引言
今日,网信办发布了关于《网络安全威胁信息发布管理办法》(以下称《管理办法》)的社会公开征求意见稿,奇安信威胁情报中心对《管理办法》做了仔细研读,我们认为《管理办法》体现了国家层面加强对威胁信息发布的规范,以尽可能减小其负面影响的精神。安全研究人员和厂商需要对威胁信息的发布有更为审慎的态度,特别是对涉及关键基础设施的威胁信息与相关主管机构有更深入的沟通和互动,在国际局势影响下的国内信息安全环境中担负起更大的责任。
条款解读
此《管理办法》主要针对当前国内一些威胁信息发布的现象进行规范,今后那些不负责任的网络安全威胁信息发布行为一定要三思而后行。以下是奇安信威胁情报中心对于《管理办法》条款的解读,权当抛砖引玉希望业界也能发表自己的看法。
第一条要点:目标为保障网络运行安全,发布此管理办法是手段,依据的是《中华人民共和国网络安全法》。
解读:
明确《管理办法》所要达到目标,网络安全法是其立规依据。
第二条要点:发布网络安全威胁信息时,以维护安全,促进安全意识提升和交流网络安全技术知识为目的,不得破坏国家社会安全,不得侵犯各相关方利益。
解读:
本条款的前提就是允许安全研究人员和机构发布威胁相关的信息,明确了国家层面对于威胁信息这种可能造成负面影响的特殊信息所希望达成的目的和效果:提升受众的安全意识,让受威胁信息影响的单位得到威胁存在的提示以及时采取应对措施;技术交流,威胁相关的技术细节有助于处置和分析机构提升应对类似威胁的能力。威胁信息的发布不能对国家有破坏性的影响,受威胁信息影响的各方的利益不能因此被侵犯,明确了行为所导致后果的底线。
第三条要点:发布网络安全威胁信息,要秉持客观、真实、审慎、负责的原则,不得炒作,谋取不正当利益或从事不正当商业竞争。
解读:
客观
在发布威胁信息时保持客观,特别是与利益关联方相关的威胁信息不能带有主观的意见,以免引起不必要的纷争,不能把威胁信息作为竞争的手段和工具。对威胁进行严重程度评级时要遵照为业界所广泛认同的标准,使评估结果横向可比较纵向保持一致,从技术上保证客观性。
真实
保证输出信息的准确度,全面地反映现实情况。这不仅要求求真的态度,也更是能力的体现,比如要评估一个漏洞的实际影响其实并不那么容易,需要知道漏洞影响的软件版本、漏洞利用难易程度(需要理解漏洞成因,被利用的限制因素等)、在什么配置场景下可利用、现实环境中的部署量,上述无论哪一方面的细节信息获取都是要付出很大成本的。所以,要发布一个真实威胁信息需要很强的能力与资源,《管理办法》的这个原则其实对威胁信息发布方设置了一个相当高的门槛。以往安全厂商可能在发布威胁信息时倾向于夸大严重程度进行恐吓式营销,大家都知道不实信息的持续发布其实在透支厂商的信用,最终只会导致狼来了的结局,用户对威胁信息的产生麻木情绪,导致真正重大的威胁来临时反而没有及时应对造成严重损失。
审慎
威胁信息能够及时让受影响的用户知晓以采取措施缓解或消除威胁无疑是必要的,但由于其特殊性,不正确全面的信息会引起不必要的恐慌,过度的技术细节披露也容易被破坏入侵者所用从而导致更大的威胁,所以是否发布,如发布,细节上披露到什么程度以及发布到多大范围都需要仔细权衡以尽可能减轻可能的负面影响。
负责
对于威胁信息的发布要有负责的态度,发布信息不能只管杀不管埋,比如发布没有解决方案的漏洞类威胁信息除了对攻击者有用,对防护方却没有任何益处,这样的处理方式就是不负责任的行为。对发布信息可能导致的后果要有清醒的预判,发布后随时响应用户的需求,答疑解惑并提供必要的解决方案信息支持,尽己所能监控威胁相关的恶意活动变化及时发布威胁的更新,持续与威胁做对抗。
第四条要点:网络安全威胁信息不可以包含下列内容,其中重点为恶意软件的源代码,从事网络攻击的程序和工具,以及复现完整网络攻击的细节,泄露的数据本身,目标网络的网络结构。
解读:
我们理解监管单位对于条款中所列的这些威胁信息组成元素做输出限制主要考虑到那些信息可能对攻击者更有用,而且可以被不怀好意的人直接利用。如“专门用于……的程序、工具”就沿用了网络安全法第27条的表述,其目的在于防止为不法分子提供技术支持。此外,不得发“完整复现网络攻击的细节”,也可以理解为不想让不法分子照葫芦画瓢,直接就能拿来用到做坏事上。其实,所谓“完整复现”的门槛很高,只要在发布网络攻击信息时规避掉一些敏感的、具体的环节和过程,不让人产生手把手传授网络犯罪技术的感觉,应该就能符合这一条规定。总之,根据这一条规定,今后安全从业人员和爱好者学习交流时仍然可以讨论原理方法,但是要注意直接传播POC、利用工具将是不被允许的,这也是断了不法分子轻轻松松获得工具当伸手党的可能。
第五条要点:发布一些网络安全事件信息报告前,例如系统被攻击破坏、非法入侵等,要报备所在地市级公安机关报告。
解读:
此条款的核心为涉及到已经受威胁影响的单位组织信息,因为其中可能存在关键信息基础设施,不实的信息发布可能影响国家安全和社会稳定,所以《管理办法》明确要求先报公安机关以体现第三条中的审慎原则。但因为条款没有提到需要公安机关审批同意才能发,所以应该不算行政审批,只要有“报告”的动作就符合规定。
第六条要点:攻击事件、风险、脆弱性的综合性分析报告在公开发布前要报各级网信办、公安知晓,涉及影响国计民生的关键行业的,需要报行业主管部门。
解读:
这条款强调了威胁信息发布者与监管机构的配合,保证监管机构在第一时间掌握情况。与上一条类似,只提到发布前要进行报告,未规定要进行审批同意才能发,所以应该不算行政审批,只要有“报告”的动作就符合规定。
第七条要点:未经政府部门批准和授权、任何单位、个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
解读:
“预警”对监管部门具有特定的涵义,后续会搭配一系列的分析处置行动,不同预警级别对应不同强度的动作,会涉及大量资源的调用,所以预警只能由监管机构发起。例如根据《国家网络安全事件应急预案》,有关部门发布网络安全预警后,有关地区和部门要根据预警级别启动应急预案,及时采取措施进行响应。因此,今后对于一般的安全机构和厂商,建议使用风险提示、威胁情报之类的描述来命名自己所发布的信息。
