如果發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，應(yīng)該如何處理才是合適的？為規(guī)范網(wǎng)絡(luò)安全信息發(fā)布流程，保護(hù)公眾利益，11月20日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》，公開(kāi)征求社會(huì)意見(jiàn)，擬對(duì)網(wǎng)絡(luò)安全威脅信息的發(fā)布進(jìn)行規(guī)范。此前，工業(yè)和信息化部也發(fā)布《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》。

　　規(guī)制范圍更廣

　　涵蓋威脅網(wǎng)絡(luò)正常運(yùn)行的行為

　　網(wǎng)信辦所定義的“網(wǎng)絡(luò)安全威脅”除漏洞信息外，還包括“對(duì)可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為，用于描述其意圖、方法、工具、過(guò)程、結(jié)果等的信息”。比如計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

　　此外，也包括可能暴露網(wǎng)絡(luò)脆弱性的信息。比如，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告，安全防護(hù)計(jì)劃和策略方案等。

　　披露原則更明確

　　需提前30日?qǐng)?bào)備

　　該規(guī)定對(duì)于相關(guān)信息的披露原則也提出了更高的要求，即“客觀、真實(shí)、審慎、負(fù)責(zé)”。并特別提出不能利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng)。

　　在披露程序上，更是明確規(guī)定了發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況時(shí)，必須事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書(shū)面意見(jiàn)，除非相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù)，或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門(mén)舉報(bào)。

　　非法發(fā)布信息需立即停止

　　采取消除措施

　　平臺(tái)運(yùn)營(yíng)者、主辦單位的法律責(zé)任也在該規(guī)定中得到體現(xiàn)。在自己運(yùn)營(yíng)和主辦的報(bào)刊、廣播電視、出版物、互聯(lián)網(wǎng)站、論壇、博客、微博、公眾賬號(hào)、即時(shí)通信工具、互聯(lián)網(wǎng)直播、互聯(lián)網(wǎng)視聽(tīng)節(jié)目、應(yīng)用程序、網(wǎng)絡(luò)硬盤(pán)等、公開(kāi)舉行的會(huì)議、論壇、講座、公開(kāi)舉辦的網(wǎng)絡(luò)安全競(jìng)賽等中發(fā)現(xiàn)非法發(fā)布信息時(shí)，也有義務(wù)立即停止發(fā)布、采取消除等處置措施，防止違規(guī)內(nèi)容擴(kuò)散，保存有關(guān)記錄，并向地市級(jí)以上網(wǎng)信部門(mén)、公安機(jī)關(guān)報(bào)告。

　　研發(fā)攻擊武器并公開(kāi)演示也需擔(dān)責(zé)

　　業(yè)內(nèi)人士表示，該規(guī)定將對(duì)目前行業(yè)內(nèi)的一些安全威脅信息的炒作發(fā)布事件實(shí)現(xiàn)有效的規(guī)范。目前，個(gè)別互聯(lián)網(wǎng)企業(yè)，時(shí)常未經(jīng)同意將其他公司應(yīng)用軟件或系統(tǒng)存在的風(fēng)險(xiǎn)性和脆弱性進(jìn)行公布，甚至專(zhuān)門(mén)研發(fā)攻擊武器向公眾進(jìn)行演示宣傳，對(duì)于并未實(shí)際產(chǎn)生的網(wǎng)絡(luò)運(yùn)行威脅可能性進(jìn)行過(guò)度炒作和宣傳，給公眾造成不必要的恐慌和誤導(dǎo)，給其他經(jīng)營(yíng)者造成聲譽(yù)上的損失。隨著《漏洞管理規(guī)定》和《威脅信息發(fā)布管理辦法》的發(fā)布，相信此類(lèi)侵權(quán)或違法行為將受到嚴(yán)格規(guī)制。

　　國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就該征求意見(jiàn)稿答記者問(wèn)時(shí)表示，目前確有部分網(wǎng)絡(luò)安全企業(yè)對(duì)網(wǎng)絡(luò)安全威脅信息的公布具有不正當(dāng)目的，以研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)為名，行不正當(dāng)競(jìng)爭(zhēng)之實(shí)，已經(jīng)造成了行業(yè)反應(yīng)強(qiáng)烈，誤導(dǎo)輿論和造成不良影響，有關(guān)單位、網(wǎng)絡(luò)運(yùn)營(yíng)者反映強(qiáng)烈。今后網(wǎng)信辦及公安機(jī)關(guān)將作為主要的監(jiān)管部門(mén)集中主導(dǎo)相關(guān)網(wǎng)絡(luò)安全威脅信息的發(fā)布，真正實(shí)現(xiàn)維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)的目的。

未經(jīng)允許不得轉(zhuǎn)載：網(wǎng)信浙江 » 整頓安全行業(yè)信息發(fā)布亂象 保護(hù)公眾利益