English
郵箱
聯系我們
網站地圖
郵箱
舊版回顧


<健康養生_主關鍵詞>

文章來源:SEO    發布時間:2020-06-03 01:22:10  【字號:      】

麗江旅游景點會計初級-天津會計網-中級財務會計報表學習網站山西新聞網具有新聞采寫社會化媒體資訊和產品為一體的互聯網媒體平臺記錄社會、傳播信息每天24小時面向廣大網民和網絡媒體,快速、準確地提供文字、圖片、視頻等多樣化的資訊服務力求及時、客觀、權威、獨立地報道新聞,致力于應用前沿。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

麗江旅游景點

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

麗江旅游景點

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發布仍存在很多問題。為進一步規范網絡安全威脅信息發布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。

信息發布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業發展等。

月日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發布仍存在很多問題,有關單位、網絡運營者反映強烈。

例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。

“具體來說,比如名為發布網絡安全威脅信息,實為發布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品!编崒幷f,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規范。

北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發布《征求意見稿》,規范網絡安全威脅信息的發布管理,實際上是落實網絡安全法有關規定的體現!拔覀冃枰龅木褪歉鶕W絡安全法中的相關原則和現實需要,進一步具體落實!

網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。

除此之外,《征求意見稿》發布前,尚無規范網絡安全威脅信息發布活動的法律法規。

規制范圍相對擴大

披露原則更加明確

根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

在披露程序上,更是明確規定了發布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前日向網信、電信、公安或相關行業主管部門舉報。

之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到,很多媒體在發布《征求意見稿》的相關報道時,均提到了“禁止發布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發布,就等于直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會!眲⒌铝颊f,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。

劉德良認為,如果個人或者相關企業發布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。

促進安全意識提升

凈化網絡安全環境

今年月,《國家網絡安全產業發展規劃》正式發布。根據規劃,到年,依托產業園帶動北京市網絡安全產業規模超過億元,拉動GDP增長超過億元,打造不少于家年收入超過億元的骨干企業。工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》提出,到年網絡安全產業規模超過億。

對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的制作技術、網絡攻擊技術,并不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。

在鄭寧看來,《征求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發布網絡安全威脅信息前,應首先對于發布的內容進行評估,不得發布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發布信息時要注意守法。

“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業鏈,凈化網絡安全環境起到積極作用!编崒幷f。

對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執法。

此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。

麗江旅游景點




(成都養生網)

附件:

中醫養生


© <養生網_主關鍵詞>成都養生網 聯系我們

請勿用于非法用途,否則后果自負,一切與程序作者無關!

成都養生網 哈灵江苏麻将作弊器 幸运赛车走 意甲教母 股票基本入门知识 斗牛棋牌开发 棋牌游戏怎么刷金币? 怎样申请股票开户 微乐麻将辅助器ios免费版 股票资产配置? 850旧版下载 今日股票大盘情况