第六节 网络安全服务活动和网络安全信息发布规范
适用要点
1.网络安全服务活动的类别
2.不同网络安全服务的规范要求
3.网络安全信息的范畴
4.网络安全信息发布的规范要求
网络产品或服务可能存在的安全缺陷、漏洞、恶意程序,以及层出不穷的网络攻击、网络入侵等事件,给网络安全带来了巨大的威胁。面对此形势,网络安全认证、检测、风险评估等服务在保障网络产品、服务安全性方面发挥着重要作用,网络安全信息的发布对降低风险和分化风险也具有重大意义。但实践中,网络安全服务行业存在网络安全机构能力不足、网络安全服务不规范等诸多问题。恶意或非法发布的网络安全信息也为攻击者提供了可利用的攻击武器,给网络安全带来了新的风险。网络安全服务以及网络安全信息发布等行为的规范亟须加强,以充分发挥网络安全服务及网络安全信息发布在提升网络安全能力方面的积极作用。在此背景下,《网络安全法》第二十六条提出了第三方网络安全服务活动和向社会发布网络安全信息的规范要求,明确两项活动均应遵守国家有关规定。第三方网络安全服务活动的规范要求承接了《网络安全法》第二章“网络安全支持与促进”中“网络安全社会服务化体系”的规定,向社会发布(披露)网络安全信息的要求属于新规定。第六章“法律责任”中明确规定了违规实施上述两项活动的行政处罚。
一、概述
《网络安全法》第二十六条前半部分从第三方网络安全服务角度,明确在提供网络安全服务过程中,网络安全服务机构应当遵守国家规定,确保网络安全服务的合法合规。该条与《网络安全法》第十七条、第二十三条、第三十八条共同构成了我国网络安全服务制度的基本框架。第十七条明确了国家对于网络安全服务的支持和鼓励态度,表明要积极推进网络安全社会化服务体系建设;第二十三条力图建立一个统一的网络关键设备和网络安全专用产品认证和安全检测体系;第三十八条具体规定了关键信息基础设施运营者可委托网络安全服务机构实施年度风险检测评估。
第二十六条后半部分则是针对第三方网络安全信息发布行为作出了原则性规定。2015年7月6日,全国人大常委会法工委公布的《网络安全法(草案)》并未包含相关规定。2016年6月27日,全国人大法律委员会在《关于〈网络安全法(草案)〉修改情况的汇报》中特别说明,鉴于“个人和机构随意发布系统漏洞等网络安全信息,对维护网络安全影响较大,应予规范”,为规范漏洞检测和披露网络安全信息的个人和第三方平台行为,《网络安全法》新增第二十六条并对上述内容作出规定。
为强化第二十六条的规定,《网络安全法》第六十二条明确了违规实施上述两项活动的法律责任,规定了警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚。第六十二条规定,“违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款”。
二、网络安全服务活动的规范
网络安全服务包括网络安全认证服务、网络安全检测服务、网络安全风险评估服务等。《网络安全法》第二十六条规定,开展以上网络安全服务活动应当遵守“国家有关规定”,此处的“国家有关规定”属于衔接性规定,具体包含哪些规范,《网络安全法》并未明确,目前的相关规定包括以下内容。
(一)网络安全认证服务
我国现行规定既有针对认证服务的通用规定,也有专门针对网络安全领域认证服务的特殊规定。网络安全服务机构提供网络安全认证服务时既要遵守上述通用规定,又要遵守网络安全认证服务的特殊规定。
1.认证服务的一般规定
《认证认可条例》是专门规范我国认证认可活动的基本规范。该条例对于认证资质的取得、认证活动的开展等作出了基础性规定,是开展认证服务的重要依据。为加强对认证机构的监督管理,国家质量监督检验检疫总局(以下简称“国家质检总局”)根据《认证认可条例》发布了《认证机构管理办法》,对认证资质的取得、认证活动的基本原则、认证机构的权利和义务等作出了进一步细化规定。
