为规范发布网络安全威胁信息行为,有效应对网络安全威胁和风险,保障网络运行安全,国家互联网信息办公室会同公安部等有关部门近日起草了《网络安全威胁信息发布管理办法》,并向社会公开征求意见。
国家网信办相关负责人介绍,当前,网络安全产业发展迅速。许多网络安全研究人员和网络安全企业以提高公民网络安全意识和交流网络安全技术为目的,积极向社会发布网络安全威胁信息,为维护国家网间安全做出贡献空。然而,网络安全威胁信息的发布仍存在诸多问题。为进一步规范网络安全威胁信息发布行为,国家网信办会同公安部等有关部门根据职责制定了本办法征求意见稿。
信息出版主体多元化
许多问题亟待解决。
在中国传媒大学法律系副主任郑宁看来,网络安全威胁信息的发布者很多,很多都有积极的价值,比如提高公民的网络安全意识,交流网络安全技术,增强用户的网络安全防范能力,促进网络安全产业发展等。
11月20日,国家互联网信息办公室有关负责人就征求意见稿答记者问时也指出,网络安全威胁信息发布还存在不少问题,有关单位和网络运营者反映强烈。
例如,组织或个人打着研究、交流、传授网络安全技术的旗号,免费发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,以及网络攻击和网络入侵的过程和方法细节,为网络黑产的恶意分子和从业者提供技术资源,降低网络攻击门槛;未经网络运营者同意,组织或个人泄露网络规划设计、拓扑结构、资产信息、软件代码等属性信息和漏洞信息。,很容易被恶意分子利用,威胁网络运营商的网络安全。尤其是关键信息基础设施的相关信息一旦公开,危害更大;一些网络安全企业和机构为了推销产品、赚眼球,对相关地区和行业的网络安全攻击、事件、风险和漏洞进行不当评估,误导舆论,造成不良影响;一些媒体和网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。
“具体来说,比如发布有关网络安全威胁的信息,实际上就是发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法。,并进行网络攻击;以发布网络安全威胁信息为由,对他人产品进行不当评价或对自己产品进行不当宣传。”郑宁表示,这些问题会对国家安全、公共安全、个人信息以及他人的合法商业利益产生不利影响,因此有必要制定相应的立法进行规范。
北京师范大学法学院网络与智慧社会法治研究中心主任刘德良告诉《法制日报》记者,规范网络安全威胁信息发布和管理的征求意见稿的起草和发布,实际上是落实《网络安全法》相关规定的体现。“我们需要做的是,根据《网络安全法》中的相关原则和现实需要,进一步落实。”
《网络安全法》第二十六条规定,网络安全认证、检测、风险评估等活动,向公众发布系统漏洞、计算机病毒、网络攻击、网络入侵等网络安全信息,应当符合国家有关规定。
此外,在征求意见稿公布之前,没有法律法规对网络安全威胁的信息发布活动进行规范。
监管范围相对扩大。
披露原则更加清晰。
根据征求意见稿,网信办定义的“网络安全威胁”,除漏洞信息外,还包括“用于描述意图、方法、工具、过程、结果等的信息。可能威胁网络正常运行的行为”。如计算机病毒、网络攻击、网络入侵、网络安全事件等。
此外,它还包括可能暴露网络漏洞的信息。比如网络与信息系统存在的风险和漏洞、网络规划与设计、拓扑结构、资产信息、软件源代码、单元或设备选型、配置、软件的属性信息、网络安全风险评估、测试与认证报告、安全防护计划和策略方案等。
征求意见稿还对相关信息的披露原则提出了更高的要求,即“客观、真实、审慎、负责”。特别建议,不得将网络安全威胁信息用于炒作、谋取不正当利益或从事不正当商业竞争。
在披露程序上,更是明确规定了发布具体网络和信息系统存在风险、脆弱性情况时,必须事先征求网络和信息系统运营者书面意见,除非相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门
