FreeBuf獨家 |《網絡安全威脅信息發佈管理辦法》解讀

2019 年 11 月 22 日
筆記

隨着網絡攻擊方式和手法逐漸呈現出多樣性、複雜性的特點，網絡安全威脅更為普遍與持續，在這場與網絡攻擊長久的對抗中，威脅情報共享和有效利用成為了提升整體網絡安全防護效率的重要措施。

知己知彼，方得百戰不殆。但對於企業來說，如何獲取情報，如何有效發佈情報？

基於威脅情報對於網絡安全防護的現實價值以及越來越多的機構和企業的迫切需求，《網絡安全威脅信息發佈管理辦法》應運而生。本文通過重點解讀《網絡安全威脅信息發佈管理辦法》，希望幫助安全從業人員梳理威脅情報發佈的標準，從而建立起更好的威脅信息共享體系。

一、標準細化、具體化

1、不得發佈什麼？

威脅情報要發佈，但也要謹慎發佈。在《網絡安全威脅信息發佈管理辦法》中，對於發佈網絡安全威脅信息不可以包含的內容，進行了詳細的標註。發佈網絡安全威脅信息不得包含以下內容：

（一）計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法；（二）專門用於從事侵入網絡、干擾網絡正常功能，破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序，工具；（三）能夠完整復現網絡攻擊、網絡侵入過程的細節信息；（四）數據泄露事件中泄露的數據內容本身；（五）具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息；（六）具體網絡和信息系統的網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案; （七）其他可能被直接用於危害網絡正常運行的內容。

可以發現，辦法對於不得包含的內容作了非常完善的描述，這對於威脅情報發佈來說有着明確的指導和實際操作意義。

2、發佈前，該向誰報告？

威脅情報信息的發佈，由於涉及敏感信息，一般需要進行提前報告。那麼怎麼報告、向誰報告，都是安全從業人員一直關心的問題。在《網絡安全威脅信息發佈管理辦法》同樣給出了確切的回復。

（1）報告機關所在地=安全事件發生地

發佈網絡和信息系統被攻擊破壞、非法入侵等網絡安全事件信息前，應向該事件發生所在地地市級以上公安機關報告。

（2）視綜合分析報告範圍而定

任何企業、社會組織和個人發佈網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，根據分析報告的範圍不同，向不同部門報告：

發佈地域性的綜合分析報告時，應事先向所涉及地區地市級以上網信部門和公安機關報告。發佈全國性、跨地區、跨行業領域的綜合分析報告時，應事先向國家國信部門和國務院公安部門報告。

（3）重點行業領域報告行業主管部門

公布涉及公共通信和信息服務、能源交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告，應事先向行業主管部門報告。

事實上，公共通信、能源交通等關鍵基礎行業一直以來都是網絡安全防護的重點關注領域，並不算意外，需要指出的是本次辦法中還提出了信息服務行業。在近幾年信息服務產業迅猛發展，安全威脅愈發嚴峻的背景下，《網絡安全威脅信息發佈管理辦法》的這條規定也可以理解為是基於當下的網絡安全環境，所做出的積極調整。

3、發佈形式

威脅情報如何發佈？根據《網絡安全威脅信息發佈管理辦法》：未經政府批准或授權，任何單位、個人發佈網絡安全威脅信息時，標題中不得會有「預警」字樣。

在發佈形式上，辦法給出了清晰的界定：未經政府批准或授權，標題中就不得會有「預警」字樣。也是為網絡安全威脅信息發佈的規範性和傳播做了把關。

二、特定場景，適當放寬標準

發佈網絡和信息系統存在風險、脆弱性的情況，一般來說都需要事前報備，先徵求網絡和信息運營者書面意見，就比如前文提及的向對應機關單位報告。但比較驚喜的是，此次《網絡安全威脅信息發佈管理辦法》體現了具體情況具體分析，對於部分特定場景做了適當的標準放寬。如果為以下2種情況，可無需報備直接發佈：