除上述规定外,国家质检总局以及国家认证认可监督管理委员会(以下简称“国家认监委”)还颁布了一系列的认证服务的细化规定。2001年,国家认监委发布《强制性产品认证标志管理办法》,明确规定指定认证机构对其发证产品的认证标志使用情况的监督检查义务、认证标志管理规定的告知义务、合法合规使用认证标志的指导义务等。2004年,国家认监委发布《强制性产品认证检查员管理办法》,对强制性产品认证检查员的申请、培训、考核、注册和监督管理作出了规定。同年,国家质检总局发布了《强制性产品认证机构、检查机构和实验室管理办法》,对强制性产品认证机构、检查机构和实验室的指定条件、指定程序、行为规范等作出了规定;发布了《认证证书和认证标志管理办法》,明确认证机构应当建立认证标志管理制度,对获得认证的组织使用认证标志的情况实施有效监督检查。2009年,国家质检总局发布《强制性产品认证管理规定》,对强制性产品认证活动的实施、认证证书和标志、监督管理以及法律责任作出了规定。2015年,国家认监委发布《关于认证规则备案的公告》,对认证规则的备案原则、备案内容、备案程序、备案监管等作出了规定。
国家标准方面,关于规范认证活动的国家标准有《合格评定 产品、过程和服务认证机构要求》(GB/T 27065—2015)、《合格评定 管理体系审核认证机构的要求》(GB/T 27021—2007)等。
2.网络安全认证服务的特殊规定
网络安全认证方面的特殊规定主要包括网络安全认证机构的准入性规范和网络安全认证活动的业务规范。
关于网络安全认证机构的准入性规范,根据我国的认证制度,认证分为强制性认证和自愿性认证。对于强制性认证的产品和服务,需要由指定的认证机构进行。目前,在网络安全方面,我国已经建立了信息安全产品认证制度,并已经发布了信息安全产品强制性认证目录,以及相应的指定认证机构。此部分具体内容可参见本书第二章第三节“网络安全社会化服务体系”。
关于网络安全认证活动的业务规范,2009年,国家质检总局、财政部、国家认监委发布的《关于调整信息安全产品强制性认证实施要求的公告》中公布了针对13种信息安全产品强制性认证实施规则,包括安全操作系统产品强制性认证实施规则、安全隔离与信息交换产品强制性认证实施规则、数据备份与恢复产品强制性认证实施规则等。2014年,国家认监委《关于变更国家信息安全产品认证部分认证依据标准的公告》明确数据备份与恢复产品、网站数据恢复产品以及反垃圾邮件产品认证实施规则变更为国家标准,分别依据《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》(GB/T 29765—2013)、《信息安全技术 网站数据恢复 产品技术要求与测试评价方法》(GB/T 29766—2013)、《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》(GB/T 30282—2013)实施认证。2016年,国家认监委发布《关于部分产品依据新版标准实施国家信息安全产品认证的公告》,对入侵检测系统(IDS)、网络脆弱性扫描产品、安全审计产品等产品启用新版国家标准实施认证,包括《信息安全技术 网络入侵检测系统技术要求和测试评价方法》(GB/T 20275—2013)、《信息安全技术 网络脆弱性扫描产品安全技术要求》(GB/T 20278—2013)、《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》(GB/T 20945—2013)、《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281—2015)、《信息安全技术 网络和终端隔离产品安全技术要求》(GB/T 20279—2015)等。此外,国家标准《信息技术 安全技术 信息安全管理体系审核和认证机构要求》(GB/T 25067—2016)对于信息安全管理体系认证机构作出了具体规定。
(二)网络安全检测服务
我国现行的规范中已有一些关于网络安全检测机构管理,网络安全检测机构行为规制、网络安全检测测评依据等的相关规定。
1.网络安全检测服务的管理规范
