淺談對《網路安全威脅資訊發佈管理辦法(徵求意見稿)》的理解

  2019年11月20日,國家網際網路信息辦公室發佈《網路安全威脅資訊發佈管理辦法(徵求意見稿)》(以下簡稱《辦法》)。該《辦法》出臺是落實《網路安全法》的重要舉措。《辦法》對發佈涉及電腦病毒、網路攻擊、網路侵入、網路安全事件等可能威脅網路正常運作活動的相關安全威脅資訊,以及包括系統漏洞、網路風險等在內的可能暴露網路脆弱性的安全威脅資訊,從發佈內容、發佈流程、發佈方法等方面,對研究機構、網路安全廠商、個人研究者,以及資訊發佈平臺運營單位作出了較為具體的規範。《辦法》兼顧了既要確保資訊發佈有利於防範網路安全威脅和風險,推動政企機構和公眾了解威脅和風險並進行處置響應,又要避免不當發佈引發消極後果。

8.jpg

  網路威脅資訊發佈是網路安全廠商、應急組織、研究機構和個人研究者通過分析研究深入了解威脅,並進行公開資訊披露的過程。這些公開披露的資訊,是公眾和相關人員了解威脅機理、背景、影響面、應對方法等資訊的重要來源,有助於網路安全運維人員制定應對決策、作出前置準備、應對攻擊後果、展開響應處置。在面對網空威脅行為體對我國的高級攻擊活動中,全面的、高品質的分析報告,亦曾起到過迫使攻擊者在一段時間內收斂攻擊活動的效果。因此,網路威脅資訊發佈是網路安全工作中一個非常重要的環節,但也存在著一些“雙刃劍”的問題。

  從內容上來看,部分威脅資訊發佈,基於攻擊者的攻擊視角教程化詳盡展開,導致成為攻擊示範。少數分析中直接包含了原始攻擊載荷,可能導致二次擴散和感染的風險。還有的針對具體的資訊系統和業務系統漏洞,公開了攻擊入口和攻擊方法,可能誘發攻擊。甚至可能導致産生一些攻擊方的自動化攻擊手段,可以直接機讀導入攻擊入口,進行自動化攻擊。此次公佈的《辦法》對類似的情況進行了約束和限制,明確列出威脅資訊不得包含的細節內容,意在全面降低威脅資訊發佈的負面風險。

  從威脅資訊發佈時機和流程上看,如果資訊發佈從發現、上報到公開沒有給原廠商、相關資産管理運維方,以及主管部門、應急響應部門留有足夠的處置和協調響應時間,這種不加以約束和限制的發佈可能會加劇風險。少數嚴重漏洞,機理並不複雜,即使沒有披露細節,一旦存線上索提示,就很容易被猜測找到。如果不能給原廠商留有足夠的製作和發佈補丁的時間,不能給主管部門和應急機構留有足夠的響應修復的時間,漏洞資訊披露就可能産生負面效果。不但沒有起到發佈資訊本身原有的緩解漏洞的初衷,反而還可能加速了漏洞被多方攻擊者利用的過程。還有一些設備和系統陳舊的關鍵資訊基礎設施,存在一些機理性的漏洞,修復代價成本極大,甚至不全面替換就無法修復,如果此類威脅資訊大面積公開,就會觸發較為嚴重的連鎖問題。此次公佈的《辦法》,對威脅資訊的發佈流程,按照區域、行業領域分門別類予以規範,尤其是兼顧各方合法利益,對涉及具體網路和資訊系統存在的風險、脆弱性情況如何發佈作出了具體規定,在一定程度上降低了威脅資訊發佈帶來的關聯性和次生性災害的可能性。

  從影響方面看,部分安全威脅披露,經過帶有商業目的的傳播和媒體的炒作後,威脅風險或實際威脅後果被誇大,容易引起無謂的恐慌,加大了社會成本消耗,而且反覆下去,容易引發“狼來了”的效應,導致企業和個人對威脅資訊的重視程度反而下降。例如早在1992年初,就有類似情況出現,“米開朗基羅”(Michelangelo)病毒開始傳播,一家美國公司聲稱3月6日病毒爆發時,將有超過500萬台電腦上的數據被破壞,一時間造成了公眾恐慌,但實際上感染“米開朗基羅”病毒的電腦大概只有1萬台左右。類似事件影響了公眾對威脅資訊披露的信任。《辦法》對此也作出明確規定,要求發佈資訊“應堅持客觀、真實、審慎、負責的原則,不利用網路安全威脅資訊進行炒作、牟取不正當利益或從事不正當商業競爭”。受該原則約束,在發佈網路安全威脅資訊時,不能使用帶傾向性的語言,不能誇大威脅的影響範圍、影響程度,不能出於商業競爭目的,發佈不利於競爭對手的資訊。此外,《辦法》還對“預警”一詞使用作出了明文規定:“未經政府部門批准和授權,任何企業、社會組織和個人發佈網路安全威脅資訊時,標題中不得含有‘預警’字樣”。這一規定並非不允許各方發佈風險提示,而是限定不得隨意使用“預警”兩字。事實上,網信辦早在2017年出臺《國家網路安全事件應急預案》文件,已對網路安全事件“預警”的級別、監測、研判、發佈和響應作出了明確規定,從中可以看出網路威脅“預警”是一種嚴肅的國家行政行為,而不應是任何企業、組織和個人可以隨意使用甚至用於炒作的概念。

  在國家相關部門授權機制下,形成威脅資訊發佈的規範機制,加強管理,提高網路安全防護水準,是各國的普遍做法。美國已出臺了一系列威脅資訊披露管理法案,英國也有一整套的“披露漏洞公平裁決策略和流程”。網信辦此次出臺的《辦法》,是希望對威脅資訊發佈工作形成明確的導向和指引,確保威脅資訊發佈真實準確,確保資訊發佈者對內容負責,確保威脅資訊發佈能達成良好的初衷,保證網路和資訊系統的脆弱性得到及時修復,減少發生關聯性和次生性災害的可能性,具有十分重要的價值和現實意義。《辦法》在起草過程中,組織了廣泛的討論,對於安全研究者和安全廠商擔心的,是否會影響威脅資訊發佈的及時性、全面性,影響安全研究的積極性以及相關邊界難以把握等問題也進行了一定的完善和修訂。經過調研、討論和調整,在總體上兼顧了威脅發佈的需求以及潛在風險問題,考慮了多方面意見,從而進入到發佈徵求意見稿,更廣泛徵集公開意見階段,可以獲得更多的修訂意見和相關的反饋,對於其中可能存在的爭議點,特別是關於細節披露尺度和時間週期規定的合理性,各方也有機會進行進一步的研討,從而推動《辦法》的進一步完善和細化。同時也需要看到,網路安全威脅資訊發佈涉及法律、技術、道德、産業、競爭等諸多方面,相關機制建立很難一蹴而就,還需要在今後實踐中進一步細化、磨合與改進。

未經允許不得轉載:網信浙江 » 淺談對《網路安全威脅資訊發佈管理辦法(徵求意見稿)》的理解

微信二維碼,掃一掃關注