第八条要点:发布一些系统存在风险或脆弱性时候,需要事先征集该系统的运营者的书面意见,这里也做了合理的情况除外:相关风险或脆弱性已被消除或修复,或者已提前30日向相关部门举报。
解读:
此条款对风险、脆弱性的发布提出了非常严格的约束,实际操作上基本可以理解为没有存在风险、脆弱性的信息系统运营者的许可,相应的风险、脆弱性信息不再允许被公开发布出来,公开说某某机构存在某某风险、脆弱性直接违反《管理办法》。在风险、脆弱性没有得到修复的情况下,有上述的规定是可以理解的,因为指出某某机构存在某某风险、脆弱性无疑给恶意攻击者指出了攻击路径,威胁随之扩大。但规定也考虑到防止存在风险的机构由于不用担心被公开点出来而导致修复的动力不足或处置缓慢,增加风险、脆弱性存在的窗口期,提出了救济情况,一方面是对于问题已经解决的,不再受约束;另一方面一定程度上参考了谷歌ProjectZero的做法,对于忽略或没有能力修复漏洞的机构给了30天的缓冲期,当然还是需要相关上级监管机构的介入。
第九条要点:如果有关部门通报一些平台出现违反本办法的发布行为和发布内容时候应该停止发布,具体哪些平台列的比较详细。
解读:
违规的威胁信息如果被发布,发布者需要配合监管机构的管理要求执行减小后续影响的操作,简单来说就是监管机构让你删就得配合删除,条款中所列的信息发布渠道基本包含了所有已知的***息发布渠道,如果拒不执行惩罚措施见下面的第十、十一条。
第十条要点:违反相关规定会以《网络安全法》的规定进行处理。
十一条要点:涉密信息发布需按照国家有关规定执行。
解读:
如果违反《管理办法》会有处罚可以参看《网络安全法》,多了解些相关的法律避免触线。
十二条要点:网络安全威胁信息的定义和枚举。
解读:
对威胁信息包括的类型枚举得相当全面,涉及工具、过程、事件等描述,甚至还包括意图。不限于显式的漏洞、风险等直接威胁信息,还包括了信息系统的环境信息,比一般对威胁情报的定义要宽泛得多。办法第4到8条已对每一类威胁信息如何发布做了详细规定,这里应该是一个较为原则的定义,具体操作还需要看前面第4到8条的规定。
网络安全威胁信息发布管理办法
(征求意见稿)
第一条 为规范网络安全威胁信息发布行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条 发布网络安全威胁信息,应以维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识为目的,不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。
第三条 发布网络安全威胁信息,应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。
第四条 发布的网络安全威胁信息不得包含下列内容:
(一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
(二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;
(三)能够完整复现网络攻击、网络侵入过程的细节信息;
(四)数据泄露事件中泄露的数据内容本身;
(五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;
(六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;
(七)其他可能被直接用于危害网络正常运行的内容。
第五条 发布网络和信息系统被攻击破坏、非法侵入等网络安全事件信息前,应向该事件发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。
第六条 任何企业、社会组织和个人发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;
发布涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;
发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。
第七条 未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
第八条 发布具体网络和信息系统存在风险、脆弱性情况,应事先征求网络和信息系统运营者书面意见,以下情况除外:
(一)相关风险、脆弱性已被消除或修复;
(二)已提前30日向网信、电信、公安或相关行业主管部门举报。
第九条 通过下列平台发布信息的,平台运营者、主办单位接到有关部门通报、用户举报,或自行发现平台上存在违反本办法的发布行为和发布内容的,应当立即停止发布、采取消除等处置措施,防止违规内容扩散,保存有关记录,并向地市级以上网信部门、公安机关报告。
1.报刊、广播电视、出版物;
2.互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等;
3.公开举行的会议、论坛、讲座;
4.公开举办的网络安全竞赛;
5.其他公共平台。
第十条 违反本办法规定发布网络安全威胁信息的,由网信部门、公安机关根据《中华人民共和国网络安全法》的规定予以处理。
第十一条 涉及国家秘密、涉密网络的网络安全威胁信息发布活动,按照国家有关规定执行。
第十二条 本办法所称网络安全威胁信息,包括:
(一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等。
(二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
第十三条 本办法自发布之日起实施。