《網絡安全威脅信息發布管理(lǐ)辦法(征求意見稿)》
發布日期:2020-01-06 16:33:14 浏覽量:937人(rén)
國家互聯網信息向社會公開征求對(duì)《網絡安全威脅信息發布管理(lǐ)辦法(征求意見稿)》(以下(xià)簡稱《辦法》)意見,國家互聯網信息辦公室有關負責人(rén)接受采訪,就《辦法》相關問題回答(dá)了(le)記者提問。
1.問:請您介紹一下(xià)制定《辦法》的(de)背景?
答(dá):當前,網絡安全産業迅猛發展,許多(duō)網絡安全研究者和(hé)網絡安全企業出于提高(gāo)公民網絡安全意識、交流網絡安全技術、增強用(yòng)戶網絡安全防範能力、促進網絡安全産業發展等目的(de),積極向社會發布網絡安全威脅信息,爲維護國家網絡空間安全做(zuò)出很大(dà)貢獻。但是也(yě)應看到,網絡安全威脅信息的(de)發布仍存在很多(duō)問題,有關單位、網絡運營者反映強烈。例如,有組織或個(gè)人(rén)打著(zhe)研究、交流、傳授網絡安全技術的(de)旗号,随意發布計算(suàn)機病毒、木(mù)馬、勒索軟件等惡意程序的(de)源代碼和(hé)制作方法,以及網絡攻擊、網絡侵入過程和(hé)方法的(de)細節,爲惡意分(fēn)子和(hé)網絡黑(hēi)産從業人(rén)員(yuán)提供了(le)技術資源,降低了(le)網絡攻擊的(de)門檻;有組織或個(gè)人(rén)未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資産信息、軟件代碼等屬性信息和(hé)脆弱性信息,容易被惡意分(fēn)子利用(yòng)威脅網絡運營者網絡安全,特别是關鍵信息基礎設施的(de)相關信息一旦被公開,危害更大(dà);部分(fēn)網絡安全企業和(hé)機構爲推銷産品、賺取眼球,不當評價有關地區(qū)、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影(yǐng)響;部分(fēn)媒體、網絡安全企業随意發布網絡安全預警信息,誇大(dà)危害和(hé)影(yǐng)響,容易造成社會恐慌。
2.問:制定《辦法》的(de)依據是什(shén)麽?
答(dá):《網絡安全法》第二十六條規定,“開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算(suàn)機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。”目前,尚無規範網絡安全威脅信息發布活動的(de)法律法規。因此,爲了(le)進一步規範網絡安全威脅信息發布行爲,國家互聯網信息辦公室會同公安部等有關部門依據職責制定了(le)《辦法》。
3.問:爲什(shén)麽禁止發布惡意程序源代碼、制作方法,能夠完整複現網絡攻擊、網絡侵入過程的(de)細節信息等網絡安全威脅信息?
答(dá):上述網絡安全威脅信息容易被惡意分(fēn)子或網絡黑(hēi)産從業人(rén)員(yuán)直接利用(yòng),降低了(le)網絡攻擊的(de)門檻,因此從維護網絡安全的(de)角度,要求發布網絡安全威脅信息時(shí)不得(de)包含上述内容。網絡安全從業者、愛(ài)好者仍可(kě)通(tōng)過多(duō)種方式加強原理(lǐ)和(hé)技術研究,提高(gāo)網絡安全能力水(shuǐ)平。
4.問:禁止發布第四條規定的(de)信息,是否會導緻這(zhè)些信息流入地下(xià)黑(hēi)市?
答(dá):爲網絡犯罪提供技術支持是法律明(míng)确禁止的(de)違法犯罪行爲,依法要承擔相應的(de)法律責任。我們相信,作爲遵紀守法、有道德操守的(de)網絡安全工作者、愛(ài)好者,以前不會爲網絡黑(hēi)産提供技術支持,今後同樣也(yě)不會。
5.問:是否會對(duì)網絡安全産業發展造成影(yǐng)響?
答(dá):我們鼓勵和(hé)支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的(de)制作技術、網絡攻擊技術,并不意味著(zhe)企業不能研究網絡攻擊技術,企業仍可(kě)通(tōng)過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影(yǐng)響安全産業發展,對(duì)提高(gāo)網絡安全産業發展水(shuǐ)平還(hái)産生積極的(de)促進作用(yòng)。
6.問:媒體今後還(hái)能報道網絡安全事件新聞嗎?
答(dá):媒體可(kě)以正常報道網絡安全事件新聞,但需滿足兩個(gè)條件,一是如果屬于辦法第五條提到的(de)網絡和(hé)信息系統網絡安全事件,首次披露前要向所在地區(qū)地市級以上公安機關報告,以便有關部門及時(shí)掌握事件情況,采取處置措施,降低危害;二是不得(de)包含網絡安全事件洩露的(de)數據内容本身,以免擴大(dà)事件的(de)危害。
7.問:向網信部門、公安機關、行業主管部門等報告是否屬于行政許可(kě)?
答(dá):不屬于行政許可(kě),完成報告即爲履行義務。
8.問:爲什(shén)麽發布具體網絡和(hé)信息系統存在風險、脆弱性的(de)情況時(shí),需要事先征得(de)其運營者書(shū)面同意?
答(dá):如果随意發布上述信息,惡意分(fēn)子有可(kě)能利用(yòng)這(zhè)些信息入侵相關網絡和(hé)信息系統,導緻網絡和(hé)信息系統運營者利益受損。但如果根據發布的(de)網絡安全威脅信息,無法定位到具體網絡和(hé)信息系統,如不涉及網絡和(hé)信息系統的(de)名字、位置、域名、IP地址等信息,就不需要征求其運營者同意。此外,如果相關風險、脆弱性已被消除或修複,或已提前30日向網信、電信、公安或相關行業主管部門舉報,發布上述信息也(yě)可(kě)不經其運營者同意。
9.問:爲什(shén)麽發布網絡安全威脅信息,标題中不得(de)含有“預警”字樣?
答(dá):根據《國家網絡安全事件應急預案》,網絡安全預警是一種特定信息,具有權威性,應由政府部門按權限發布。但目前有的(de)組織和(hé)個(gè)人(rén)随意發布預警,誇大(dà)事實,進行炒作,事實上破壞了(le)預警的(de)效力和(hé)權威性,所以我們要求發布網絡安全威脅信息,标題中不得(de)含有“預警”字樣。相關組織和(hé)個(gè)人(rén)可(kě)通(tōng)過風險提示、威脅情報等方式提醒公衆加強風險防範。
友情鏈接: