新浪科技訊 11月20日下午消息，今日，國家互聯網信息辦公室有關負責人就《網絡安全威脅信息發布管理(lǐ)辦法（征求意見稿）》答記者問，稱鼓勵和(hé)支持網絡安全企業向社會展示技術能力，促進網絡安全意識提升，傳播普及網絡安全防護技術知識，提供網絡安全服務。要求安全企業不向社會發布惡意程序的(de)制作技術、網絡攻擊技術，并不意味着企業不能研究網絡攻擊技術，企業仍可(kě)通過研究網絡攻防技術，不斷提升網絡安全防護能力，不但不影響安全産業發展，對提高(gāo)網絡安全産業發展水平還産生積極的(de)促進作用。

國家互聯網信息辦公室11月20日向社會公開征求對《網絡安全威脅信息發布管理(lǐ)辦法(征求意見稿)》(以下簡稱《辦法》)意見，國家互聯網信息辦公室有關負責人接受采訪，就《辦法》相關問題回答了記者提問。

1.問：請您介紹一(yī)下制定《辦法》的(de)背景?

答：當前，網絡安全産業迅猛發展，許多網絡安全研究者和(hé)網絡安全企業出于提高(gāo)公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防範能力、促進網絡安全産業發展等目的(de)，積極向社會發布網絡安全威脅信息，為(wèi)維護國家網絡空間安全做(zuò)出很大貢獻。但是也應看到，網絡安全威脅信息的(de)發布仍存在很多問題，有關單位、網絡運營者反映強烈。例如(rú)，有組織或個人打着研究、交流、傳授網絡安全技術的(de)旗号，随意發布計算機病毒、木馬、勒索軟件等惡意程序的(de)源代碼和(hé)制作方法，以及網絡攻擊、網絡侵入過程和(hé)方法的(de)細節，為(wèi)惡意分子(zǐ)和(hé)網絡黑産從業人員提供了技術資源，降低(dī)了網絡攻擊的(de)門檻；有組織或個人未經網絡運營者同意，公開網絡規劃設計、拓撲結構、資産信息、軟件代碼等屬性信息和(hé)脆弱性信息，容易被惡意分子(zǐ)利用威脅網絡運營者網絡安全，特别是關鍵信息基礎設施的(de)相關信息一(yī)旦被公開，危害更大；部分網絡安全企業和(hé)機構為(wèi)推銷産品、賺取眼球，不當評價有關地(dì)區、行業網絡安全攻擊、事件、風險、脆弱性狀況，誤導輿論，造成不良影響；部分媒體、網絡安全企業随意發布網絡安全預警信息，誇大危害和(hé)影響，容易造成社會恐慌。

2.問：制定《辦法》的(de)依據是什麽?

答：《網絡安全法》第二十六條規定，“開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規定。”目前，尚無規範網絡安全威脅信息發布活動的(de)法律法規。因此，為(wèi)了進一(yī)步規範網絡安全威脅信息發布行為(wèi)，國家互聯網信息辦公室會同公安部等有關部門依據職責制定了《辦法》。

3.問：為(wèi)什麽禁止發布惡意程序源代碼、制作方法，能夠完整複現網絡攻擊、網絡侵入過程的(de)細節信息等網絡安全威脅信息?

答：上述網絡安全威脅信息容易被惡意分子(zǐ)或網絡黑産從業人員直接利用，降低(dī)了網絡攻擊的(de)門檻，因此從維護網絡安全的(de)角度，要求發布網絡安全威脅信息時不得包含上述內(nèi)容。網絡安全從業者、愛好者仍可(kě)通過多種方式加強原理(lǐ)和(hé)技術研究，提高(gāo)網絡安全能力水平。

4.問：禁止發布第四條規定的(de)信息，是否會導緻這些信息流入地(dì)下黑市?

答：為(wèi)網絡犯罪提供技術支持是法律明确禁止的(de)違法犯罪行為(wèi)，依法要承擔相應的(de)法律責任。我們相信，作為(wèi)遵紀守法、有道(dào)德操守的(de)網絡安全工作者、愛好者，以前不會為(wèi)網絡黑産提供技術支持，今後同樣也不會。

5.問：是否會對網絡安全産業發展造成影響?

答：我們鼓勵和(hé)支持網絡安全企業向社會展示技術能力，促進網絡安全意識提升，傳播普及網絡安全防護技術知識，提供網絡安全服務。要求安全企業不向社會發布惡意程序的(de)制作技術、網絡攻擊技術，并不意味着企業不能研究網絡攻擊技術，企業仍可(kě)通過研究網絡攻防技術，不斷提升網絡安全防護能力，不但不影響安全産業發展，對提高(gāo)網絡安全産業發展水平還産生積極的(de)促進作用。

6.問：媒體今後還能報道(dào)網絡安全事件新聞嗎?

答：媒體可(kě)以正常報道(dào)網絡安全事件新聞，但需滿足兩個條件，一(yī)是如(rú)果屬于辦法第五條提到的(de)網絡和(hé)信息系統網絡安全事件，首次披露前要向所在地(dì)區地(dì)市級以上公安機關報告，以便有關部門及時掌握事件情況，采取處置措施，降低(dī)危害；二是不得包含網絡安全事件洩露的(de)數據內(nèi)容本身，以免擴大事件的(de)危害。

7.問：向網信部門、公安機關、行業主管部門等報告是否屬于行政許可(kě)?

答：不屬于行政許可(kě)，完成報告即為(wèi)履行義務。

8.問：為(wèi)什麽發布具體網絡和(hé)信息系統存在風險、脆弱性的(de)情況時，需要事先征得其運營者書面同意?


答：如(rú)果随意發布上述信息，惡意分子(zǐ)有可(kě)能利用這些信息入侵相關網絡和(hé)信息系統，導緻網絡和(hé)信息系統運營者利益受損。但如(rú)果根據發布的(de)網絡安全威脅信息，無法定位到具體網絡和(hé)信息系統，如(rú)不涉及網絡和(hé)信息系統的(de)名字、位置、域名、IP地(dì)址等信息，就不需要征求其運營者同意。此外，如(rú)果相關風險、脆弱性已被消除或修複，或已提前30日向網信、電信、公安或相關行業主管部門舉報，發布上述信息也可(kě)不經其運營者同意。

9.問：為(wèi)什麽發布網絡安全威脅信息，标題中不得含有“預警”字樣?

答：根據《國家網絡安全事件應急預案》，網絡安全預警是一(yī)種特定信息，具有權威性，應由政府部門按權限發布。但目前有的(de)組織和(hé)個人随意發布預警，誇大事實，進行炒作，事實上破壞了預警的(de)效力和(hé)權威性，所以我們要求發布網絡安全威脅信息，标題中不得含有“預警”字樣。相關組織和(hé)個人可(kě)通過風險提示、威脅情報等方式提醒公衆加強風險防範。