2019年11月20日,国家网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《办法》)。该《办法》出台是落实《网络安全法》的重要举措。《办法》对发布涉及计算机病毒、网络攻击、网络侵入、网络安全事件等可能威胁网络正常运行活动的相关安全威胁信息,以及包括系统漏洞、网络风险等在内的可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面,对研究机构、网络安全厂商、个人研究者,以及信息发布平台运营单位做出了较为具体的规范。《办法》兼顾了既要确保信息发布有利于防范网络安全威胁和风险,推动政企机构和公众了解威胁和风险并进行处置响应,又要避免不当发布引发消极后果。
网络威胁信息发布是网络安全厂商、应急组织、研究机构和个人研究者通过分析研究深入了解威胁,并进行公开信息披露的过程。这些公开披露的信息,是公众和相关人员了解威胁机理、背景、影响面、应对方法等信息的重要来源,有助于网络安全运维人员制定应对决策、作出前置准备、应对攻击后果、展开响应处置。在面对网空威胁行为体对我国的高级攻击活动中,全面的、高质量的分析报告,亦曾起到过迫使攻击者在一段时间内收敛攻击活动的效果。因此,网络威胁信息发布是网络安全工作中一个非常重要的环节,但也存在着一些“双刃剑”的问题。
从内容上来看,部分威胁信息发布,基于攻击者的攻击视角教程化详尽展开,导致成为攻击示范。少数分析中直接包含了原始攻击载荷,可能导致二次扩散和感染的风险。还有的针对具体的信息系统和业务系统漏洞,公开了攻击入口和攻击方法,可能诱发攻击。甚至可能导致产生一些攻击方的自动化攻击手段,可以直接机读导入攻击入口,进行自动化攻击。此次公布的《办法》对类似的情况进行了约束和限制,明确列出威胁信息不得包含的细节内容,意在全面降低威胁信息发布的负面风险。
从威胁信息发布时机和流程上看,如果信息发布从发现、上报到公开没有给原厂商、相关资产管理运维方,以及主管部门、应急响应部门留有足够的处置和协调响应时间,这种不加以约束和限制的发布可能会加剧风险。少数严重漏洞,机理并不复杂,即使没有披露细节,一旦存在线索提示,就很容易被猜测找到。如果不能给原厂商留有足够的制作和发布补丁的时间,不能给主管部门和应急机构留有足够的响应修复的时间,漏洞信息披露就可能产生负面效果。不但没有起到发布信息本身原有的缓解漏洞的初衷,反而还可能加速了漏洞被多方攻击者利用的过程。还有一些设备和系统陈旧的关键信息基础设施,存在一些机理性的漏洞,修复代价成本极大,甚至不全面替换就无法修复,如果此类威胁信息大面积公开,就会触发较为严重的连锁问题。此次公布的《办法》,对威胁信息的发布流程,按照区域、行业领域分门别类予以规范,尤其是兼顾各方合法利益,对涉及具体网络和信息系统存在的风险、脆弱性情况如何发布做出了具体规定,在一定程度上降低了威胁信息发布带来的关联性和次生性灾害的可能性。
从影响方面看,部分安全威胁披露,经过带有商业目的的传播和媒体的炒作后,威胁风险或实际威胁后果被夸大,容易引起无谓的恐慌,加大了社会成本消耗,而且反复下去,容易引发“狼来了”的效应,导致企业和个人对威胁信息的重视程度反而下降。例如早在1992年初,就有类似情况出现,“米开朗基罗”(Michelangelo)病毒开始传播,一家美国公司声称3月6日病毒爆发时,将有超过500万台电脑上的数据被破坏,一时间造成了公众恐慌,但实际上感染“米开朗基罗”病毒的电脑大概只有1万台左右。类似事件影响了公众对威胁信息披露的信任。《办法》对此也做出明确规定,要求发布信息“应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争”。受该原则约束,在发布网络安全威胁信息时,不能使用带倾向性的语言,不能夸大威胁的影响范围、影响程度,不能出于商业竞争目的,发布不利于竞争对手的信息。此外,《办法》还对“预警”一词使用做出了明文规定:“未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有‘预警’字样”。这一规定并非不允许各方发布风险提示,而是限定不得随意使用“预警”两字。事实上,网信办早在2017年出台《国家网络安全事件应急预案》文件,已对网络安全事件“预警”的级别、监测、研判、发布和响应做出了明确规定,从中可以看出网络威胁“预警”是一种严肃的国家行政行为,而不应是任何企业、组织和个人可以随意使用甚至用于炒作的概念。
在国家相关部门授权机制下,形成威胁信息发布的规范机制,加强管理,提高网络安全防护水平,是各国的普遍作法。美国已出台了一系列威胁信息披露管理法案,英国也有一整套的“披露漏洞公平裁决策略和流程”。网信办此次出台的《办法》,是希望对威胁信息发布工作形成明确的导向和指引,确保威胁信息发布真实准确,确保信息发布者对内容负责,确保威胁信息发布能达成良好的初衷,保证网络和信息系统的脆弱性得到及时修复,减少发生关联性和次生性灾害的可能性,具有十分重要的现实价值和意义。《办法》在起草过程中,组织了广泛的讨论,对于安全研究者和安全厂商担心的,是否会影响威胁信息发布的及时性、全面性,影响安全研究的积极性以及相关边界难以把握等问题也进行了一定的完善和修订。经过调研、讨论和调整,在总体上兼顾了威胁发布的需求以及潜在风险问题,考虑了多方面意见,从而进入到发布征求意见稿,更广泛征集公开意见阶段,可以获得更多的修订意见和相关的反馈,对于其中可能存在争议点,特别是关于细节披露尺度和时间周期规定的合理性,各方也有机会进行进一步的研讨,从而推动《办法》的进一步完善和细化。同时也需要看到,网络安全威胁信息发布涉及到法律、技术、道德、产业、竞争等诸多方面,相关机制建立很难一蹴而就,还需要在今后实践中进一步细化、磨合与改进。