洞披露和扩散渠道可控可追溯。

第十条  相关厂商和信息系统管理方遵循的自律义务有：

高度重视软硬件产品漏洞和信息系统漏洞可能对产品用户和系统用户可能造成的危害，积极回应CNCERT、漏洞平台以及漏洞报送者提供的漏洞信息，及时核实确认并提供和发布漏洞补丁或解决方案。应从产品研发、测试和发布等环节加强协同管理，及时应对新出现的漏洞，在产品远程升级、用户系统维护方面做好技术准备和主动服务，确保漏洞修复措施的有效性和覆盖面。积极配合CNCERT作好技术分析和用户威胁评估，缩短应急响应周期。通过网站、邮件等方式及时披露和推送本单位生产、提供的软硬件产品的漏洞描述信息或预警信息，并同时向CNCERT报备，以保障产品用户和系统用户的知情权和安全利益。

第十一条  各方在漏洞信息披露方面应遵循“客观、适时、适度”三原则：

客观披露原则。对公开发布的漏洞信息要进行披露审核，漏洞平台与CNCERT建立披露审核联动机制，确保漏洞信息涉及的目标对象、风险情况描述不出现重大偏差；要注重区分漏洞风险和攻击事件，对漏洞可导致的潜在风险不能作为网络攻击事件进行披露和引导，以免引起媒体舆论和社会公众的误读和恐慌。根据CNCERT和涉事单位核实后的情况，漏洞平台应对漏洞信息中出现的不符合事实的情况进行及时更正。

适时披露原则。加强CNCERT、漏洞平台、相关厂商和信息系统管理方的处置联动，在相关方未接收到漏洞信息、完成漏洞处置前或预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期，各方研判后协商拟定灵活实际的漏洞公开披露时间。

适度披露原则。不得披露国家政策法规和主管部门禁止披露的信息系统漏洞，不得披露违反知识产权保护法律法规及商业机密协定的信息。在漏洞处置完成前，按照披露审核联动机制对可通过公开信息（标题、描述等）猜解到具体目标系统、攻击手法的信息进行弱化处理，避免相关漏洞被黑客利用实施网络攻击。

第十二条  根据各方自律义务以及漏洞信息发布的客观、适时、适度等原则，各方在披露涉及政府和重要信息系统部门的信息系统漏洞以及相关厂商的通用软硬件漏洞时应进行必要的披露弱化处理：

（一）政府和重要信息系统部门信息系统漏洞披露。做好涉事信息系统标题及其他可见描述信息的模糊指代处理，如：“某部委某业务系统”、“XX省某厅门户网站”；涉及数量级别、用户私密信息字段描述的词语表述应进行弱化处理，如：去掉“数千万”、“身份证、银行卡、口令、手机号、社保信息”等数量和信息属性字段；公开漏洞详细信息时做好权限管理，不应向公众直接公开漏洞测试入口信息，如：IP、域名、URL等。

（二）通用软硬件漏洞披露。各方不得披露涉及知识产权、有商业合同保护的产品测试结果以及产品源代码信息；遵循协商处置披露原则，优先处置涉及政府和重要信息系统部门用户的漏洞，在未完成约定处置流程前，各方应禁止披露漏洞利用代码信息。

第十三条  相关单位和从业者应共同防范和抵制漏洞信息的不当传播，积极举报和反对通过黑客地下产业购买、交易漏洞的行为，反对非法侵入或破坏他人信息系统。