首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》，你關(guān)心的幾個問題的解讀來了！

閱讀量：次

今日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了關(guān)于《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》（以下稱《辦法》）公開征求意見的通知。該《辦法》是落實《網(wǎng)絡(luò)安全法》的重要舉措，有利于進(jìn)一步規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布，防止信息發(fā)布不當(dāng)被非法利用危害網(wǎng)絡(luò)安全。

安恒信息結(jié)合國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人的有關(guān)回復(fù)，并咨詢相關(guān)專家，對主要的問題進(jìn)行解讀。

Q?《辦法》出臺的背景和意義？

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人在答記者問，當(dāng)前，網(wǎng)絡(luò)安全產(chǎn)業(yè)迅猛發(fā)展，許多網(wǎng)絡(luò)安全研究者和網(wǎng)絡(luò)安全企業(yè)出于提高公民網(wǎng)絡(luò)安全意識、交流網(wǎng)絡(luò)安全技術(shù)、增強用戶網(wǎng)絡(luò)安全防范能力、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等目的，積極向社會發(fā)布網(wǎng)絡(luò)安全威脅信息，為維護(hù)國家網(wǎng)絡(luò)空間安全做出很大貢獻(xiàn)。但是也應(yīng)看到，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問題，有關(guān)單位、網(wǎng)絡(luò)運營者反映強烈。例如，有組織或個人打著研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)的旗號，隨意發(fā)布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過程和方法的細(xì)節(jié)，為惡意分子和網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員提供了技術(shù)資源，降低了網(wǎng)絡(luò)攻擊的門檻；有組織或個人未經(jīng)網(wǎng)絡(luò)運營者同意，公開網(wǎng)絡(luò)規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息，容易被惡意分子利用威脅網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)信息一旦被公開，危害更大；部分網(wǎng)絡(luò)安全企業(yè)和機構(gòu)為推銷產(chǎn)品、賺取眼球，不當(dāng)評價有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性狀況，誤導(dǎo)輿論，造成不良影響；部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息，夸大危害和影響，容易造成社會恐慌。

Q? 什么是網(wǎng)絡(luò)安全威脅信息？是否就是“威脅情報”？

解讀：《辦法》中指的網(wǎng)絡(luò)安全威脅信息，包括：

（一）對可能威脅網(wǎng)絡(luò)正常運行的行為，用于描述其意圖、方法、工具、過程、結(jié)果等的信息。如：計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等；

（二）可能暴露網(wǎng)絡(luò)脆弱性的信息。如：系統(tǒng)漏洞，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護(hù)計劃和策略方案等。

同時，網(wǎng)絡(luò)安全威脅信息并不是特指“威脅情報”，辦法中就列出了對其他一些類型威脅信息的具體規(guī)定，比如對綜合性報告，諸如《XX行業(yè)網(wǎng)絡(luò)安全態(tài)勢分析》等。因此，在發(fā)布網(wǎng)絡(luò)威脅信息前，要謹(jǐn)慎對待，注意發(fā)布的內(nèi)容。

Q? 不得發(fā)布哪些網(wǎng)絡(luò)安全威脅信息？

《辦法》第四條提到，發(fā)布的網(wǎng)絡(luò)安全威脅信息不得包含下列內(nèi)容：

(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法；

(二)專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、破壞網(wǎng)絡(luò)防護(hù)措施或竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)活動的程序、工具；

(三)能夠完整復(fù)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過程的細(xì)節(jié)信息；

(四)數(shù)據(jù)泄露事件中泄露的數(shù)據(jù)內(nèi)容本身；

(五)具體網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息；

(六)具體網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護(hù)計劃和策略方案；

(七)其他可能被直接用于危害網(wǎng)絡(luò)正常運行的內(nèi)容。

解讀：這里要特別提一下（三）。對于一些發(fā)布的網(wǎng)絡(luò)安全威脅信息中包含完整攻擊方法，是不可取的。技術(shù)人員可能會根據(jù)這個攻擊方法，復(fù)制形成新的攻擊，造成不良的影響。例如，前段時間爆發(fā)的CVE-2019-0708的遠(yuǎn)程rdp溢出漏洞，微軟在公布該漏洞的時候并未公布該漏洞的利用工具，部分安全研究人員拿到該漏洞的相關(guān)補丁，并且根據(jù)這些補丁分析定位該漏洞產(chǎn)生的原因、溢出的位置。再根據(jù)這些信息，編寫了完整的利用程序，并將該漏洞形成漏洞技術(shù)分析文章，公布簡單的poc驗證該漏洞的代碼（比如彈計算器）。

Q?《辦法》禁止發(fā)布威脅信息，是否會阻礙了攻防對抗的發(fā)展，沒有交流和分享，就很難有技術(shù)上的進(jìn)步。

解讀：《辦法》并未禁止發(fā)布威脅信息，只是列明了一些不得發(fā)布的明顯容易被非法利用危害網(wǎng)絡(luò)安全的細(xì)節(jié)內(nèi)容。從業(yè)者仍然可以發(fā)布網(wǎng)絡(luò)安全威脅信息，體現(xiàn)自身技術(shù)能力，交流分享技術(shù)理念、方法等。但需要更審慎的對待要發(fā)布出去的內(nèi)容，不能“好心辦壞事”。

