2019年11月20日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》（以下簡稱《辦法》）。該《辦法》出臺是落實《網(wǎng)絡(luò)安全法》的重要舉措。《辦法》對發(fā)布涉及計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等可能威脅網(wǎng)絡(luò)正常運行活動的相關(guān)安全威脅信息，以及包括系統(tǒng)漏洞、網(wǎng)絡(luò)風險等在內(nèi)的可能暴露網(wǎng)絡(luò)脆弱性的安全威脅信息，從發(fā)布內(nèi)容、發(fā)布流程、發(fā)布方法等方面，對研究機構(gòu)、網(wǎng)絡(luò)安全廠商、個人研究者，以及信息發(fā)布平臺運營單位作出了較為具體的規(guī)范?！掇k法》兼顧了既要確保信息發(fā)布有利于防范網(wǎng)絡(luò)安全威脅和風險，推動政企機構(gòu)和公眾了解威脅和風險并進行處置響應(yīng)，又要避免不當發(fā)布引發(fā)消極后果。

　　網(wǎng)絡(luò)威脅信息發(fā)布是網(wǎng)絡(luò)安全廠商、應(yīng)急組織、研究機構(gòu)和個人研究者通過分析研究深入了解威脅，并進行公開信息披露的過程。這些公開披露的信息，是公眾和相關(guān)人員了解威脅機理、背景、影響面、應(yīng)對方法等信息的重要來源，有助于網(wǎng)絡(luò)安全運維人員制定應(yīng)對決策、作出前置準備、應(yīng)對攻擊后果、展開響應(yīng)處置。在面對網(wǎng)空威脅行為體對我國的高級攻擊活動中，全面的、高質(zhì)量的分析報告，亦曾起到過迫使攻擊者在一段時間內(nèi)收斂攻擊活動的效果。因此，網(wǎng)絡(luò)威脅信息發(fā)布是網(wǎng)絡(luò)安全工作中一個非常重要的環(huán)節(jié)，但也存在著一些“雙刃劍”的問題。

　　從內(nèi)容上來看，部分威脅信息發(fā)布，基于攻擊者的攻擊視角教程化詳盡展開，導致成為攻擊示范。少數(shù)分析中直接包含了原始攻擊載荷，可能導致二次擴散和感染的風險。還有的針對具體的信息系統(tǒng)和業(yè)務(wù)系統(tǒng)漏洞，公開了攻擊入口和攻擊方法，可能誘發(fā)攻擊。甚至可能導致產(chǎn)生一些攻擊方的自動化攻擊手段，可以直接機讀導入攻擊入口，進行自動化攻擊。此次公布的《辦法》對類似的情況進行了約束和限制，明確列出威脅信息不得包含的細節(jié)內(nèi)容，意在全面降低威脅信息發(fā)布的負面風險。

　　從威脅信息發(fā)布時機和流程上看，如果信息發(fā)布從發(fā)現(xiàn)、上報到公開沒有給原廠商、相關(guān)資產(chǎn)管理運維方，以及主管部門、應(yīng)急響應(yīng)部門留有足夠的處置和協(xié)調(diào)響應(yīng)時間，這種不加以約束和限制的發(fā)布可能會加劇風險。少數(shù)嚴重漏洞，機理并不復雜，即使沒有披露細節(jié)，一旦存在線索提示，就很容易被猜測找到。如果不能給原廠商留有足夠的制作和發(fā)布補丁的時間，不能給主管部門和應(yīng)急機構(gòu)留有足夠的響應(yīng)修復的時間，漏洞信息披露就可能產(chǎn)生負面效果。不但沒有起到發(fā)布信息本身原有的緩解漏洞的初衷，反而還可能加速了漏洞被多方攻擊者利用的過程。還有一些設(shè)備和系統(tǒng)陳舊的關(guān)鍵信息基礎(chǔ)設(shè)施，存在一些機理性的漏洞，修復代價成本極大，甚至不全面替換就無法修復，如果此類威脅信息大面積公開，就會觸發(fā)較為嚴重的連鎖問題。此次公布的《辦法》，對威脅信息的發(fā)布流程，按照區(qū)域、行業(yè)領(lǐng)域分門別類予以規(guī)范，尤其是兼顧各方合法利益，對涉及具體網(wǎng)絡(luò)和信息系統(tǒng)存在的風險、脆弱性情況如何發(fā)布作出了具體規(guī)定，在一定程度上降低了威脅信息發(fā)布帶來的關(guān)聯(lián)性和次生性災(zāi)害的可能性。

