如果发现网络漏洞,应该如何处理才是合适的?为规范网络安全信息发布流程,保护公众利益,11月20日,国家互联网信息办公室发布《网络安全威胁信息发布管理办法(征求意见稿)》,公开征求社会意见,拟对网络安全威胁信息的发布进行规范。此前,工业和信息化部也发布《网络安全漏洞管理规定(征求意见稿)》。
规制范围更广 涵盖威胁网络正常运行的行为
网信办所定义的“网络安全威胁”除漏洞信息外,还包括“对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息”。比如计算机病毒、网络攻击、网络侵入、网络安全事件等。
此外,也包括可能暴露网络脆弱性的信息。比如,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
披露原则更明确 需提前30日报备
该规定对于相关信息的披露原则也提出了更高的要求,即“客观、真实、审慎、负责”。并特别提出不能利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。
在披露程序上,更是明确规定了发布具体网络和信息系统存在风险、脆弱性情况时,必须事先征求网络和信息系统运营者书面意见,除非相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门举报。
非法发布信息需立即停止 采取消除措施
平台运营者、主办单位的法律责任也在该规定中得到体现。在自己运营和主办的报刊、广播电视、出版物、互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等、公开举行的会议、论坛、讲座、公开举办的网络安全竞赛等中发现非法发布信息时,也有义务立即停止发布、采取消除等处置措施,防止违规内容扩散,保存有关记录,并向地市级以上网信部门、公安机关报告。
研发攻击武器并公开演示也需担责
业内人士表示,该规定将对目前行业内的一些安全威胁信息的炒作发布事件实现有效的规范。目前,个别互联网企业,时常未经同意将其他公司应用软件或系统存在的风险性和脆弱性进行公布,甚至专门研发攻击武器向公众进行演示宣传,对于并未实际产生的网络运行威胁可能性进行过度炒作和宣传,给公众造成不必要的恐慌和误导,给其它经营者造成声誉上的损失。随着《漏洞管理规定》和《威胁信息发布管理办法》的发布,相信此类侵权或违法行为将受到严格规制。
国家互联网信息办公室有关负责人就该征求意见稿答记者问时表示,目前确有部分网络安全企业对网络安全威胁信息的公布具有不正当目的,以研究、交流、传授网络安全技术为名,行不正当竞争之实,已经造成了行业反应强烈,误导舆论和造成不良影响,有关单位、网络运营者反映强烈。今后网信办及公安机关将作为主要的监管部门集中主导相关网络安全威胁信息的发布,真正实现维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识的目的。
-
18945406222
-
