雷鋒網消息,11 月 20 日,國家互聯網信息辦公室發佈《網絡安全威脅信息發佈管理辦法(徵求意見稿)》(簡稱《辦法》),以下是徵求意見稿全文及答記者問。
為規範發佈網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,依據《中華人民共和國網絡安全法》等相關法律法規,國家互聯網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發佈管理辦法(徵求意見稿)》,現向社會公開徵求意見。有關單位和各界人士可以在2019年12月19日前,通過以下方式提出意見:
1.通過電子郵件方式發送至:[email protected]
2.通過信函方式將意見寄至:北京市西城區車公莊大街11號國家互聯網信息辦公室網絡安全協調局,郵編100044,並在信封上註明“網絡安全威脅信息發佈管理辦法徵求意見”。
附件:網絡安全威脅信息發佈管理辦法(徵求意見稿)
國家互聯網信息辦公室
2019年11月20日
網絡安全威脅信息發佈管理辦法
(徵求意見稿)
第一條 為規範網絡安全威脅信息發佈行為,有效應對網絡安全威脅和風險,保障網絡運行安全,依據《中華人民共和國網絡安全法》等相關法律法規,制定本辦法。
第二條 發佈網絡安全威脅信息,應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的,不得危害國家安全和社會公共利益,不得侵犯公民、法人和其他組織的合法權益。
第三條 發佈網絡安全威脅信息,應堅持客觀、真實、審慎、負責的原則,不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。
第四條 發佈的網絡安全威脅信息不得包含下列內容:
(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法;
(二)專門用於從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具;
(三)能夠完整復現網絡攻擊、網絡侵入過程的細節信息;
(四)數據洩露事件中洩露的數據內容本身;
(五)具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息;
(六)具體網絡和信息系統的網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案;
(七)其他可能被直接用於危害網絡正常運行的內容。
第五條 發佈網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息前,應向該事件發生所在地地市級以上公安機關報告。各級公安機關應及時將相關情況報同級網信部門和上級公安機關。
第六條 任何企業、社會組織和個人發佈地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向所涉及地區地市級以上網信部門和公安機關報告;
發佈涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時,應事先向行業主管部門報告;
發佈全國性或跨地區、跨行業領域的綜合分析報告時,應事先向國家網信部門和國務院公安部門報告。
第七條 未經政府部門批准和授權,任何企業、社會組織和個人發佈網絡安全威脅信息時,標題中不得含有“預警”字樣。
第八條 發佈具體網絡和信息系統存在風險、脆弱性情況,應事先徵求網絡和信息系統運營者書面意見,以下情況除外:
(一)相關風險、脆弱性已被消除或修復;
(二)已提前30日向網信、電信、公安或相關行業主管部門舉報。
第九條 通過下列平臺發佈信息的,平臺運營者、主辦單位接到有關部門通報、用戶舉報,或自行發現平臺上存在違反本辦法的發佈行為和發佈內容的,應當立即停止發佈、採取消除等處置措施,防止違規內容擴散,保存有關記錄,並向地市級以上網信部門、公安機關報告。
1.報刊、廣播電視、出版物;
2.互聯網站、論壇、博客、微博、公眾賬號、即時通信工具、互聯網直播、互聯網視聽節目、應用程序、網絡硬盤等;
3.公開舉行的會議、論壇、講座;
4.公開舉辦的網絡安全競賽;
5.其他公共平臺。
第十條 違反本辦法規定發佈網絡安全威脅信息的,由網信部門、公安機關根據《中華人民共和國網絡安全法》的規定予以處理。
第十一條 涉及國家秘密、涉密網絡的網絡安全威脅信息發佈活動,按照國家有關規定執行。
第十二條 本辦法所稱網絡安全威脅信息,包括:
(一)對可能威脅網絡正常運行的行為,用於描述其意圖、方法、工具、過程、結果等的信息。如:計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。
(二)可能暴露網絡脆弱性的信息。如:系統漏洞,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
第十三條 本辦法自發布之日起實施。
國家互聯網信息辦公室有關負責人接受採訪,就《辦法》相關問題回答了記者提問。
1.問:請您介紹一下制定《辦法》的背景?
