【TechWeb】 11 月 20 日消息,据国家网信办官网消息,为规范发布网络安全威胁信息的行为,有效应对网络安全威胁和风险,保障网络运行安全,国家互联网信息办公室会同公安部等有关部门起草了《网络安全威胁信息发布管理办法(征求意见稿)》,现向社会公开征求意见。
意见稿第四条规定了发布的网络安全威胁信息不得包含的内容,具体如下:
(一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
(二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;
(三)能够完整复现网络攻击、网络侵入过程的细节信息;
(四)数据泄露事件中泄露的数据内容本身;
(五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;
(六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;
(七)其他可能被直接用于危害网络正常运行的内容。
对此,国家互联网信息办公室有关负责人解释称,上述网络安全威胁信息容易被恶意分子或网络黑产从业人员直接利用,降低了网络攻击的门槛,因此从维护网络安全的角度,要求发布网络安全威胁信息时不得包含上述内容。网络安全从业者、爱好者仍可通过多种方式加强原理和技术研究,提高网络安全能力水平。
那么,媒体今后还能报道网络安全事件新闻吗?该负责人指出,媒体可以正常报道网络安全事件新闻,但需满足两个条件,一是如果属于办法第五条提到的网络和信息系统网络安全事件,首次披露前要向所在地区地市级以上公安机关报告,以便有关部门及时掌握事件情况,采取处置措施,降低危害;二是不得包含网络安全事件泄露的数据内容本身,以免扩大事件的危害。
此外,意见稿还指出,未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
对此,该负责人解释称,根据《国家网络安全事件应急预案》,网络安全预警是一种特定信息,具有权威性,应由政府部门按权限发布。但目前有的组织和个人随意发布预警,夸大事实,进行炒作,事实上破坏了预警的效力和权威性,所以我们要求发布网络安全威胁信息,标题中不得含有“预警”字样。相关组织和个人可通过风险提示、威胁情报等方式提醒公众加强风险防范。