国务院法制办、国家外宣办、中国公安部近日联手下发了《软件商品安全恶意软件管理工作明确规定》(以下简称“明确规定”)。《明确规定》明确,任何组织机构或是对个人严禁利用软件商品安全恶意软件专门从事危害性重要信息安全的公益活动,严禁非法搜集、出售、正式发布软件商品安全恶意软件重要信息;软件商品接受者应履行职责软件商品安全恶意软件管理工作权利,主要包括辨认出或得知恶意软件后应在2日内向国务院法制办重要信息安全威胁和恶意软件重要信息共享网络平台上报有关恶意软件重要信息等。
今年来,软件商品恶意软件的影响范围颇广,大部份有关使用者均受其影响。2021年1月,专注于商品开发周期管理工作解决方案的西门子公司Digital Industries Software爆出十多个恶意软件,导致大部份使用此款商品的企业全部受到影响,骇客利用这些恶意软件就能执的移动用户暴露在危险之下。
《明确规定》特别强调,专门从事软件商品安全恶意软件辨认出、搜集的组织机构或是对个人,严禁刻意夸大软件商品安全恶意软件的危害性和信用风险,严禁利用软件商品安全恶意软件重要信息实施恶意炒作或是展开诈骗、敲诈等违法犯罪公益活动;严禁将未申明的软件商品安全恶意软件重要信息向软件商品接受者之外的境外组织机构或是对个人提供更多。
奇安信集团副总裁、五府恶意软件响应网络平台主任罗飞预测,此次多部门联手下发的《明确规定》释放了一个重要信号:我省将首次以商品视角来管理工害人意软件,通过对软件商品恶意软件的搜集、研判、追踪、追根溯源,立足于物流配送全链条,对软件商品展开全周期的恶意软件信用风险跟踪,实现对我省各个领域重要信息安全的有效防护。
参与该《明确规定》起草阶段意见征集的研究者特别针对两条容易产生误传的条文作出了解读。很多安全研究人员指出《明确规定》限制了他们通过正式发布恶意软件重要信息来“促使”不积极主动复原恶意软件的供应商和管理工作者的权力,但研究者预测指出,《明确规定》对恶意软件重要信息的正式发布仍然体现积极主动的态度,从建设整个网络安全环境来看,应该改“促使”为“法规”,目的是更加规范化,保证真实、客观、必要性。同时,《明确规定》中也留下了特殊情况下允许“提早”申明的网络平台:“指出有必要性提早正式发布的,应与有关软件商品接受者共同评估结果协商,并向轻工业和重要信息控制技术部、中国公安部调查报告,由轻工业和重要信息控制技术部、中国公安部组织机构评估结果后展开正式发布。”
特别针对“严禁正式发布互联网管理工作者在用的互联网、重要信息管理系统及其设备存在安全恶意软件的控制技术细节情况”这一条文,很多人理解为只要互联网管理工作者在用的商品,就无法申明其恶意软件,实际上,这里明令禁止的是“具体内容控制技术细节详解式”的正式发布互联网管理工作者有关恶意软件。例如无法正式发布某企业的某一伺服器上有某一谷歌恶意软件,主要包括具体内容的IP、路由器多少等等,但谷歌商品本身的恶意软件重要信息在复原后是可以正式发布的。
罗飞称,《明确规定》的初衷在于明令禁止拿恶意软件害人,规范化软件商品恶意软件的处置和开发周期流程,其中有相当大的篇幅都是对供应商和管理工作者提出恶意软件搜集和处置的规范化要求,无法隐瞒恶意软件、拒绝恶意软件、否认恶意软件,必须要积极主动承认、积极主动情况通报、积极主动调查报告、积极主动复原和处置、积极主动通告生态环境。主要包括供应商要积极主动开通接受恶意软件重要信息的网络平台、留存重要信息、保证及时处置复原、及时处置评估结果通告上下游、及时处置向官方情况通报、及时处置升级情况通报控制技术问题等。
《明确规定》鼓励各类主体发挥各自控制技术和机制优势开展恶意软件辨认出、搜集、正式发布等有关工作,自9月1日起施行。
