权威解读：《网络安全威胁信息发布管理办法》规定了什么？

随着网络攻击方式和手法逐渐呈现出多样性、复杂性的特点，网络安全威胁更为普遍与持续，在这场与网络攻击长久的对抗中，威胁情报共享和有效利用成为了提升整体网络安全防护效率的重要措施。

  知己知彼，方得百战不殆。但对于企业来说，如何获取情报，如何有效发布情报？

  基于威胁情报对于网络安全防护的现实价值以及越来越多的机构和企业的迫切需求，《网络安全威胁信息发布管理办法》应运而生。本文通过重点解读《网络安全威胁信息发布管理办法》，希望帮助安全从业人员梳理威胁情报发布的标准，从而建立起更好的威胁信息共享体系。

  一、标准细化、具体化

  1、不得发布什么？

  威胁情报要发布，但也要谨慎发布。在《网络安全威胁信息发布管理办法》中，对于发布网络安全威胁信息不可以包含的内容，进行了详细的标注。发布网络安全威胁信息不得包含以下内容：

  （一）计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法；

  （二）专门用于从事侵入网络、干扰网络正常功能，破坏网络防护措施或窃取网络数据等危害网络活动的程序，工具；

  （三） 能够完整复现网络攻击、网络侵入过程的细节信息；

  （四）数据泄露事件中泄露的数据内容本身；

  （五）具体网络的规划设计、拓扑结构、资产信息、软件源代码，单元或设备选型、配置、软件等的属性信息；

  （六）具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;

  （七）其他可能被直接用于危害网络正常运行的内容。

  可以发现，办法对于不得包含的内容作了非常完善的描述，这对于威胁情报发布来说有着明确的指导和实际操作意义。

  2、发布前，该向谁报告？

  威胁情报信息的发布，由于涉及敏感信息，一般需要进行提前报告。那么怎么报告、向谁报告，都是安全从业人员一直关心的问题。在《网络安全威胁信息发布管理办法》同样给出了确切的回复。

  （1）报告机关所在地=安全事件发生地

  发布网络和信息系统被攻击破坏、非法入侵等网络安全事件信息前，应向该事件发生所在地地市级以上公安机关报告。

  （2）视综合分析报告范围而定

  任何企业、社会组织和个人发布网络安全攻击、事件、风险、脆弱性综合分析报告时，根据分析报告的范围不同，向不同部门报告：

  发布地域性的综合分析报告时，应事先向所涉及地区地市级以上网信部门和公安机关报告。

  发布全国性、跨地区、跨行业领域的综合分析报告时，应事先向国家国信部门和国务院公安部门报告。

  （3）重点行业领域报告行业主管部门

  公布涉及公共通信和信息服务、能源交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告，应事先向行业主管部门报告。

  事实上，公共通信、能源交通等关键基础行业一直以来都是网络安全防护的重点关注领域，并不算意外，需要指出的是本次办法中还提出了信息服务行业。在近几年信息服务产业迅猛发展，安全威胁愈发严峻的背景下，《网络安全威胁信息发布管理办法》的这条规定也可以理解为是基于当下的网络安全环境，所做出的积极调整。

  3、发布形式

  威胁情报如何发布？根据《网络安全威胁信息发布管理办法》：未经政府批准或授权，任何单位、个人发布网络安全威胁信息时，标题中不得会有“预警”字样。

  在发布形式上，办法给出了清晰的界定：未经政府批准或授权，标题中就不得会有“预警”字样。也是为网络安全威胁信息发布的规范性和传播做了把关。

  二、特定场景，适当放宽标准

  发布网络和信息系统存在风险、脆弱性的情况，一般来说都需要事前报备，先征求网络和信息运营者书面意见，就比如前文提及的向对应机关单位报告。但比较惊喜的是，此次《网络安全威胁信息发布管理办法》体现了具体情况具体分析，对于部分特定场景做了适当的标准放宽。如果为以下2种情况，可无需报备直接发布：

  1、在相关风险，脆弱已被消除或修复；

  2、已提前30日向网信、电信、公安或相关行业主管部门举报。

  这意味着在行业级通告预警层面，对于危害程度较低的威胁情报，正在尝试加快威胁信息共享，帮助企业缩短威胁响应时间。

  三、总结

  从以上《网络安全威胁信息发布管理办法》的相关条款来看，不难发现，办法主要围绕着将威胁情报的发布环节细化、标准化、体系化展开。
通过条款明确化、统一威胁情报发布的信息格式与内容，《网络安全威胁信息发布管理办法》在适应现阶段信息安全发展情况下，为威胁情报利用扫清了一定障碍。不管是对安全厂商还是安全研究者来说，都带来了积极的指向，让威胁情报的实际研究、分析、发布阶段有了参考与支撑，与此同时，也帮助行业、产业不同层级的统一的威胁信息有效传递，进一步支撑着网络安全工作的开展。