检验检测机构,是指依法成立,依据相关标准或者技术规范,利用仪器设备、环境设施等技术条件和专业技能,对产品或者法律法规规定的特定对象进行检验检测的专业技术组织。
我国对于在中华人民共和国境内,向社会出具具有证明作用的数据、结果的检验检测机构施行行政许可制度。目前,关于检测服务规范,国家质检总局、公安部、工信部各自依据相关规定建立了各自的检测服务规范。
国家质检总局依据《认证认可条例》建立了检测服务的一般规范。2015年,国家质检总局颁布了《检验检测机构资质认定管理办法》,规定为司法机关、行政机关、仲裁机构、社会经济、公益活动等出具具有证明作用的数据、结果的检验检测机构应当取得资质认定,并规定了检验检测机构应当具备的条件。2015年,国家认监委发布《关于实施〈检验检测机构资质认定管理办法〉的若干意见》,对检验检测机构的从业规范作出了进一步的细化规定。2016年,国家认监委发布《检验检测机构资质认定评审准则》,对检验检测机构资质认定作出了进一步的细化规定,并明确特定领域的检验检测机构,应符合国家认监委针对不同行业和领域的特殊性制定和发布的评审补充要求。
公安部依据《计算机信息系统安全专用产品检测和销售许可证管理办法》建立了计算机信息系统安全专用产品强制检测制度,规定经公安部计算机管理监察部门审查合格的检测机构,才可承担安全专用产品检测任务。
工信部依据《电信条例》建立了电信设备进网检测制度,规定电信设备检测机构应当获得国务院产品质量监督部门的认可。工信部颁布的《电信设备进网管理办法》进一步规定检测机构对申请进网许可的电信设备进行检测的依据、检测规程和出具的检测报告应当符合国家或工业和信息化部的规定。之后又相继发布了《电信设备进网检测产品取样管理规定》《电信新设备进网试验管理暂行办法》等规定。
国家标准方面,关于规范检测服务的国家标准主要有《检测和校准实验室能力的通用要求》(GB/T 27025—2008)、《合格评定 各类检验机构能力的运作要求》(GB/T 27020—2016)、《检验检测机构诚信基本要求》(GB/T 31880—2015)等。此外,2017年发布的《信息安全技术 信息技术产品安全检测机构条件和行为准则(征求意见稿)》专门针对信息技术产品安全检测机构的技术要求、管理要求以及行为准则作出了规定。
2.网络安全检测的测评依据
网络安全检测的测评依据是指网络安全检测服务机构在进行安全检测服务时依据的标准或准则。网络安全检测依据的国家标准有《信息安全技术 网络和终端隔离产品安全技术要求》(GB/T 20279—2015)、《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281—2015)、《信息安全技术 主机型防火墙安全技术要求和测试评价方法》(GB/T 31505—2015)、《信息安全技术 路由器安全技术要求》(GB/T 18018—2007)等。
此外,各检测机构又在国家标准的基础上,制定本机构的检测规范。以公安部计算机信息系统安全产品质量监督检验中心为例,该中心在相关国家标准的基础上制定了《信息技术 小型防火墙产品安全检验规范》《信息安全技术 访问控制产品检验规范》《信息安全技术 主机安全漏洞扫描产品检验规范》《信息安全技术 云操作系统安全检验要求》等规范作为检验的依据。
(三)网络安全风险评估服务
与网络安全认证服务、检测服务施行行政许可制度不同,对于网络安全风险评估服务,我国目前并没有规定从事该业务的机构需要获得相应的资质认定。整体来看,对于网络安全风险评估服务,除《网络安全法》之外,我国尚没有其他相关的法律法规对其有明确的规定。和网络安全认证服务、检测服务主体的设立方式不同,网络安全风险评估服务提供的主体具有多样性,提供的服务内容更为灵活和更具有差异性。我国大量提供渗透测试、风险评估等服务的网络安全服务公司即属于此类。关于风险评估的国家标准主要有《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)、《信息安全技术 信息安全风险评估实施指南》(GB/T 31509—2015)等。
