为规范发布网络安全威胁信息的行为,有效应对网络安全威胁和风险,保障网络运行安全,国家互联网信息办公室会同公安部等有关部门日前起草了《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。

国家网信办有关负责人表示,当前,网络安全产业迅猛发展,许多网络安全研究者和网络安全企业出于提高公民网络安全意识、交流网络安全技术等目的,积极向社会发布网络安全威胁信息,为维护国家网络空间安全作出贡献。但是,网络安全威胁信息的发布仍存在很多问题。为进一步规范网络安全威胁信息发布行为,国家网信办会同公安部等有关部门依据职责制定了这一办法的征求意见稿。

信息发布主体多元

诸多问题亟待解决

在中国传媒大学法律系副主任郑宁看来,网络安全威胁信息发布主体多元,其中有不少具有积极价值,比如提高公民网络安全意识、交流网络安全技术、增强用户网络安全防范能力、促进网络安全产业发展等。

11月20日,国家互联网信息办公室有关负责人就《征求意见稿》相关问题回答记者提问时也指出,网络安全威胁信息的发布仍存在很多问题,有关单位、网络运营者反映强烈。

例如,有组织或个人打着研究、交流、传授网络安全技术的旗号,随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,以及网络攻击、网络侵入过程和方法的细节,为恶意分子和网络黑产从业人员提供了技术资源,降低了网络攻击的门槛;有组织或个人未经网络运营者同意,公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息,容易被恶意分子利用威胁网络运营者网络安全,特别是关键信息基础设施的相关信息一旦被公开,危害更大;部分网络安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响;部分媒体、网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。

“具体来说,比如名为发布网络安全威胁信息,实为发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,进行网络攻击;以发布网络安全威胁信息为由,对他人产品进行不当评价,或推销自己产品。”郑宁说,这些问题对国家安全、公共安全、个人信息,以及他人合法的商业利益都会造成不良影响,因此需要出台相应的立法加以规范。

北京师范大学法学院网络与智慧社会法治研究中心主任刘德良告诉《法制日报》记者,此次起草发布《征求意见稿》,规范网络安全威胁信息的发布管理,实际上是落实网络安全法有关规定的体现。“我们需要做的就是根据网络安全法中的相关原则和现实需要,进一步具体落实。”

网络安全法第二十六条规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

除此之外,《征求意见稿》发布前,尚无规范网络安全威胁信息发布活动的法律法规。

规制范围相对扩大

披露原则更加明确

根据《征求意见稿》,网信办所定义的“网络安全威胁”除漏洞信息外,还包括“对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息”。比如计算机病毒、网络攻击、网络侵入、网络安全事件等。

此外,也包括可能暴露网络脆弱性的信息。比如,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。

《征求意见稿》对于相关信息的披露原则也提出了更高的要求,即“客观、真实、审慎、负责”。并特别提出不能利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。

在披露程序上,更是明确规定了发布具体网络和信息系统存在风险、脆弱性情况时,必须事先征求网络和信息系统运营者书面意见,除非相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门举报。

之所以作出这样的规定,刘德良分析说,一些网络漏洞要发布出来的时候,可能针对的是已经实施的问题,比如这些网络漏洞已经被人实施犯罪行为,或者有人知道了这些网络漏洞,正准备实施犯罪行为的,但还不知道从哪下手,“正是基于这样的情况,一方面如果没有向公安机关报告具体网络和信息系统存在风险、脆弱性情况,个人或者是企业反而是直接发布,公安机关要立案侦查打击这种网络犯罪的话,就无疑是事先警告了,犯罪分子有可能会隐藏证据,就会加大公安机关进一步立案侦查打击犯罪的难度”。

《法制日报》记者注意到,很多媒体在发布《征求意见稿》的相关报道时,均提到了“禁止发布勒索软件等恶意程序源代码”。

“如果将勒索软件等涉及到网络安全漏洞攻击的恶意程序源代码发布,就等于直接具体的网络架构、拓扑结构很具体的细节进行了披露。在获得这样的具体信息后,正好给了那些有潜在犯罪动机的,正准备实施犯罪还没有机会、甚至不知道从哪下手的人,在公安机关、相关的企业或者是主管部门没有采取措施之前,利用时间差实施犯罪的机会。”刘德良说,因为源代码一经公布,根据源代码来编写相应的类似的恶意程序、工具就很容易,为进一步实施犯罪行为,为这些潜在的有犯罪动机的人提供了方便,降低了他们犯罪的成本。

刘德良认为,如果个人或者相关企业发布的网络安全威胁中涉及到具体的安全事件,“其中泄露的内容就有可能会涉及到国家机密、企业的商业秘密以及个人隐私等,带来危险。另外一种情况,如果有虚假的或者是不当的,发布后可能会对社会公众造成恐慌心理”。

郑宁也认为,从实践来看,这些网络安全威胁信息一旦发布,非常容易被恶意分子利用从事违法行为,类似于传授犯罪方法,因此要加以禁止。

促进安全意识提升

净化网络安全环境

今年6月,《国家网络安全产业发展规划》正式发布。根据规划,到2020年,依托产业园带动北京市网络安全产业规模超过1000亿元,拉动GDP增长超过3300亿元,打造不少于3家年收入超过100亿元的骨干企业。工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》提出,到2025年网络安全产业规模超过2000亿。

对此,上述国家互联网信息办公室有关负责人就媒体“《征求意见稿》是否会对网络安全产业发展造成影响”作答时指出,我们鼓励和支持网络安全企业向社会展示技术能力,促进网络安全意识提升,传播普及网络安全防护技术知识,提供网络安全服务。要求安全企业不向社会发布恶意程序的制作技术、网络攻击技术,并不意味着企业不能研究网络攻击技术,企业仍可通过研究网络攻防技术,不断提升网络安全防护能力,不但不影响安全产业发展,对提高网络安全产业发展水平还产生积极的促进作用。

在郑宁看来,《征求意见稿》的制定会对网络安全产业产生较大的影响:首先,一切组织和个人在发布网络安全威胁信息前,应首先对于发布的内容进行评估,不得发布禁止性内容,并且遵循相应的报告、征求意见等程序。其次,发布网络安全威胁信息,以向社会展示技术能力,促进网络安全意识提升,传播普及网络安全防护技术知识,提供网络安全服务为目的,企业仍可研发网络安全技术,只是在发布信息时要注意守法。

“《征求意见稿》在正式实施落地之后,将对打击互联网黑色产业链,净化网络安全环境起到积极作用。”郑宁说。

对于如何建立互联网网络安全威胁治理长效机制,郑宁认为,要建立健全网络安全威胁信息的报告制度、信息共享和联合执法制度,有关主管部门应根据报告启动相应的应急预案,联合执法,从而预防和化解网络安全风险。同时,对于违法行为要严格执法。

此外,上述国家互联网信息办公室有关负责人还表示,今后网信办及公安机关将作为主要的监管部门,集中主导相关网络安全威胁信息的发布,真正实现维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识的目的。

关键词: 网络安全 黑色产业链