《网络安全威胁信息发布管理办法(征求意见稿)》,你关心的几个问题的解读来了!
今日,国家互联网信息办公室发布了关于《网络安全威胁信息发布管理办法(征求意见稿)》(以下称《办法》)公开征求意见的通知。该《办法》是落实《网络安全法》的重要举措,有利于进一步规范网络安全威胁信息发布,防止信息发布不当被非法利用危害网络安全。
和记官网结合国家互联网信息办公室有关负责人的有关回复,并咨询相关专家,对主要的问题进行解读。
Q 《办法》出台的背景和意义?
国家互联网信息办公室有关负责人在答记者问,当前,网络安全产业迅猛发展,许多网络安全研究者和网络安全企业出于提高公民网络安全意识、交流网络安全技术、增强用户网络安全防范能力、促进网络安全产业发展等目的,积极向社会发布网络安全威胁信息,为维护国家网络空间安全做出很大贡献。但是也应看到,网络安全威胁信息的发布仍存在很多问题,有关单位、网络运营者反映强烈。例如,有组织或个人打着研究、交流、传授网络安全技术的旗号,随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,以及网络攻击、网络侵入过程和方法的细节,为恶意分子和网络黑产从业人员提供了技术资源,降低了网络攻击的门槛;有组织或个人未经网络运营者同意,公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息,容易被恶意分子利用威胁网络运营者网络安全,特别是关键信息基础设施的相关信息一旦被公开,危害更大;部分网络安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响;部分媒体、网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。
Q 什么是网络安全威胁信息?是否就是“威胁情报”?
解读:《办法》中指的网络安全威胁信息,包括:
(一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等;
(二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
同时,网络安全威胁信息并不是特指“威胁情报”,办法中就列出了对其他一些类型威胁信息的具体规定,比如对综合性报告,诸如《XX行业网络安全态势分析》等。因此,在发布网络威胁信息前,要谨慎对待,注意发布的内容。
Q 不得发布哪些网络安全威胁信息?
《办法》第四条提到,发布的网络安全威胁信息不得包含下列内容:
(一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
(二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;
(三)能够完整复现网络攻击、网络侵入过程的细节信息;
(四)数据泄露事件中泄露的数据内容本身;
(五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;
(六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;
(七)其他可能被直接用于危害网络正常运行的内容。
解读:这里要特别提一下(三)。对于一些发布的网络安全威胁信息中包含完整攻击方法,是不可取的。技术人员可能会根据这个攻击方法,复制形成新的攻击,造成不良的影响。例如,前段时间爆发的CVE-2019-0708的远程rdp溢出漏洞,微软在公布该漏洞的时候并未公布该漏洞的利用工具,部分安全研究人员拿到该漏洞的相关补丁,并且根据这些补丁分析定位该漏洞产生的原因、溢出的位置。再根据这些信息,编写了完整的利用程序,并将该漏洞形成漏洞技术分析文章,公布简单的poc验证该漏洞的代码(比如弹计算器)。
Q 《办法》禁止发布威胁信息,是否会阻碍了攻防对抗的发展,没有交流和分享,就很难有技术上的进步。
解读:《办法》并未禁止发布威胁信息,只是列明了一些不得发布的明显容易被非法利用危害网络安全的细节内容。从业者仍然可以发布网络安全威胁信息,体现自身技术能力,交流分享技术理念、方法等。但需要更审慎的对待要发布出去的内容,不能“好心办坏事”。
对于一些细节信息,比如源代码、制作方法、样本等等,仍然可以在网络安全从业者和技术爱好者的范围内进行交流共享。
Q 网络安全威胁信息发布前需要报告,涵盖了哪些范围?
解读:范围涵盖了研究机构、应急组织、网络安全厂商、个人研究者以及信息发布运营单位等,中华人民共和国境内发布网络安全威胁信息的任何个人或组织。
同时,《办法》也明确了在发布网络安全威胁信息之前,要向事件发生地的公安机关报告。但需要注意的是,并非指所有的事件信息,办法限定的主要是网络攻击、网络破坏类的事件。比如,发布某网站系统突然停止服务的信息,可以不适用本办法;但如果发布有人使用网络攻击破坏手段,如DDoS,致使网站停止服务了,发布前就需要报告。
Q 发布前,如何打报告?如果发现了一个重要行业的安全事件,应该向哪个报告?
解读:如果是公开发布的,需要按照《办法》规定。任何企业、社会组织和个人发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。其他情况,参考《国家网络安全事件应急预案》等其他办法的规定。
(图:发布流程)
Q 2017年发布的《国家网络安全事件应急预案》和《网络安全威胁信息发布管理办法(征求意见稿)》,有什么关系?
