吕后的情人国家网信办有关负责人表示,当前,网络安全产业迅猛发展,许多网络安全研究者和网络安全企业出于提高网络安全意识、交流网络安全技术等目的,积极向社会发布网络安全信息,为国家网络空间安全作出贡献。但是,网络安全信息的发布仍存在很多问题。为进一步规范网络安全信息发布行为,国家网信办会同等有关部门依据职责制定了这一办法的征求意见稿。
在中国传媒大律系副主任郑宁看来,网络安全信息发布主体多元,其中有不少具有积极价值,比如提高网络安全意识、交流网络安全技术、增强用户网络安全防范能力、促进网络安全产业发展等。
11月20日,国家互联网信息办公室有关负责人就《征求意见稿》相关问题回答记者提问时也指出,网络安全信息的发布仍存在很多问题,有关单位、网络运营者反映强烈。
例如,有组织或个人打着研究、交流、传授网络安全技术的旗号,随意发布计算机病毒、木马、软件等恶意程序的源代码和制作方法,以及网络、网络侵入过程和方法的细节,为恶意和网络黑产从业人员提供了技术资源,降低了网络的门槛;有组织或个人未经网络运营者同意,公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息,容易被恶意利用网络运营者网络安全,特别是关键信息基础设施的相关信息一旦被公开,危害更大;部分网络安全企业和机构为推销产品、赚取眼球,不当评价有关地区、行业网络安全、事件、风险、脆弱性状况,,造成不良影响;部分、网络安全企业随意发布络安全预警信息,夸大危害和影响,容易造成社会恐慌。
“具体来说,比如名为发布网络安全信息,实为发布计算机病毒、木马、软件等恶意程序的源代码和制作方法,进行网络;以发布网络安全信息为由,对他人产品进行不当评价,或推销自己产品。”郑宁说,这些问题对、公共安全、个人信息,以及他人的商业利益都会造成不良影响,因此需要出台相应的立法加以规范。
师范大学院网络与智慧社会研究中心主任刘德良告诉《法制日报》记者,此次起草发布《征求意见稿》,规范网络安全信息的发布管理,实际上是落实网络安全法有关的体现。“我们需要做的就是根据网络安全法中的相关原则和现实需要,进一步具体落实。”
网络安全法第二十六条,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络、网络侵入等网络安全信息,应当遵守国家有关。
根据《征求意见稿》,网信办所定义的“网络安全”除漏洞信息外,还包括“对可能网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息”。比如计算机病毒、网络、网络侵入、网络安全事件等。
此外,也包括可能网络脆弱性的信息。比如,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
《征求意见稿》对于相关信息的披露原则也提出了更高的要求,即“客观、真实、审慎、负责”。并特别提出不能利用网络安全信息进行炒作、牟取不正当利益或从事不正当商业竞争。
在披露程序上,更是明确了发布具体网络和信息系统存在风险、脆弱性情况时,必须事先征求网络和信息系统运营者书面意见,除非相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、或相关行业主管部门举报。
之所以作出这样的,刘德良分析说,一些网络漏洞要发布出来的时候,可能针对的是已经实施的问题,比如这些网络漏洞已经被人实施犯为,或者有人知道了这些网络漏洞,正准备实施犯为的,但还不知道从哪下手,“正是基于这样的情况,一方面如果没有向机关报告具体网络和信息系统存在风险、脆弱性情况,个人或者是企业反而是直接发布,机关要立案侦查打击这种网络犯罪的话,就无疑是事先了,犯罪有可能会隐藏,就会加大机一步立案侦查打击犯罪的难度”。
《法制日报》记者注意到,很多在发布《征求意见稿》的相关报道时,均提到了“发布软件等恶意程序源代码”。
“如果将软件等涉及到网络安全漏洞的恶意程序源代码发布,就等于直接具体的网络架构、拓扑结构很具体的细节进行了披露。在获得这样的具体信息后,正好给了那些有潜在犯罪动机的,正准备实施犯罪还没有机会、甚至不知道从哪下手的人,在机关、相关的企业或者是主管部门没有采取措施之前,利用时间差实施犯罪的机会。”刘德良说,因为源代码一经公布,根据源代码来编写相应的类似的恶意程序、工具就很容易,为进一步实施犯为,为这些潜在的有犯罪动机的人提供了方便,降低了他们犯罪的成本。
刘德良认为,如果个人或者相关企业发布的网络安全中涉及到具体的安全事件,“其中泄露的内容就有可能会涉及到、企业的商业秘密以及个人隐私等,带来。另外一种情况,如果有虚假的或者是不当的,发布后可能会对社会造成恐慌心理”。
郑宁也认为,从实践来看,这些网络安全信息一旦发布,非常容易被恶意利用从事违法行为,类似于传授犯罪方法,因此要加以。
今年6月,《国家网络安全产业发展规划》正式发布。根据规划,到2020年,依托产业园带动市网络安全产业规模超过1000亿元,拉动P增长超过3300亿元,打造不少于3家年收入超过100亿元的企业。工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》提出,到2025年网络安全产业规模超过2000亿。
对此,上述国家互联网信息办公室有关负责人就“《征求意见稿》是否会对网络安全产业发展造成影响”作答时指出,我们鼓励和支持网络安全企业向社会展示技术能力,促进网络安全意识提升,普及网络安全防护技术知识,提供网络安全服务。要求安全企业不向社会发布恶意程序的制作技术、网络技术,并不意味着企业不能研究网络技术,企业仍可通过研究网络攻防技术,不断提升网络安全防护能力,不但不影响安全产业发展,对提高网络安全产业发展水平还产生积极的促进作用。
在郑宁看来,《征求意见稿》的制定会对网络安全产业产生较大的影响:首先,一切组织和个人在发布网络安全信息前,应首先对于发布的内容进行评估,不得发布性内容,并且遵循相应的报告、征求意见等程序。其次,发布网络安全信息,以向社会展示技术能力,促进网络安全意识提升,普及网络安全防护技术知识,提供网络安全服务为目的,企业仍可研发网络安全技术,只是在发布信息时要注意守法。
“《征求意见稿》在正式实施落地之后,将对打击互联网黑色产业链,净化网络安全起到积极作用。”郑宁说。
对于如何建立互联网网络安全治理长效机制,郑宁认为,要建立健全网络安全信息的报告制度、信息共享和联合执法制度,有关主管部门应根据报告启动相应的应急预案,联合执法,从而预防和化解网络安全风险。同时,对于违法行为要严格执法。
此外,上述国家互联网信息办公室有关负责人还表示,今后网信办及机关将作为主要的监管部门,集中主导相关网络安全信息的发布,真正实现网络安全、促进网络安全意识提升、交流网络安全防护技术知识的目的。
网友评论 ()条 查看