國家網際網路信息辦公室11月20日向社會公開徵求對《網路安全威脅資訊發佈管理辦法(徵求意見稿)》(以下簡稱《辦法》)意見,國家網際網路信息辦公室有關負責人接受採訪,就《辦法》相關問題回答了記者提問。
問:請您介紹一下制定《辦法》的背景?
答:當前,網路安全産業迅猛發展,許多網路安全研究者和網路安全企業出於提高公民網路安全意識、交流網路安全技術、增強用戶網路安全防範能力、促進網路安全産業發展等目的,積極向社會發佈網路安全威脅資訊,為維護國家網路空間安全做出很大貢獻。但是也應看到,網路安全威脅資訊的發佈仍存在很多問題,有關單位、網路運營者反映強烈。例如,有組織或個人打著研究、交流、傳授網路安全技術的旗號,隨意發佈電腦病毒、木馬、勒索軟體等惡意程式的源代碼和製作方法,以及網路攻擊、網路侵入過程和方法的細節,為惡意分子和網路黑産從業人員提供了技術資源,降低了網路攻擊的門檻;有組織或個人未經網路運營者同意,公開網路規劃設計、拓撲結構、資産資訊、軟體代碼等屬性資訊和脆弱性資訊,容易被惡意分子利用威脅網路運營者網路安全,特別是關鍵資訊基礎設施的相關資訊一旦被公開,危害更大;部分網路安全企業和機構為推銷産品、賺取眼球,不當評價有關地區、行業網路安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網路安全企業隨意發佈網路安全預警資訊,誇大危害和影響,容易造成社會恐慌。
問:制定《辦法》的依據是什麼?
答:《網路安全法》第二十六條規定,“開展網路安全認證、檢測、風險評估等活動,向社會發佈系統漏洞、電腦病毒、網路攻擊、網路侵入等網路安全資訊,應當遵守國家有關規定。”目前,尚無規範網路安全威脅資訊發佈活動的法律法規。因此,為了進一步規範網路安全威脅資訊發佈行為,國家網際網路信息辦公室會同公安部等有關部門依據職責制定了《辦法》。
問:為什麼禁止發佈惡意程式源代碼、製作方法,能夠完整復現網路攻擊、網路侵入過程的細節資訊等網路安全威脅資訊?
答:上述網路安全威脅資訊容易被惡意分子或網路黑産從業人員直接利用,降低了網路攻擊的門檻,因此從維護網路安全的角度,要求發佈網路安全威脅資訊時不得包含上述內容。網路安全從業者、愛好者仍可通過多種方式加強原理和技術研究,提高網路安全能力水準。
問:禁止發佈第四條規定的資訊,是否會導致這些資訊流入地下黑市?
答:為網路犯罪提供技術支援是法律明確禁止的違法犯罪行為,依法要承擔相應的法律責任。我們相信,作為遵紀守法、有道德操守的網路安全工作者、愛好者,以前不會為網路黑産提供技術支援,今後同樣也不會。
問:是否會對網路安全産業發展造成影響?
答:我們鼓勵和支援網路安全企業向社會展示技術能力,促進網路安全意識提升,傳播普及網路安全防護技術知識,提供網路安全服務。要求安全企業不向社會發佈惡意程式的製作技術、網路攻擊技術,並不意味著企業不能研究網路攻擊技術,企業仍可通過研究網路攻防技術,不斷提升網路安全防護能力,不但不影響安全産業發展,對提高網路安全産業發展水準還産生積極的促進作用。
問:媒體今後還能報道網路安全事件新聞嗎?
答:媒體可以正常報道網路安全事件新聞,但需滿足兩個條件,一是如果屬於辦法第五條提到的網路和資訊系統網路安全事件,首次披露前要向所在地區地市級以上公安機關報告,以便有關部門及時掌握事件情況,採取處置措施,降低危害;二是不得包含網路安全事件洩露的數據內容本身,以免擴大事件的危害。
問:向網信部門、公安機關、行業主管部門等報告是否屬於行政許可?
答:不屬於行政許可,完成報告即為履行義務。
問:為什麼發佈具體網路和資訊系統存在風險、脆弱性的情況時,需要事先徵得其運營者書面同意?
答:如果隨意發佈上述資訊,惡意分子有可能利用這些資訊入侵相關網路和資訊系統,導致網路和資訊系統運營者利益受損。但如果根據發佈的網路安全威脅資訊,無法定位到具體網路和資訊系統,如不涉及網路和資訊系統的名字、位置、域名、IP地址等資訊,就不需要徵求其運營者同意。此外,如果相關風險、脆弱性已被消除或修復,或已提前30日向網信、電信、公安或相關行業主管部門舉報,發佈上述資訊也可不經其運營者同意。
問:為什麼發佈網路安全威脅資訊,標題中不得含有“預警”字樣?
答:根據《國家網路安全事件應急預案》,網路安全預警是一種特定資訊,具有權威性,應由政府部門按許可權發佈。但目前有的組織和個人隨意發佈預警,誇大事實,進行炒作,事實上破壞了預警的效力和權威性,所以我們要求發佈網路安全威脅資訊,標題中不得含有“預警”字樣。相關組織和個人可通過風險提示、威脅情報等方式提醒公眾加強風險防範。
未經允許不得轉載:網信浙江 » 國家網信辦有關負責人就《網路安全威脅資訊發佈管理辦法(徵求意見稿)》答記者問