AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
《網絡安全威脅信息發布管理辦法(征求意見稿)》,你關心的幾個問題的解讀來了!
今日,國家互聯網信息辦公室發布了關于《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下稱《辦法》)公開征求意見的通知。該《辦法》是落實《網絡安全法》的重要舉措,有利于進一步規范網絡安全威脅信息發布,防止信息發布不當被非法利用危害網絡安全。
安恒信息結合國家互聯網信息辦公室有關負責人的有關回復,并咨詢相關專家,對主要的問題進行解讀。
Q?《辦法》出臺的背景和意義?
國家互聯網信息辦公室有關負責人在答記者問,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全做出很大貢獻。但是也應看到,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。
?
Q? 什么是網絡安全威脅信息?是否就是“威脅情報”?
解讀:《辦法》中指的網絡安全威脅信息,包括:
(一)對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息。如:計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等;
(二)可能暴露網絡脆弱性的信息。如:系統漏洞,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
同時,網絡安全威脅信息并不是特指“威脅情報”,辦法中就列出了對其他一些類型威脅信息的具體規定,比如對綜合性報告,諸如《XX行業網絡安全態勢分析》等。因此,在發布網絡威脅信息前,要謹慎對待,注意發布的內容。
?
Q? 不得發布哪些網絡安全威脅信息?
《辦法》第四條提到,發布的網絡安全威脅信息不得包含下列內容:
(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法;
(二)專門用于從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具;
(三)能夠完整復現網絡攻擊、網絡侵入過程的細節信息;
(四)數據泄露事件中泄露的數據內容本身;
(五)具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息;
(六)具體網絡和信息系統的網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案;
(七)其他可能被直接用于危害網絡正常運行的內容。
解讀:這里要特別提一下(三)。對于一些發布的網絡安全威脅信息中包含完整攻擊方法,是不可取的。技術人員可能會根據這個攻擊方法,復制形成新的攻擊,造成不良的影響。例如,前段時間爆發的CVE-2019-0708的遠程rdp溢出漏洞,微軟在公布該漏洞的時候并未公布該漏洞的利用工具,部分安全研究人員拿到該漏洞的相關補丁,并且根據這些補丁分析定位該漏洞產生的原因、溢出的位置。再根據這些信息,編寫了完整的利用程序,并將該漏洞形成漏洞技術分析文章,公布簡單的poc驗證該漏洞的代碼(比如彈計算器)。
?
Q?《辦法》禁止發布威脅信息,是否會阻礙了攻防對抗的發展,沒有交流和分享,就很難有技術上的進步。
解讀:《辦法》并未禁止發布威脅信息,只是列明了一些不得發布的明顯容易被非法利用危害網絡安全的細節內容。從業者仍然可以發布網絡安全威脅信息,體現自身技術能力,交流分享技術理念、方法等。但需要更審慎的對待要發布出去的內容,不能“好心辦壞事”。
對于一些細節信息,比如源代碼、制作方法、樣本等等,仍然可以在網絡安全從業者和技術愛好者的范圍內進行交流共享。
?
Q? 網絡安全威脅信息發布前需要報告,涵蓋了哪些范圍?
解讀:范圍涵蓋了研究機構、應急組織、網絡安全廠商、個人研究者以及信息發布運營單位等,中華人民共和國境內發布網絡安全威脅信息的任何個人或組織。
同時,《辦法》也明確了在發布網絡安全威脅信息之前,要向事件發生地的公安機關報告。但需要注意的是,并非指所有的事件信息,辦法限定的主要是網絡攻擊、網絡破壞類的事件。比如,發布某網站系統突然停止服務的信息,可以不適用本辦法;但如果發布有人使用網絡攻擊破壞手段,如DDoS,致使網站停止服務了,發布前就需要報告。
?
Q? 發布前,如何打報告?如果發現了一個重要行業的安全事件,應該向哪個報告?
解讀:如果是公開發布的,需要按照《辦法》規定。任何企業、社會組織和個人發布地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向所涉及地區地市級以上網信部門和公安機關報告;涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向行業主管部門報告;發布全國性或跨地區、跨行業領域的綜合分析報告時,應事先向國家網信部門和國務院公安部門報告。其他情況,參考《國家網絡安全事件應急預案》等其他辦法的規定。
(圖:發布流程)
?
Q? 2017年發布的《國家網絡安全事件應急預案》和《網絡安全威脅信息發布管理辦法(征求意見稿)》,有什么關系?
解讀:《國家網絡安全事件應急預案》和《網絡安全威脅信息發布管理辦法(征求意見稿)》都是對外的,管理規范的行為不同。預案主要是規范應急過程,辦法規范的是信息發布過程,其中都涉及到信息問題,信息報告一般應從預案,但如果報告的同時還要公開,就要受到辦法的規范了。
?
Q? 為什么發布網絡安全威脅信息,標題中不得含有“預警”字樣?