　　從影響方面看，部分安全威脅披露，經(jīng)過帶有商業(yè)目的的傳播和媒體的炒作后，威脅風險或?qū)嶋H威脅后果被夸大，容易引起無謂的恐慌，加大了社會成本消耗，而且反復下去，容易引發(fā)“狼來了”的效應(yīng)，導致企業(yè)和個人對威脅信息的重視程度反而下降。例如早在1992年初，就有類似情況出現(xiàn)，“米開朗基羅”（Michelangelo）病毒開始傳播，一家美國公司聲稱3月6日病毒爆發(fā)時，將有超過500萬臺電腦上的數(shù)據(jù)被破壞，一時間造成了公眾恐慌，但實際上感染“米開朗基羅”病毒的電腦大概只有1萬臺左右。類似事件影響了公眾對威脅信息披露的信任。《辦法》對此也作出明確規(guī)定，要求發(fā)布信息“應(yīng)堅持客觀、真實、審慎、負責的原則，不利用網(wǎng)絡(luò)安全威脅信息進行炒作、牟取不正當利益或從事不正當商業(yè)競爭”。受該原則約束，在發(fā)布網(wǎng)絡(luò)安全威脅信息時，不能使用帶傾向性的語言，不能夸大威脅的影響范圍、影響程度，不能出于商業(yè)競爭目的，發(fā)布不利于競爭對手的信息。此外，《辦法》還對“預警”一詞使用作出了明文規(guī)定：“未經(jīng)政府部門批準和授權(quán)，任何企業(yè)、社會組織和個人發(fā)布網(wǎng)絡(luò)安全威脅信息時，標題中不得含有‘預警’字樣”。這一規(guī)定并非不允許各方發(fā)布風險提示，而是限定不得隨意使用“預警”兩字。事實上，網(wǎng)信辦早在2017年出臺《國家網(wǎng)絡(luò)安全事件應(yīng)急預案》文件，已對網(wǎng)絡(luò)安全事件“預警”的級別、監(jiān)測、研判、發(fā)布和響應(yīng)作出了明確規(guī)定，從中可以看出網(wǎng)絡(luò)威脅“預警”是一種嚴肅的國家行政行為，而不應(yīng)是任何企業(yè)、組織和個人可以隨意使用甚至用于炒作的概念。

　　在國家相關(guān)部門授權(quán)機制下，形成威脅信息發(fā)布的規(guī)范機制，加強管理，提高網(wǎng)絡(luò)安全防護水平，是各國的普遍做法。美國已出臺了一系列威脅信息披露管理法案，英國也有一整套的“披露漏洞公平裁決策略和流程”。網(wǎng)信辦此次出臺的《辦法》，是希望對威脅信息發(fā)布工作形成明確的導向和指引，確保威脅信息發(fā)布真實準確，確保信息發(fā)布者對內(nèi)容負責，確保威脅信息發(fā)布能達成良好的初衷，保證網(wǎng)絡(luò)和信息系統(tǒng)的脆弱性得到及時修復，減少發(fā)生關(guān)聯(lián)性和次生性災(zāi)害的可能性，具有十分重要的價值和現(xiàn)實意義。《辦法》在起草過程中，組織了廣泛的討論，對于安全研究者和安全廠商擔心的，是否會影響威脅信息發(fā)布的及時性、全面性，影響安全研究的積極性以及相關(guān)邊界難以把握等問題也進行了一定的完善和修訂。經(jīng)過調(diào)研、討論和調(diào)整，在總體上兼顧了威脅發(fā)布的需求以及潛在風險問題，考慮了多方面意見，從而進入到發(fā)布征求意見稿，更廣泛征集公開意見階段，可以獲得更多的修訂意見和相關(guān)的反饋，對于其中可能存在的爭議點，特別是關(guān)于細節(jié)披露尺度和時間周期規(guī)定的合理性，各方也有機會進行進一步的研討，從而推動《辦法》的進一步完善和細化。同時也需要看到，網(wǎng)絡(luò)安全威脅信息發(fā)布涉及法律、技術(shù)、道德、產(chǎn)業(yè)、競爭等諸多方面，相關(guān)機制建立很難一蹴而就，還需要在今后實踐中進一步細化、磨合與改進。

未經(jīng)允許不得轉(zhuǎn)載：網(wǎng)信浙江 » 淺談對《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）》的理解