國家互聯(lián)網信息辦公室11月20日向社會公開征求對《網絡安全威脅信息發(fā)布管理辦法(征求意見稿)》(以下簡稱《辦法》)意見�����,國家互聯(lián)網信息辦公室有關負責人接受采訪����,就《辦法》相關問題回答了記者提問�����。
1.問:請您介紹一下制定《辦法》的背景�?
答:當前,網絡安全產業(yè)迅猛發(fā)展,許多網絡安全研究者和網絡安全企業(yè)出于提高公民網絡安全意識�����、交流網絡安全技術���、增強用戶網絡安全防范能力���、促進網絡安全產業(yè)發(fā)展等目的,積極向社會發(fā)布網絡安全威脅信息����,為維護國家網絡空間安全做出很大貢獻。但是也應看到����,網絡安全威脅信息的發(fā)布仍存在很多問題,有關單位����、網絡運營者反映強烈。例如�,有組織或個人打著研究、交流����、傳授網絡安全技術的旗號�����,隨意發(fā)布計算機病毒����、木馬��、勒索軟件等惡意程序的源代碼和制作方法��,以及網絡攻擊��、網絡侵入過程和方法的細節(jié)�,為惡意分子和網絡黑產從業(yè)人員提供了技術資源,降低了網絡攻擊的門檻��;有組織或個人未經網絡運營者同意��,公開網絡規(guī)劃設計�����、拓撲結構���、資產信息�、軟件代碼等屬性信息和脆弱性信息��,容易被惡意分子利用威脅網絡運營者網絡安全����,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大�;部分網絡安全企業(yè)和機構為推銷產品、賺取眼球�,不當評價有關地區(qū)、行業(yè)網絡安全攻擊��、事件�����、風險����、脆弱性狀況,誤導輿論���,造成不良影響�����;部分媒體����、網絡安全企業(yè)隨意發(fā)布網絡安全預警信息,夸大危害和影響�,容易造成社會恐慌。
2.問:制定《辦法》的依據是什么����?
答:《網絡安全法》第二十六條規(guī)定,“開展網絡安全認證��、檢測��、風險評估等活動�����,向社會發(fā)布系統(tǒng)漏洞����、計算機病毒、網絡攻擊�、網絡侵入等網絡安全信息���,應當遵守國家有關規(guī)定�。”目前,尚無規(guī)范網絡安全威脅信息發(fā)布活動的法律法規(guī)��。因此�,為了進一步規(guī)范網絡安全威脅信息發(fā)布行為,國家互聯(lián)網信息辦公室會同公安部等有關部門依據職責制定了《辦法》����。
3.問:為什么禁止發(fā)布惡意程序源代碼、制作方法����,能夠完整復現網絡攻擊、網絡侵入過程的細節(jié)信息等網絡安全威脅信息�?
答:上述網絡安全威脅信息容易被惡意分子或網絡黑產從業(yè)人員直接利用,降低了網絡攻擊的門檻�����,因此從維護網絡安全的角度���,要求發(fā)布網絡安全威脅信息時不得包含上述內容���。網絡安全從業(yè)者���、愛好者仍可通過多種方式加強原理和技術研究,提高網絡安全能力水平�����。
圖片來源:攝圖網
4.問:禁止發(fā)布第四條規(guī)定的信息�����,是否會導致這些信息流入地下黑市��?
答:為網絡犯罪提供技術支持是法律明確禁止的違法犯罪行為�,依法要承擔相應的法律責任。我們相信�����,作為遵紀守法�����、有道德操守的網絡安全工作者、愛好者����,以前不會為網絡黑產提供技術支持,今后同樣也不會����。
5.問:是否會對網絡安全產業(yè)發(fā)展造成影響�����?
答:我們鼓勵和支持網絡安全企業(yè)向社會展示技術能力����,促進網絡安全意識提升,傳播普及網絡安全防護技術知識�,提供網絡安全服務。要求安全企業(yè)不向社會發(fā)布惡意程序的制作技術�����、網絡攻擊技術���,并不意味著企業(yè)不能研究網絡攻擊技術����,企業(yè)仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力����,不但不影響安全產業(yè)發(fā)展,對提高網絡安全產業(yè)發(fā)展水平還產生積極的促進作用�。
6.問:媒體今后還能報道網絡安全事件新聞嗎?
答:媒體可以正常報道網絡安全事件新聞�,但需滿足兩個條件,一是如果屬于辦法第五條提到的網絡和信息系統(tǒng)網絡安全事件�����,首次披露前要向所在地區(qū)地市級以上公安機關報告���,以便有關部門及時掌握事件情況���,采取處置措施,降低危害����;二是不得包含網絡安全事件泄露的數據內容本身,以免擴大事件的危害����。
7.問:向網信部門�����、公安機關���、行業(yè)主管部門等報告是否屬于行政許可?
答:不屬于行政許可�����,完成報告即為履行義務���。
8.問:為什么發(fā)布具體網絡和信息系統(tǒng)存在風險、脆弱性的情況時���,需要事先征得其運營者書面同意���?
答:如果隨意發(fā)布上述信息,惡意分子有可能利用這些信息入侵相關網絡和信息系統(tǒng)����,導致網絡和信息系統(tǒng)運營者利益受損。但如果根據發(fā)布的網絡安全威脅信息,無法定位到具體網絡和信息系統(tǒng)����,如不涉及網絡和信息系統(tǒng)的名字、位置��、域名����、IP地址等信息,就不需要征求其運營者同意���。此外�����,如果相關風險�、脆弱性已被消除或修復�,或已提前30日向網信、電信�����、公安或相關行業(yè)主管部門舉報��,發(fā)布上述信息也可不經其運營者同意。
9.問:為什么發(fā)布網絡安全威脅信息�,標題中不得含有“預警”字樣?
答:根據《國家網絡安全事件應急預案》�����,網絡安全預警是一種特定信息��,具有權威性��,應由政府部門按權限發(fā)布�����。但目前有的組織和個人隨意發(fā)布預警�����,夸大事實����,進行炒作�����,事實上破壞了預警的效力和權威性,所以我們要求發(fā)布網絡安全威脅信息�����,標題中不得含有“預警”字樣�。相關組織和個人可通過風險提示、威脅情報等方式提醒公眾加強風險防范��。
封面圖片來源:攝圖網