实践中,风险评估早已成为某些行业常态化网络安全工作的重要组成部分。以金融行业为例,风险评估工作逐渐成为银行业金融机构常态化网络安全工作的重要内容。金融行业相继发布了《银行业金融机构安全评估办法》《电子银行安全评估指引》《商业银行信息科技风险管理指引》等标准和规范,指导银行业金融机构的风险评估工作。
2016年6月27日,《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》正式发布。该文件特别指出,“银行业网络和重要信息系统是国家关键信息基础设施。为进一步加强互联网安全风险应对,提升银行业整体防护能力,按照国家关键信息基础设施保护、网络安全风险专项应对工作的整体安排,决定组织开展银行业网络安全风险专项评估治理工作。同时,根据中央网信办《关于开展关键信息基础设施网络安全检查的通知》(中网办发文〔2016〕3号,见附件1,以下简称《通知》)要求,请各银监局、银行业金融机构认真做好国家关键信息基础设施网络安全检查相关工作”。该次评估范围涉及互联网业务系统(包括客户端、移动应用)、门户网站、第三方外联系统,数据中心基础设施、通信网络以及后台系统(包含管理信息系统、办公系统),范围广、业务类型多,银行业金融机构一般须在做好全面的业务梳理工作基础上借助外部专业化的评估机构完成安全评估。
总体来说,尽管有前述现行规范,《网络安全法》第二十六条的“国家有关规定”仍有待配套规定的完善。对网络安全服务活动的进一步规范应当体现《网络安全法》对于网络安全服务机构组织和行为规范结合的双重要求。第一,需要区分认证、检测、风险评估等服务主体,明确需要指定、授权、认可的服务机构和服务范围,除需要指定、授权、认可之外,应鼓励和指引第三方主体共建“网络安全社会化服务体系”,充分发挥市场的创新激励机制功能;第二,体现标准在网络安全服务活动中的实质性符合与否的衡量作用,确保网络安全服务活动能够达到维护网络数据的完整性、保密性、可用性和保障网络安全的目的;第三,对于众多的第三方主体,应通过平台义务和行业示范,规范其认证、检测、风险评估等行为;第四,通过《网络安全法》和相关法律规定的法律责任界定,使行为主体能够从禁止和鼓励两方面预测行为后果。总体而言,通过“国家有关规定”的完善与实施,最终将符合规范的网络安全服务活动主体纳入网络安全服务机构的范畴,为其提供更丰富的网络安全认证检测评估服务空间。
三、网络安全信息发布规范
网络安全信息的发布对于防控恶意软件、漏洞风险、数据泄露等网络安全风险意义重大。但与此同时,不规范或非法的网络安全信息发布又给网络安全带来新的风险和隐患。根据《网络安全法》第二十六条的规定,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
(一)网络安全信息的范畴
《网络安全法》第二十六条通过列举方式界定了网络安全信息的一般范围,包括系统漏洞、计算机病毒、网络攻击、网络侵入等,将漏洞作为第一位的网络安全信息。在传统信息安全术语和风险管理(控制)理论中,已经赋予了漏洞清晰明确的技术定义,在此基础上发展出了包括NIST 800指南系列、ISO/IEC 27000标准系列等在内的若干具有可操作性的信息安全风险管理机制和措施,并被安全行业作为最佳实践。这些对漏洞的定义均基于安全性而非功能性,虽然描述各有侧重,但在对漏洞的缺陷本质和风险损害特性的认定上基本一致,都认可漏洞是硬件、软件、协议或使用策略上“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。这些缺陷以不同形式存在于信息系统的各个层级和环节之中,一旦被主体恶意利用,就会对信息系统的安全造成损害,从而影响信息系统的正常运行。漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的安全风险,各界基本将漏洞和安全漏洞的概念混用不加区分,漏洞称之为(内在的)脆弱性,与之相对的是外部安全威胁,两者结合共同构成信息安全风险。