解读:《国家网络安全事件应急预案》和《网络安全威胁信息发布管理办法(征求意见稿)》都是对外的,管理规范的行为不同。预案主要是规范应急过程,办法规范的是信息发布过程,其中都涉及到信息问题,信息报告一般应从预案,但如果报告的同时还要公开,就要受到办法的规范了。
Q 为什么发布网络安全威胁信息,标题中不得含有“预警”字样?
国家互联网信息办公室有关负责人答记者问时表示,根据《国家网络安全事件应急预案》,网络安全预警是一种特定信息,具有权威性,应由政府部门按权限发布。但目前有的组织和个人随意发布预警,夸大事实,进行炒作,事实上破坏了预警的效力和权威性,所以我们要求发布网络安全威胁信息,标题中不得含有“预警”字样。相关组织和个人可通过风险提示、威胁情报等方式提醒公众加强风险防范。
Q 《报告》中规定了一些信息发布前需要向有关部门报告,还有要求标题不能使用“预警”字样,这样是否会阻碍威胁事件的通告速度?
解读:简单回答这个问题,就是不会阻碍威胁事件的通告速度,而且会大大提高网络安全应急响应的效率。
办法要求向相关向公安机关报告,一是并非所有信息都要报告,而是“网络和信息系统被攻击破坏、非法侵入等网络安全事件信息”和涉及有关地区或行业的“综合性”报告,这些信息或者本来就应当在公开前被有关部门和运营单位知晓,或者时效性要求并非特别强。二是报告不属于行政许可,完成报告即为履行义务。也就是说只要在发布前增加了一个报告的环节,完成报告后就可以发布了,不用等有关部门批准同意,不会耽误大家正常发布,反而有利于有关部门、运营单位更及时获取信息,有效响应。
关于信息题目不能使用“预警”字样的问题,那就更不会阻碍信息发布了,只是需要把题目调整为“高危风险”“风险提示”等即可。
Q 媒体、自媒体等,日后还能报道网络安全事件新闻吗?例如发现重要漏洞、APT事件等?
解读:当然可以。有关负责人答记者问里面已经写了,媒体可以正常报道网络安全事件新闻,但需满足两个条件,一是如果属于办法第五条提到的网络和信息系统网络安全事件,首次披露前要向所在地区地市级以上公安机关报告,以便有关部门及时掌握事件情况,采取处置措施,降低危害;二是不得包含网络安全事件泄露的数据内容本身,以免扩大事件的危害。
附《网络安全威胁信息发布管理办法(征求意见稿)》:
第一条 为规范网络安全威胁信息发布行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条 发布网络安全威胁信息,应以维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识为目的,不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。
第三条 发布网络安全威胁信息,应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。
第四条 发布的网络安全威胁信息不得包含下列内容:
(一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
(二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;
(三)能够完整复现网络攻击、网络侵入过程的细节信息;
(四)数据泄露事件中泄露的数据内容本身;
(五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;
(六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;
(七)其他可能被直接用于危害网络正常运行的内容。
第五条 发布网络和信息系统被攻击破坏、非法侵入等网络安全事件信息前,应向该事件发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。
第六条 任何企业、社会组织和个人发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;
发布涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;
发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。
第七条 未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
第八条 发布具体网络和信息系统存在风险、脆弱性情况,应事先征求网络和信息系统运营者书面意见,以下情况除外:
(一)相关风险、脆弱性已被消除或修复;
(二)已提前30日向网信、电信、公安或相关行业主管部门举报。
第九条 通过下列平台发布信息的,平台运营者、主办单位接到有关部门通报、用户举报,或自行发现平台上存在违反本办法的发布行为和发布内容的,应当立即停止发布、采取消除等处置措施,防止违规内容扩散,保存有关记录,并向地市级以上网信部门、公安机关报告。
1.报刊、广播电视、出版物;
2.互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等;
3.公开举行的会议、论坛、讲座;
4.公开举办的网络安全竞赛;
5.其他公共平台。
第十条 违反本办法规定发布网络安全威胁信息的,由网信部门、公安机关根据《中华人民共和国网络安全法》的规定予以处理。
第十一条 涉及国家秘密、涉密网络的网络安全威胁信息发布活动,按照国家有关规定执行。
第十二条 本办法所称网络安全威胁信息,包括:
(一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等。
(二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
第十三条 本办法自发布之日起实施。