國家互聯網信息辦公室有關負責人答記者問時表示,根據《國家網絡安全事件應急預案》,網絡安全預警是一種特定信息,具有權威性,應由政府部門按權限發布。但目前有的組織和個人隨意發布預警,夸大事實,進行炒作,事實上破壞了預警的效力和權威性,所以我們要求發布網絡安全威脅信息,標題中不得含有“預警”字樣。相關組織和個人可通過風險提示、威脅情報等方式提醒公眾加強風險防范。
?
Q?《報告》中規定了一些信息發布前需要向有關部門報告,還有要求標題不能使用“預警”字樣,這樣是否會阻礙威脅事件的通告速度?
解讀:簡單回答這個問題,就是不會阻礙威脅事件的通告速度,而且會大大提高網絡安全應急響應的效率。
辦法要求向相關向公安機關報告,一是并非所有信息都要報告,而是“網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息”和涉及有關地區或行業的“綜合性”報告,這些信息或者本來就應當在公開前被有關部門和運營單位知曉,或者時效性要求并非特別強。二是報告不屬于行政許可,完成報告即為履行義務。也就是說只要在發布前增加了一個報告的環節,完成報告后就可以發布了,不用等有關部門批準同意,不會耽誤大家正常發布,反而有利于有關部門、運營單位更及時獲取信息,有效響應。
關于信息題目不能使用“預警”字樣的問題,那就更不會阻礙信息發布了,只是需要把題目調整為“高危風險”“風險提示”等即可。
?
Q? 媒體、自媒體等,日后還能報道網絡安全事件新聞嗎?例如發現重要漏洞、APT事件等?
解讀:當然可以。有關負責人答記者問里面已經寫了,媒體可以正常報道網絡安全事件新聞,但需滿足兩個條件,一是如果屬于辦法第五條提到的網絡和信息系統網絡安全事件,首次披露前要向所在地區地市級以上公安機關報告,以便有關部門及時掌握事件情況,采取處置措施,降低危害;二是不得包含網絡安全事件泄露的數據內容本身,以免擴大事件的危害。
?
附《網絡安全威脅信息發布管理辦法(征求意見稿)》:
第一條?為規范網絡安全威脅信息發布行為,有效應對網絡安全威脅和風險,保障網絡運行安全,依據《中華人民共和國網絡安全法》等相關法律法規,制定本辦法。
第二條?發布網絡安全威脅信息,應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的,不得危害國家安全和社會公共利益,不得侵犯公民、法人和其他組織的合法權益。
第三條?發布網絡安全威脅信息,應堅持客觀、真實、審慎、負責的原則,不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。
第四條?發布的網絡安全威脅信息不得包含下列內容:
(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法;
(二)專門用于從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具;
(三)能夠完整復現網絡攻擊、網絡侵入過程的細節信息;
(四)數據泄露事件中泄露的數據內容本身;
(五)具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息;
(六)具體網絡和信息系統的網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案;
(七)其他可能被直接用于危害網絡正常運行的內容。
第五條?發布網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息前,應向該事件發生所在地地市級以上公安機關報告。各級公安機關應及時將相關情況報同級網信部門和上級公安機關。
第六條?任何企業、社會組織和個人發布地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向所涉及地區地市級以上網信部門和公安機關報告;
發布涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向行業主管部門報告;
發布全國性或跨地區、跨行業領域的綜合分析報告時,應事先向國家網信部門和國務院公安部門報告。
第七條?未經政府部門批準和授權,任何企業、社會組織和個人發布網絡安全威脅信息時,標題中不得含有“預警”字樣。
第八條?發布具體網絡和信息系統存在風險、脆弱性情況,應事先征求網絡和信息系統運營者書面意見,以下情況除外:
(一)相關風險、脆弱性已被消除或修復;
(二)已提前30日向網信、電信、公安或相關行業主管部門舉報。
第九條?通過下列平臺發布信息的,平臺運營者、主辦單位接到有關部門通報、用戶舉報,或自行發現平臺上存在違反本辦法的發布行為和發布內容的,應當立即停止發布、采取消除等處置措施,防止違規內容擴散,保存有關記錄,并向地市級以上網信部門、公安機關報告。
1.報刊、廣播電視、出版物;
2.互聯網站、論壇、博客、微博、公眾賬號、即時通信工具、互聯網直播、互聯網視聽節目、應用程序、網絡硬盤等;
3.公開舉行的會議、論壇、講座;
4.公開舉辦的網絡安全競賽;
5.其他公共平臺。
第十條?違反本辦法規定發布網絡安全威脅信息的,由網信部門、公安機關根據《中華人民共和國網絡安全法》的規定予以處理。
第十一條?涉及國家秘密、涉密網絡的網絡安全威脅信息發布活動,按照國家有關規定執行。
第十二條?本辦法所稱網絡安全威脅信息,包括:
(一)對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息。如:計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。
(二)可能暴露網絡脆弱性的信息。如:系統漏洞,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
第十三條?本辦法自發布之日起實施。