《网络安全法》第二十六条体现了漏洞的脆弱性特征,也明确了网络安全信息承载网络安全风险的基本功能。网络安全信息可以分为两类:一类是漏洞信息,此类信息的特点在于针对特定网络、系统安全自身的“脆弱性”;另一类为计算机病毒、网络攻击和侵入信息,此类信息的特征在于针对不特定网络、系统的外部“威胁”性。网络安全信息和网络安全事件概念也密切相关,漏洞、计算机病毒、网络攻击和侵入等均可能引发形成网络安全事件,中央网信办关于印发《国家网络安全事件应急预案》中将网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件等。
(二)网络安全信息发布的规范
《网络安全法》第二十六条规定,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息应当遵守“国家有关规定”。此处的“国家有关规定”属于原则规定,为有关部门制定具体办法和开展执法提供了依据,有待进一步完善和实施。
网络安全信息发布规范主要涉及网络安全信息的发布主体、发布对象、发布内容、发布方式、法律责任等。从实践来看,随着网络安全服务机构的平台化和多元化,应当对发布的具体网络安全信息的主体进行规范。发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的规范,应当结合信息承载的对象性质、所涉及的信息构成网络安全事件的危害程度、影响范围等因素综合考虑。首先,《网络安全法》第五十一条的规定体现了基于“安全信息共享”理念下发布、监测、预警应遵循统筹协调、统一发布的制度。特别针对关键信息基础设施的网络攻击、基础漏洞、病毒等信息的发布应按照相应的制度和规定进行规范。其次,信息发布应充分体现“授权”原则,该授权主要来源于:(1)《网络安全法》对负责关键信息基础设施安全保护工作的部门等有关部门的授权性规定;(2)基于网络安全服务的协议约定,例如,“入侵五角大楼”计划,即是严格限定漏洞挖掘的网站范围,并指定了唯一的漏洞报告途径。最后,信息发布应严格遵循相关法律的禁止性规定,特别是《刑法》第二百八十五条以及《网络安全法》所规定的关键信息基础设施保护等内容。
法条链接目录
1.网络安全认证服务相关的目录
中华人民共和国认证认可条例
认证机构管理办法
强制性产品认证标志管理办法
强制性产品认证检查员管理办法
强制性产品认证机构、检查机构和实验室管理办法
认证证书和认证标志管理办法(2015年修订)
强制性产品认证管理规定(2009年)
国家认监委关于认证规则备案的公告
关于调整信息安全产品强制性认证实施要求的公告
关于变更国家信息安全产品认证部分认证依据标准的公告
合格评定 产品、过程和服务认证机构要求(GB/T 27065—2015)
合格评定 管理体系审核认证机构的要求(GB/T 27021—2007)
信息技术 安全技术 信息安全管理体系审核认证机构的要求(GB/T 25067—2016)
2.网络安全检测服务相关的目录
检验检测机构资质认定管理办法
国家认监委关于实施《检验检测机构资质认定管理办法》的若干意见
检验检测机构资质认定评审准则
计算机信息系统安全专用产品检测和销售许可证管理办法
中华人民共和国电信条例
电信设备进网管理办法
电信设备进网检测产品取样管理规定
电信新设备进网试验管理暂行办法
检测和校准实验室能力的通用要求(GB/T 27025—2008)
合格评定 各类检验机构能力的运作要求(GB/T 27020—2016)
检验检测机构诚信基本要求(GB/T 31880—2015)
信息安全技术 信息技术产品安全检测机构条件和行为准则(征求意见稿)
3.网络安全风险评估相关的目录
信息安全技术 信息安全风险评估规范(GB/T 20984—2007)
信息安全技术 信息安全风险评估实施指南(GB/T 31509—2015)
4.网络安全信息发布相关的目录
中华人民共和国刑法(第二百八十五条)