1、在相關風險，脆弱已被消除或修復； 2、已提前30日向網信、電信、公安或相關行業主管部門舉報。

這意味着在行業級通告預警層面，對於危害程度較低的威脅情報，正在嘗試加快威脅信息共享，幫助企業縮短威脅響應時間。

三、總結

從以上《網絡安全威脅信息發佈管理辦法》的相關條款來看，不難發現，辦法主要圍繞着將威脅情報的發佈環節細化、標準化、體系化展開。

通過條款明確化、統一威脅情報發佈的信息格式與內容，《網絡安全威脅信息發佈管理辦法》在適應現階段信息安全發展情況下，為威脅情報利用掃清了一定障礙。不管是對安全廠商還是安全研究者來說，都帶來了積極的指向，讓威脅情報的實際研究、分析、發佈階段有了參考與支撐，與此同時，也幫助行業、產業不同層級的統一的威脅信息有效傳遞，進一步支撐着網絡安全工作的開展。

附：網絡安全威脅信息發佈管理辦法（徵求意見稿）

第一條為規範網絡安全威脅信息發佈行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，制定本辦法。第二條發佈網絡安全威脅信息，應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的，不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權益。第三條發佈網絡安全威脅信息，應堅持客觀、真實、審慎、負責的原則，不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。第四條發佈的網絡安全威脅信息不得包含下列內容：（一）計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法；（二）專門用於從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具；（三）能夠完整復現網絡攻擊、網絡侵入過程的細節信息；（四）數據泄露事件中泄露的數據內容本身；（五）具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息；（六）具體網絡和信息系統的網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案；（七）其他可能被直接用於危害網絡正常運行的內容。第五條發佈網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息前，應向該事件發生所在地地市級以上公安機關報告。各級公安機關應及時將相關情況報同級網信部門和上級公安機關。第六條任何企業、社會組織和個人發佈地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向所涉及地區地市級以上網信部門和公安機關報告；發佈涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向行業主管部門報告；發佈全國性或跨地區、跨行業領域的綜合分析報告時，應事先向國家網信部門和國務院公安部門報告。第七條未經政府部門批准和授權，任何企業、社會組織和個人發佈網絡安全威脅信息時，標題中不得含有「預警」字樣。第八條發佈具體網絡和信息系統存在風險、脆弱性情況，應事先徵求網絡和信息系統運營者書面意見，以下情況除外：（一）相關風險、脆弱性已被消除或修復；（二）已提前30日向網信、電信、公安或相關行業主管部門舉報。第九條通過下列平台發佈信息的，平台運營者、主辦單位接到有關部門通報、用戶舉報，或自行發現平台上存在違反本辦法的發佈行為和發佈內容的，應當立即停止發佈、採取消除等處置措施，防止違規內容擴散，保存有關記錄，並向地市級以上網信部門、公安機關報告。 1.報刊、廣播電視、出版物； 2.互聯網站、論壇、博客、微博、公眾賬號、即時通信工具、互聯網直播、互聯網視聽節目、應用程序、網絡硬盤等； 3.公開舉行的會議、論壇、講座； 4.公開舉辦的網絡安全競賽； 5.其他公共平台。第十條違反本辦法規定發佈網絡安全威脅信息的，由網信部門、公安機關根據《中華人民共和國網絡安全法》的規定予以處理。第十一條涉及國家秘密、涉密網絡的網絡安全威脅信息發佈活動，按照國家有關規定執行。第十二條本辦法所稱網絡安全威脅信息，包括：（一）對可能威脅網絡正常運行的行為，用於描述其意圖、方法、工具、過程、結果等的信息。如：計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。（二）可能暴露網絡脆弱性的信息。如：系統漏洞，網絡和信息系統存在風險、脆弱性的情況，網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息，網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案等。第十三條本辦法自發佈之日起實施。