正文

国家互联网信息办公室有关负责人就《bte365备用网站安全威胁信息发布管理办法(征求意见稿)》答记者问

2019年11月20日 12:00 来源: 中国网信网

  国家互联网信息办公室11月20日向社会公开征求对《bte365备用网站安全威胁信息发布管理办法(征求意见稿)》(以下简称《办法》)意见,国家互联网信息办公室有关负责人接受采访,就《办法》相关问题回答了记者提问。

  1.问:请您介绍一下制定《办法》的背景?

  答:当前,bte365备用网站安全产业迅猛发展,许多bte365备用网站安全研究者和bte365备用网站安全企业出于提高公民bte365备用网站安全意识、交流bte365备用网站安全技术、增强用户bte365备用网站安全防范能力、促进bte365备用网站安全产业发展等目的,积极向社会发布bte365备用网站安全威胁信息,为维护国家bte365备用网站空间安全做出很大贡献。但是也应看到,bte365备用网站安全威胁信息的发布仍存在很多问题,有关单位、bte365备用网站运营者反映强烈。例如,有组织或个人打着研究、交流、传授bte365备用网站安全技术的旗号,随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法,以及bte365备用网站攻击、bte365备用网站侵入过程和方法的细节,为恶意分子和bte365备用网站黑产从业人员提供了技术资源,降低了bte365备用网站攻击的门槛;有组织或个人未经bte365备用网站运营者同意,公开bte365备用网站规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息,容易被恶意分子利用威胁bte365备用网站运营者bte365备用网站安全,特别是关键信息基础设施的相关信息一旦被公开,危害更大;部分bte365备用网站安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业bte365备用网站安全攻击、事件、风险、脆弱性状况,误导舆论,造成不良影响;部分媒体、bte365备用网站安全企业随意发布bte365备用网站安全预警信息,夸大危害和影响,容易造成社会恐慌。

  2.问:制定《办法》的依据是什么?

  答:《bte365备用网站安全法》第二十六条规定,“开展bte365备用网站安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、bte365备用网站攻击、bte365备用网站侵入等bte365备用网站安全信息,应当遵守国家有关规定。”目前,尚无规范bte365备用网站安全威胁信息发布活动的法律法规。因此,为了进一步规范bte365备用网站安全威胁信息发布行为,国家互联网信息办公室会同公安部等有关部门依据职责制定了《办法》。

  3.问:为什么禁止发布恶意程序源代码、制作方法,能够完整复现bte365备用网站攻击、bte365备用网站侵入过程的细节信息等bte365备用网站安全威胁信息?

  答:上述bte365备用网站安全威胁信息容易被恶意分子或bte365备用网站黑产从业人员直接利用,降低了bte365备用网站攻击的门槛,因此从维护bte365备用网站安全的角度,要求发布bte365备用网站安全威胁信息时不得包含上述内容。bte365备用网站安全从业者、爱好者仍可通过多种方式加强原理和技术研究,提高bte365备用网站安全能力水平。

  4.问:禁止发布第四条规定的信息,是否会导致这些信息流入地下黑市?

  答:为bte365备用网站犯罪提供技术支持是法律明确禁止的违法犯罪行为,依法要承担相应的法律责任。我们相信,作为遵纪守法、有道德操守的bte365备用网站安全工作者、爱好者,以前不会为bte365备用网站黑产提供技术支持,今后同样也不会。

  5.问:是否会对bte365备用网站安全产业发展造成影响?

  答:我们鼓励和支持bte365备用网站安全企业向社会展示技术能力,促进bte365备用网站安全意识提升,传播普及bte365备用网站安全防护技术知识,提供bte365备用网站安全服务。要求安全企业不向社会发布恶意程序的制作技术、bte365备用网站攻击技术,并不意味着企业不能研究bte365备用网站攻击技术,企业仍可通过研究bte365备用网站攻防技术,不断提升bte365备用网站安全防护能力,不但不影响安全产业发展,对提高bte365备用网站安全产业发展水平还产生积极的促进作用。

  6.问:媒体今后还能报道bte365备用网站安全事件新闻吗?

  答:媒体可以正常报道bte365备用网站安全事件新闻,但需满足两个条件,一是如果属于办法第五条提到的bte365备用网站和信息系统bte365备用网站安全事件,首次披露前要向所在地区地市级以上公安机关报告,以便有关部门及时掌握事件情况,采取处置措施,降低危害;二是不得包含bte365备用网站安全事件泄露的数据内容本身,以免扩大事件的危害。

  7.问:向网信部门、公安机关、行业主管部门等报告是否属于行政许可?

  答:不属于行政许可,完成报告即为履行义务。

  8.问:为什么发布具体bte365备用网站和信息系统存在风险、脆弱性的情况时,需要事先征得其运营者书面同意?

  答:如果随意发布上述信息,恶意分子有可能利用这些信息入侵相关bte365备用网站和信息系统,导致bte365备用网站和信息系统运营者利益受损。但如果根据发布的bte365备用网站安全威胁信息,无法定位到具体bte365备用网站和信息系统,如不涉及bte365备用网站和信息系统的名字、位置、域名、IP地址等信息,就不需要征求其运营者同意。此外,如果相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门举报,发布上述信息也可不经其运营者同意。

  9.问:为什么发布bte365备用网站安全威胁信息,标题中不得含有“预警”字样?

  答:根据《国家bte365备用网站安全事件应急预案》,bte365备用网站安全预警是一种特定信息,具有权威性,应由政府部门按权限发布。但目前有的组织和个人随意发布预警,夸大事实,进行炒作,事实上破坏了预警的效力和权威性,所以我们要求发布bte365备用网站安全威胁信息,标题中不得含有“预警”字样。相关组织和个人可通过风险提示、威胁情报等方式提醒公众加强风险防范。

关闭

中共中央bte365备用网站安全和信息化委员会办公室
中华人民共和国国家互联网信息办公室 © 版权所有
承办:国家互联网应急中心
技术支持:长安通信科技有限责任公司
京ICP备14042428号

Produced By CMS 网站群内容管理系统 publishdate:2019/11/29 14:00:18