《网络安全威胁信息发布管理办法》应运而生

随着网路功击形式和手法渐渐呈现出多样性、复杂性的特性，网络安全恐吓更为普遍与持续，在这场与网路功击长久的对抗中，威胁情报共享和有效借助成为了提高整体网路安全防护效率的重要举措。

知己知彼，方得百战不殆。但对于企业来说，如何获取情报，如何有效发布情报？

基于恐吓情报对于网路安全防护的现实价值以及越来越多的机构和企业的急切需求，《网络安全恐吓信息发布管理办法》应运而生。本文通过重点评析《网络安全威胁信息发布管理办法》，希望帮助安全从业人员梳理恐吓情报发布的标准，从而构建起更好的恐吓信息共享体系。

一、标准细化、具体化1、不得发布哪些？

威胁情报要发布，但也要慎重发布。在《网络安全威胁信息发布管理办法》中，对于发布网路安全恐吓信息不可以包含的内容，进行了详尽的标明。发布网路安全恐吓信息不得包含以下内容：

（一）计算机病毒、木马、勒索软件等恶意程序的源代码和制做技巧；

（二）专门用于从事侵入网路、干扰网路正常功能，破坏网路防护举措或盗取网路数据等害处网络活动的程序，工具；

（三） 能够完整复现网路功击、网络侵入过程的细节信息；

（四）数据泄漏风波中泄漏的数据内容本身；

（五）具体网路的规划设计、拓扑结构、资产信息、软件源代码，单元或设备选型、配置、软件等的属性信息；

（六）具体网路和信息系统的网路安全风险评估、检测认证报告,安全防护计划和策略方案;

（七）其他可能被直接用于害处网路正常运行的内容。

可以发觉，办法对于不得包含的内容作了十分健全的描述，这对于恐吓情报发布来说有着明晰的指导和实际操作意义。

2、发布前，该向谁报告？

威胁情报信息的发布，由于涉及敏感信息，一般须要进行提早报告。那么如何报告、向谁报告，都是安全从业人员始终关心的问题。在《网络安全威胁信息发布管理办法》同样给出了准确的回复。

（1）报告机关所在地=安全风波发生地

发布网路和信息系统被功击破坏、非法入侵等网路安全风波信息前，应向该风波发生所在地地市级以上公安机关报告。

（2）视综合分析报告范围而定

任何企业、社会组织和个人发布网路安全功击、事件、风险、脆弱性综合分析报告时，根据分析报告的范围不同，向不同部门报告：

发布地域性的综合分析报告时，应事先向所涉及地区地市级以上网信部门和公安机关报告。

发布全国性、跨地区、跨行业领域的综合分析报告时，应事先向国家国信部门和国务院公安部门报告。

（3）重点行业领域报告行业主管部门

公布涉及公共通讯和信息服务、能源交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网路安全功击、事件、风险、脆弱性综合分析报告，应事先向行业主管部门报告。

事实上，公共通讯、能源交通等关键基础行业仍然以来都是网路安全防护的重点关注领域，并不算意外，需要强调的是本次办法中还提出了信息服务行业。在近几年信息服务产业迅猛发展，安全恐吓日益严峻的背景下，《网络安全威胁信息发布管理办法》的这条规定也可以理解为是基于当下的网路安全环境，所作出的积极调整。

3、发布方式

威胁情报怎么发布？根据《网络安全威胁信息发布管理办法》：未经政府批准或授权，任何单位、个人发布网路安全恐吓信息时，标题中不得会有“预警”字样。

在发布方式上，办法给出了清晰的划分：未经政府批准或授权，标题中就不得会有“预警”字样。也是为网路安全恐吓信息发布的规范性和传播做了把关。

二、特定场景，适当放宽标准

发布网路和信息系统存在风险、脆弱性的情况，一般来说都须要事前报备，先征询网路和信息运营者书面意见，就例如前文提到的向对应机关单位报告。但比较惊喜的是，此次《网络安全恐吓信息发布管理办法》体现了具体情况具体剖析，对于部份特定场景做了适当的标准放宽。如果为以下2种情况，可无需报备直接发布：