對于一些細(xì)節(jié)信息，比如源代碼、制作方法、樣本等等，仍然可以在網(wǎng)絡(luò)安全從業(yè)者和技術(shù)愛好者的范圍內(nèi)進(jìn)行交流共享。

Q? 網(wǎng)絡(luò)安全威脅信息發(fā)布前需要報告，涵蓋了哪些范圍？

解讀：范圍涵蓋了研究機構(gòu)、應(yīng)急組織、網(wǎng)絡(luò)安全廠商、個人研究者以及信息發(fā)布運營單位等，中華人民共和國境內(nèi)發(fā)布網(wǎng)絡(luò)安全威脅信息的任何個人或組織。

同時，《辦法》也明確了在發(fā)布網(wǎng)絡(luò)安全威脅信息之前，要向事件發(fā)生地的公安機關(guān)報告。但需要注意的是，并非指所有的事件信息，辦法限定的主要是網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)破壞類的事件。比如，發(fā)布某網(wǎng)站系統(tǒng)突然停止服務(wù)的信息，可以不適用本辦法；但如果發(fā)布有人使用網(wǎng)絡(luò)攻擊破壞手段，如DDoS，致使網(wǎng)站停止服務(wù)了，發(fā)布前就需要報告。

Q? 發(fā)布前，如何打報告？如果發(fā)現(xiàn)了一個重要行業(yè)的安全事件，應(yīng)該向哪個報告？

解讀：如果是公開發(fā)布的，需要按照《辦法》規(guī)定。任何企業(yè)、社會組織和個人發(fā)布地區(qū)性的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性綜合分析報告時，應(yīng)事先向所涉及地區(qū)地市級以上網(wǎng)信部門和公安機關(guān)報告；涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性綜合分析報告時，應(yīng)事先向行業(yè)主管部門報告；發(fā)布全國性或跨地區(qū)、跨行業(yè)領(lǐng)域的綜合分析報告時，應(yīng)事先向國家網(wǎng)信部門和國務(wù)院公安部門報告。其他情況，參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等其他辦法的規(guī)定。

（圖：發(fā)布流程）

Q? 2017年發(fā)布的《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》，有什么關(guān)系？

解讀：《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》都是對外的，管理規(guī)范的行為不同。預(yù)案主要是規(guī)范應(yīng)急過程，辦法規(guī)范的是信息發(fā)布過程，其中都涉及到信息問題，信息報告一般應(yīng)從預(yù)案，但如果報告的同時還要公開，就要受到辦法的規(guī)范了。

Q? 為什么發(fā)布網(wǎng)絡(luò)安全威脅信息，標(biāo)題中不得含有“預(yù)警”字樣?

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人答記者問時表示，根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，網(wǎng)絡(luò)安全預(yù)警是一種特定信息，具有權(quán)威性，應(yīng)由政府部門按權(quán)限發(fā)布。但目前有的組織和個人隨意發(fā)布預(yù)警，夸大事實，進(jìn)行炒作，事實上破壞了預(yù)警的效力和權(quán)威性，所以我們要求發(fā)布網(wǎng)絡(luò)安全威脅信息，標(biāo)題中不得含有“預(yù)警”字樣。相關(guān)組織和個人可通過風(fēng)險提示、威脅情報等方式提醒公眾加強風(fēng)險防范。

Q?《報告》中規(guī)定了一些信息發(fā)布前需要向有關(guān)部門報告，還有要求標(biāo)題不能使用“預(yù)警”字樣，這樣是否會阻礙威脅事件的通告速度？

解讀：簡單回答這個問題，就是不會阻礙威脅事件的通告速度，而且會大大提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的效率。

辦法要求向相關(guān)向公安機關(guān)報告，一是并非所有信息都要報告，而是“網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞、非法侵入等網(wǎng)絡(luò)安全事件信息”和涉及有關(guān)地區(qū)或行業(yè)的“綜合性”報告，這些信息或者本來就應(yīng)當(dāng)在公開前被有關(guān)部門和運營單位知曉，或者時效性要求并非特別強。二是報告不屬于行政許可，完成報告即為履行義務(wù)。也就是說只要在發(fā)布前增加了一個報告的環(huán)節(jié)，完成報告后就可以發(fā)布了，不用等有關(guān)部門批準(zhǔn)同意，不會耽誤大家正常發(fā)布，反而有利于有關(guān)部門、運營單位更及時獲取信息，有效響應(yīng)。

關(guān)于信息題目不能使用“預(yù)警”字樣的問題，那就更不會阻礙信息發(fā)布了，只是需要把題目調(diào)整為“高危風(fēng)險”“風(fēng)險提示”等即可。

