如果發現網路漏洞,應該如何處理才是合適的?為規範網路安全資訊發佈流程,保護公眾利益,11月20日,國家網際網路信息辦公室發佈《網路安全威脅資訊發佈管理辦法(徵求意見稿)》,公開徵求社會意見,擬對網路安全威脅資訊的發佈進行規範。此前,工業和資訊化部也發佈《網路安全漏洞管理規定(徵求意見稿)》。
規制範圍更廣
涵蓋威脅網路正常運作的行為
網信辦所定義的“網路安全威脅”除漏洞資訊外,還包括“對可能威脅網路正常運作的行為,用於描述其意圖、方法、工具、過程、結果等的資訊”。比如電腦病毒、網路攻擊、網路侵入、網路安全事件等。
此外,也包括可能暴露網路脆弱性的資訊。比如,網路和資訊系統存在風險、脆弱性的情況,網路的規劃設計、拓撲結構、資産資訊、軟體源代碼,單元或設備選型、配置、軟體等的屬性資訊,網路安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
披露原則更明確
需提前30日報備
該規定對於相關資訊的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。並特別提出不能利用網路安全威脅資訊進行炒作、牟取不正當利益或從事不正當商業競爭。
在披露程式上,更是明確規定了發佈具體網路和資訊系統存在風險、脆弱性情況時,必須事先徵求網路和資訊系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前30日向網信、電信、公安或相關行業主管部門舉報。
非法發佈資訊需立即停止
採取消除措施
平臺運營者、主辦單位的法律責任也在該規定中得到體現。在自己運營和主辦的報刊、廣播電視、出版物、網際網路站、論壇、部落格、微網志、公眾賬號、即時通信工具、網際網路直播、網際網路視聽節目、應用程式、網路硬碟等、公開舉行的會議、論壇、講座、公開舉辦的網路安全競賽等中發現非法發佈資訊時,也有義務立即停止發佈、採取消除等處置措施,防止違規內容擴散,保存有關記錄,並向地市級以上網信部門、公安機關報告。
研發攻擊武器並公開演示也需擔責
業內人士表示,該規定將對目前行業內的一些安全威脅資訊的炒作發佈事件實現有效的規範。目前,個別網際網路企業,時常未經同意將其他公司應用軟體或系統存在的風險性和脆弱性進行公佈,甚至專門研發攻擊武器向公眾進行演示宣傳,對於並未實際産生的網路運作威脅可能性進行過度炒作和宣傳,給公眾造成不必要的恐慌和誤導,給其他經營者造成聲譽上的損失。隨著《漏洞管理規定》和《威脅資訊發佈管理辦法》的發佈,相信此類侵權或違法行為將受到嚴格規制。
國家網際網路信息辦公室有關負責人就該徵求意見稿答記者問時表示,目前確有部分網路安全企業對網路安全威脅資訊的公佈具有不正當目的,以研究、交流、傳授網路安全技術為名,行不正當競爭之實,已經造成了行業反應強烈,誤導輿論和造成不良影響,有關單位、網路運營者反映強烈。今後網信辦及公安機關將作為主要的監管部門集中主導相關網路安全威脅資訊的發佈,真正實現維護網路安全、促進網路安全意識提升、交流網路安全防護技術知識的目的。
未經允許不得轉載:網信浙江 » 整頓安全行業資訊發佈亂象 保護公眾利益