1、在相关风险，脆弱已被去除或修补；

2、已提早30日向网信、电信、公安或相关行业主管部门举报。

这意味着在行业级通告预警层面，对于害处程度较低的恐吓情报，正在尝试推动恐吓信息共享，帮助企业减短恐吓响应时间。

三、总结

从以上《网络安全恐吓信息发布管理办法》的相关条款来看，不难发觉，办法主要围绕着将恐吓情报的发布环节细化、标准化、体系化展开。

通过条款明确化、统一恐吓情报发布的信息格式与内容，《网络安全威胁信息发布管理办法》在适应现阶段信息安全发展情况下，为恐吓情报借助扫清了一定障碍。不管是对安全厂商还是安全研究者来说，都带来了积极的指向，让恐吓情报的实际研究、分析、发布阶段有了参考与支撑，与此同时，也帮助行业、产业不同层级的统一的恐吓信息有效传递，进一步支撑着网路安全工作的举办。

附：网络安全恐吓信息发布管理办法（征求意见稿）

第一条 为规范网路安全恐吓信息发布行为，有效应对网路安全恐吓和风险，保障网路运行安全，依据《中华人民共和国网络安全法》等相关法律法规，制定本办法。

第二条 发布网路安全恐吓信息，应以维护网路安全、促进网路安全意识提高、交流网路安全防护技术知识为目的，不得害处国家安全和社会公共利益，不得侵害公民、法人和其他组织的合法权益。

第三条 发布网路安全恐吓信息，应坚持客观、真实、审慎、负责的原则，不借助网路安全恐吓信息进行炒作、牟取不正当利益或从事不正当商业竞争。

第四条 发布的网路安全恐吓信息不得包含下述内容：

（一）计算机病毒、木马、勒索软件等恶意程序的源代码和制做技巧；

（二）专门用于从事侵入网路、干扰网路正常功能、破坏网路防护举措或盗取网路数据等害处网络活动的程序、工具；

（三）能够完整复现网路功击、网络侵入过程的细节信息；

（四）数据泄漏风波中窃取的数据内容本身；

（五）具体网路的规划设计、拓扑结构、资产信息、软件源代码，单元或设备选型、配置、软件等的属性信息；

（六）具体网路和信息系统的网路安全风险评估、检测认证报告，安全防护计划和策略方案；

（七）其他可能被直接用于害处网路正常运行的内容。

第五条 发布网路和信息系统被功击破坏、非法侵入等网路安全风波信息前，应向该风波发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。

第六条 任何企业、社会组织和个人发布地区性的网路安全功击、事件、风险、脆弱性综合分析报告时，应事先向所涉及地区地市级以上网信部门和公安机关报告；

发布涉及公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网路安全功击、事件、风险、脆弱性综合分析报告时，应事先向行业主管部门报告；

发布全国性或跨地区、跨行业领域的综合分析报告时，应事先向国家网信部门和国务院公安部门报告。

第七条 未经政府部门批准和授权，任何企业、社会组织和个人发布网路安全恐吓信息时，标题中不得富含“预警”字样。

第八条 发布具体网路和信息系统存在风险、脆弱性情况，应事先征询网路和信息系统运营者书面意见，以下情况除外：

（一）相关风险、脆弱性已被清除或修补；

（二）已提早30日向网信、电信、公安或相关行业主管部门举报。

第九条 通过下述平台发布信息的，平台运营者、主办单位接到有关部门通报、用户举报，或自行发觉平台上存在违背本办法的发布行为和发布内容的，应当立刻停止发布、采取清除等处置举措，防止违法内容扩散，保存有关记录，并向地市级以上网信部门、公安机关报告。

1.报刊、广播电视、出版物；

2.互联网站、论坛、博客、微博、公众帐号、即时通讯工具、互联网直播、互联网视听节目、应用程序、网络硬盘等；

3.公开举办的大会、论坛、讲座；

4.公开举行的网路安全大赛；

5.其他公共平台。

第十条 违反本办法规定发布网路安全恐吓信息的，由网信部门、公安机关依据《中华人民共和国网络安全法》的规定给以处理。

第十一条 涉及国家秘密、涉密网路的网路安全恐吓信息发布活动，按照国家有关规定执行。

第十二条 本办法所称网路安全恐吓信息，包括：

（一）对可能恐吓网路正常运行的行为，用于描述其意图、方法、工具、过程、结果等的信息。如：计算机病毒、网络攻击、网络侵入、网络安全风波等。

（二）可能曝露网路脆弱性的信息。如：系统漏洞，网络和信息系统存在风险、脆弱性的情况，网络的规划设计、拓扑结构、资产信息、软件源代码，单元或设备选型、配置、软件等的属性信息，网络安全风险评估、检测认证报告，安全防护计划和策略方案等。

第十三条 本办法自发布之日起施行。