Q? 媒體、自媒體等，日后還能報道網(wǎng)絡(luò)安全事件新聞嗎？例如發(fā)現(xiàn)重要漏洞、APT事件等？

解讀：當(dāng)然可以。有關(guān)負(fù)責(zé)人答記者問里面已經(jīng)寫了，媒體可以正常報道網(wǎng)絡(luò)安全事件新聞，但需滿足兩個條件，一是如果屬于辦法第五條提到的網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全事件，首次披露前要向所在地區(qū)地市級以上公安機關(guān)報告，以便有關(guān)部門及時掌握事件情況，采取處置措施，降低危害；二是不得包含網(wǎng)絡(luò)安全事件泄露的數(shù)據(jù)內(nèi)容本身，以免擴大事件的危害。

附《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》：

　　第一條?為規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為，有效應(yīng)對網(wǎng)絡(luò)安全威脅和風(fēng)險，保障網(wǎng)絡(luò)運行安全，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，制定本辦法。

　　第二條?發(fā)布網(wǎng)絡(luò)安全威脅信息，應(yīng)以維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識為目的，不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權(quán)益。

　　第三條?發(fā)布網(wǎng)絡(luò)安全威脅信息，應(yīng)堅持客觀、真實、審慎、負(fù)責(zé)的原則，不利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競爭。

　　第四條?發(fā)布的網(wǎng)絡(luò)安全威脅信息不得包含下列內(nèi)容：

　　(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法；

　　(三)能夠完整復(fù)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過程的細(xì)節(jié)信息；

　　(四)數(shù)據(jù)泄露事件中泄露的數(shù)據(jù)內(nèi)容本身；

　　(五)具體網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息；

　　(六)具體網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護(hù)計劃和策略方案；

　　(七)其他可能被直接用于危害網(wǎng)絡(luò)正常運行的內(nèi)容。

　　第五條?發(fā)布網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞、非法侵入等網(wǎng)絡(luò)安全事件信息前，應(yīng)向該事件發(fā)生所在地地市級以上公安機關(guān)報告。各級公安機關(guān)應(yīng)及時將相關(guān)情況報同級網(wǎng)信部門和上級公安機關(guān)。

　　第六條?任何企業(yè)、社會組織和個人發(fā)布地區(qū)性的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性綜合分析報告時，應(yīng)事先向所涉及地區(qū)地市級以上網(wǎng)信部門和公安機關(guān)報告；

　　發(fā)布涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性綜合分析報告時，應(yīng)事先向行業(yè)主管部門報告；

　　發(fā)布全國性或跨地區(qū)、跨行業(yè)領(lǐng)域的綜合分析報告時，應(yīng)事先向國家網(wǎng)信部門和國務(wù)院公安部門報告。

　　第七條?未經(jīng)政府部門批準(zhǔn)和授權(quán)，任何企業(yè)、社會組織和個人發(fā)布網(wǎng)絡(luò)安全威脅信息時，標(biāo)題中不得含有“預(yù)警”字樣。

　　第八條?發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性情況，應(yīng)事先征求網(wǎng)絡(luò)和信息系統(tǒng)運營者書面意見，以下情況除外：

　　(一)相關(guān)風(fēng)險、脆弱性已被消除或修復(fù)；

　　(二)已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報。

　　第九條?通過下列平臺發(fā)布信息的，平臺運營者、主辦單位接到有關(guān)部門通報、用戶舉報，或自行發(fā)現(xiàn)平臺上存在違反本辦法的發(fā)布行為和發(fā)布內(nèi)容的，應(yīng)當(dāng)立即停止發(fā)布、采取消除等處置措施，防止違規(guī)內(nèi)容擴散，保存有關(guān)記錄，并向地市級以上網(wǎng)信部門、公安機關(guān)報告。

　　1.報刊、廣播電視、出版物；

　　2.互聯(lián)網(wǎng)站、論壇、博客、微博、公眾賬號、即時通信工具、互聯(lián)網(wǎng)直播、互聯(lián)網(wǎng)視聽節(jié)目、應(yīng)用程序、網(wǎng)絡(luò)硬盤等；

　　3.公開舉行的會議、論壇、講座；

　　4.公開舉辦的網(wǎng)絡(luò)安全競賽；

　　5.其他公共平臺。

　　第十條?違反本辦法規(guī)定發(fā)布網(wǎng)絡(luò)安全威脅信息的，由網(wǎng)信部門、公安機關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定予以處理。

　　第十一條?涉及國家秘密、涉密網(wǎng)絡(luò)的網(wǎng)絡(luò)安全威脅信息發(fā)布活動，按照國家有關(guān)規(guī)定執(zhí)行。

　　第十二條?本辦法所稱網(wǎng)絡(luò)安全威脅信息，包括：

　　(一)對可能威脅網(wǎng)絡(luò)正常運行的行為，用于描述其意圖、方法、工具、過程、結(jié)果等的信息。如：計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

　　(二)可能暴露網(wǎng)絡(luò)脆弱性的信息。如：系統(tǒng)漏洞，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護(hù)計劃和策略方案等。

　　第十三條?本辦法自發(fā)布之日起實施。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>