整頓安全行業(yè)信息發(fā)布亂象網(wǎng)信辦發(fā)布新規(guī)

2019-11-22 11:26:00來源：央廣網(wǎng)

　　如果發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，應(yīng)該如何處理才是合適的？為規(guī)范網(wǎng)絡(luò)安全信息發(fā)布流程，保護公眾利益。11月20日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》，公開征求社會意見，擬對網(wǎng)絡(luò)安全威脅信息的發(fā)布進行規(guī)范。此前，工業(yè)和信息化部也發(fā)布《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》。

　　規(guī)制范圍更廣涵蓋威脅網(wǎng)絡(luò)正常運行的行為

　　網(wǎng)信辦所定義的“網(wǎng)絡(luò)安全威脅”除漏洞信息外，還包括“對可能威脅網(wǎng)絡(luò)正常運行的行為，用于描述其意圖、方法、工具、過程、結(jié)果等的信息”。比如計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

　　此外，也包括可能暴露網(wǎng)絡(luò)脆弱性的信息。比如，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護計劃和策略方案等。

　　披露原則更明確需提前30日報備

　　該規(guī)定對于相關(guān)信息的披露原則也提出了更高的要求，即“客觀、真實、審慎、負(fù)責(zé)”。并特別提出不能利用網(wǎng)絡(luò)安全威脅信息進行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競爭。

　　在披露程序上，更是明確規(guī)定了發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性情況時，必須事先征求網(wǎng)絡(luò)和信息系統(tǒng)運營者書面意見，除非相關(guān)風(fēng)險、脆弱性已被消除或修復(fù)，或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報。

　　非法發(fā)布信息需立即停止采取消除措施

　　平臺運營者、主辦單位的法律責(zé)任也在該規(guī)定中得到體現(xiàn)。在自己運營和主辦的報刊、廣播電視、出版物、互聯(lián)網(wǎng)站、論壇、博客、微博、公眾賬號、即時通信工具、互聯(lián)網(wǎng)直播、互聯(lián)網(wǎng)視聽節(jié)目、應(yīng)用程序、網(wǎng)絡(luò)硬盤等、公開舉行的會議、論壇、講座、公開舉辦的網(wǎng)絡(luò)安全競賽等中發(fā)現(xiàn)非法發(fā)布信息時，也有義務(wù)立即停止發(fā)布、采取消除等處置措施，防止違規(guī)內(nèi)容擴散，保存有關(guān)記錄，并向地市級以上網(wǎng)信部門、公安機關(guān)報告。

　　研發(fā)攻擊武器并公開演示也需擔(dān)責(zé)

　　業(yè)內(nèi)人士表示，該規(guī)定將對目前行業(yè)內(nèi)的一些安全威脅信息的炒作發(fā)布事件實現(xiàn)有效的規(guī)范。目前，個別互聯(lián)網(wǎng)企業(yè)，時常未經(jīng)同意將其他公司應(yīng)用軟件或系統(tǒng)存在的風(fēng)險性和脆弱性進行公布，甚至專門研發(fā)攻擊武器向公眾進行演示宣傳，對于并未實際產(chǎn)生的網(wǎng)絡(luò)運行威脅可能性進行過度炒作和宣傳，給公眾造成不必要的恐慌和誤導(dǎo)，給其它經(jīng)營者造成聲譽上的損失。其目的無非是以推銷自己安全技術(shù)能力為幌子，達到其不正當(dāng)競爭的目的，實現(xiàn)打擊其他經(jīng)營者。隨著《漏洞管理規(guī)定》和《威脅信息發(fā)布管理辦法》的發(fā)布，相信此類侵權(quán)或違法行為將受到嚴(yán)格規(guī)制。

　　國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就該征求意見稿答記者問時表示，目前確有部分網(wǎng)絡(luò)安全企業(yè)對網(wǎng)絡(luò)安全威脅信息的公布具有不正當(dāng)目的，以研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)為名，行不正當(dāng)競爭之實，已經(jīng)造成了行業(yè)反應(yīng)強烈，誤導(dǎo)輿論和造成不良影響，有關(guān)單位、網(wǎng)絡(luò)運營者反映強烈。今后網(wǎng)信辦及公安機關(guān)將作為主要的監(jiān)管部門集中主導(dǎo)相關(guān)網(wǎng)絡(luò)安全威脅信息的發(fā)布，真正實現(xiàn)維護網(wǎng)絡(luò)安全、促進網(wǎng)絡(luò)安全意識提升、交流網(wǎng)絡(luò)安全防護技術(shù)知識的目的。