答:當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出於提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防範能力、促進網絡安全產業發展等目的,積極向社會發佈網絡安全威脅信息,為維護國家網絡空間安全做出很大貢獻。但是也應看到,網絡安全威脅信息的發佈仍存在很多問題,有關單位、網絡運營者反映強烈。例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發佈計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發佈網絡安全預警信息,誇大危害和影響,容易造成社會恐慌。
2.問:制定《辦法》的依據是什麼?
答:《網絡安全法》第二十六條規定,“開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。”目前,尚無規範網絡安全威脅信息發佈活動的法律法規。因此,為了進一步規範網絡安全威脅信息發佈行為,國家互聯網信息辦公室會同公安部等有關部門依據職責制定了《辦法》。
3.問:為什麼禁止發佈惡意程序源代碼、製作方法,能夠完整復現網絡攻擊、網絡侵入過程的細節信息等網絡安全威脅信息?
答:上述網絡安全威脅信息容易被惡意分子或網絡黑產從業人員直接利用,降低了網絡攻擊的門檻,因此從維護網絡安全的角度,要求發佈網絡安全威脅信息時不得包含上述內容。網絡安全從業者、愛好者仍可通過多種方式加強原理和技術研究,提高網絡安全能力水平。
4.問:禁止發佈第四條規定的信息,是否會導致這些信息流入地下黑市?
答:為網絡犯罪提供技術支持是法律明確禁止的違法犯罪行為,依法要承擔相應的法律責任。我們相信,作為遵紀守法、有道德操守的網絡安全工作者、愛好者,以前不會為網絡黑產提供技術支持,今後同樣也不會。
5.問:是否會對網絡安全產業發展造成影響?
答:我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的製作技術、網絡攻擊技術,並不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。
6.問:媒體今後還能報道網絡安全事件新聞嗎?
答:媒體可以正常報道網絡安全事件新聞,但需滿足兩個條件,一是如果屬於辦法第五條提到的網絡和信息系統網絡安全事件,首次披露前要向所在地區地市級以上公安機關報告,以便有關部門及時掌握事件情況,採取處置措施,降低危害;二是不得包含網絡安全事件洩露的數據內容本身,以免擴大事件的危害。
7.問:向網信部門、公安機關、行業主管部門等報告是否屬於行政許可?
答:不屬於行政許可,完成報告即為履行義務。
8.問:為什麼發佈具體網絡和信息系統存在風險、脆弱性的情況時,需要事先徵得其運營者書面同意?
答:如果隨意發佈上述信息,惡意分子有可能利用這些信息入侵相關網絡和信息系統,導致網絡和信息系統運營者利益受損。但如果根據發佈的網絡安全威脅信息,無法定位到具體網絡和信息系統,如不涉及網絡和信息系統的名字、位置、域名、IP地址等信息,就不需要徵求其運營者同意。此外,如果相關風險、脆弱性已被消除或修復,或已提前30日向網信、電信、公安或相關行業主管部門舉報,發佈上述信息也可不經其運營者同意。
9.問:為什麼發佈網絡安全威脅信息,標題中不得含有“預警”字樣?
答:根據《國家網絡安全事件應急預案》,網絡安全預警是一種特定信息,具有權威性,應由政府部門按權限發佈。但目前有的組織和個人隨意發佈預警,誇大事實,進行炒作,事實上破壞了預警的效力和權威性,所以我們要求發佈網絡安全威脅信息,標題中不得含有“預警”字樣。相關組織和個人可通過風險提示、威脅情報等方式提醒公眾加強風險防範。
**
雷鋒網年度評選——尋找19大行業的最佳AI落地實踐
創立於2017年的「AI最佳掘金案例年度榜單」,是業內首個人工智能商業案例評選活動。雷鋒網從商用維度出發,尋找人工智能在各個行業的最佳落地實踐。
第三屆評選已正式啟動,關注微信公眾號“雷鋒網”,回覆關鍵詞“榜單”參與報名。詳情可諮詢微信號:xqxq_xq
閱讀更多 雷鋒網 的文章
