工业和信息化部解读《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施办法》

工业和信息化部解读《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施办法》 工业和信息化部解读《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施 办法》 工业和信息化部解读《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施办法》 【发布时间:2009年05月15日】 【来源:通信保障局】 【字体:大 中 小】 日前，工业和信息化部印发了《木马和僵尸网络监测与处置机制》、《互联网网络安全信息通报实施办法》，这是工业和信息化部成立以来，首次发布专门针对互联网网络安全的部门文件，引起了社会各界的广泛关注。为了更好地理解和贯彻上述文件，工业和信息化部对相关问题进行了解读。 问:什么是木马和僵尸网络，为什么要对它们进行处置, 《木马和僵尸网络监测与处置机制》中，木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络通常都包括控制端和被控端两部分。 木马和僵尸网络是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因，木马和僵尸网络不仅危害互联网用户个人，更危害企业利益，甚至危害国家安全。2009年2月，一款名为“猫癣”(又名“犇牛”)的恶性木马下载器在我国境内大肆传播，感染了数百万台主机。该病毒通过下载针对诛仙、魔兽世界、问道等热门网游、QQ以及网上银行的盗号木马，盗窃用户网游及网上银行的帐号和密码，对互联网用户个人隐私和财产造成严重危害。2008年12月，某商业银行网银系统和某著名跨国机构网站先后遭到网络攻击，导致网站服务拥塞甚至中断，给企业的正常经营和声誉带来不利影响。事后经监测数据分析，该类事件均由僵尸网络发起的分布式拒绝服务攻击造成。 据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计，2008年我国境内感染木马控制端的IP地址为438,386个，感染木马被控端的IP地址为565,605个，感染僵尸网络控制端的IP地址为1,825个，感染僵尸网络被控制端的IP地址为1,237,043个。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染木马和僵尸网络恶意代码的数量之大，面临的网络安全问题之严重。 2008年6月、7月间，CNCERT监测发现我国互联网上木马和僵尸网络IP地址数量剧增，工业和信息化部果断决定组织开展木马和僵尸网络专项打击行动，为确保2008年北京奥运会、残奥会等国家重要活动期间我国互联网的网络安全发挥了 重要作用，为国家重要信息系统用户、广大网民提供了一个良好的公共网络环境。 因此有必要建立长效机制，对木马和僵尸网络进行长期、有效的处置。 问:为什么有关电信业务经营者要在与用户签订的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 中包含网络安全保障方面的条款, 《中华人民共和国电信条例》第五章第五十八条规定，任何组织或者个人不得有危害电信网络安全和信息安全的行为。 感染木马和僵尸网络恶意代码后，不仅对用户自身产生危害，如个人隐私泄露、账户密码 丢失、系统资源被利用等，更严重的是一旦受感染主机被利用发动网络攻击、窃取他人信息等，将对公共网络环境、他人的合法权益造成危害。因此，《木马和僵尸网络监测与处置机制》第五条规定，基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 中告知用户承担的网络安全保障责任。各方共同努力将木马和僵尸网络处置机制落到实处，创造和维护良好的公共网络环境。 问:互联网用户应该如何配合木马和僵尸网络的处置工作,如果对处置工作有异议，如何解决, 一是互联网用户应提高网络安全意识，积极配合电信业务经营者或域名服务提供者，签署服务协议或合同;二是按照协议或合同的要求，积极配合、及时清除计算机上存在的木马和僵尸网络恶意代码;三是不断提高网络安全技术防范水平，做好预防工作，防止自身的计算机感染木马和僵尸网络恶意代码。 《木马和僵尸网络监测与处置机制》第十条、十一条规定，CNCERT、基础电信运营企业、互联网域名注册管理机构、国内域名注册服务机构应保护用户正当权益， 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 处置流程，建立用户申诉机制，同时留存木马和僵尸网络相关数据或资料以备查验，数据或资料保存时间为60天。因此，如果互联网用户对木马和僵尸网络的处置工作有异议，可以通过以上单位建立的用户申诉机制进行解决。 问:什么样的情况下，移交公安机关处理, 多数情况下，感染木马和僵尸网络恶意代码的用户也是受害者，这类用户应积极配合有关部门清除恶意代码。但对于涉嫌犯罪的木马和僵尸网络事件，将报请公 安机关依法调查处理。 问:为什么要与非经营性互联单位协作, 互联网是没有边界的，非经营性互联单位网内的木马和僵尸网络也会对整个互联网的网络安全造成威胁，同样可以对经营性互联单位网内的用户发起恶意攻击等，因此，《木马和僵尸网络监测与处置机制》第十六条规定，CNCERT应与非经营性互联单位合作，协调非经营性互联单位处置其网内木马和僵尸网络。 问:《互联网网络安全信息通报实施办法》解决了哪些问题, 《互联网网络安全信息通报实施办法》主要解决信息通报工作中“谁来报信息”、“报什么信息”、“怎么报信息”、“我能得到什么信息”的问题。 “谁来报信息”，《互联网网络安全信息通报实施办法》中规定信息报送单位包括:通信管理局、基础电信业务经营者、跨省经营的增值电信业务经营者、国家计算机网络应急技术处理协调中心(以下简称CNCERT)、互联网域名注册管理机构、互联网域名注册服务机构、中国互联网协会。同时为了拓展网络安全信息获取渠道，规定CNCERT应与网络安全研究机构、网络安全技术支撑单位、非经营性互联单位、网络安全企业、国际网络安全组织等广泛合作。只有信息来源多才能更全面地掌握网络安全整体状况，才能对网络安全形势有更准 确的判断，对网络安全工作起到更好的指导作用。 “报什么信息”，由于不同单位的网络安全工作有不同的侧重点，因此《互联网网络安全信息通报实施办法》针对每个单位的特点规定了报送信息的内容，具体信息报送项目在附件中列出。 “怎么报信息”，信息报送单位按照《互联网网络安全信息通报实施办法》规定的事件分类分级 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，以及相应的报送时间和报送单位的要求，及时报送信息。 “我能得到什么信息”，《互联网网络安全信息通报实施办法》中突出强调了“信息共享”，对信息通报进行了明确的规定。信息报送单位不仅仅只是报送信息，更能从中获得更多有价值的网络安全信息，这将帮助信息报送单位进一步做好本单位的网络安全工作。 问:两个部门文件起草的过程是怎样的, 在这两个文件的制定过程中，我们全面总结了木马和僵尸网络处置、信息通报相关工作的经验，多次与相关单位、人员沟通，召开专题研讨会，走访了多家网络安全企业，成立了相关单位和专家组成的起草工作组，形成征求意见稿后，征求了工业和信息化部政策法规司、电信管理局、通信发展司、信息安全协调司等部内相关司局，各省通信管理局、基础电信运营企业、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政务和公益机构域名注册管理中心、部电信研究院、中国互联网协会、多个网络安全厂商和主要互联网服务提供商的意见，并进行修改完善，最终完成了文件的制定工作。 工业和信息化部通信管理局5日在官方网站上正式发布《互联网网络安全信息通报实施办法》(以下简称《办法》)发布木马和僵尸网络监测与处置机制，将木马和僵尸网络事件定义分为特别重大、重大、较大、一般共四级，本办法自2009年6月1日起实施。 对于国家计算机应急技术处理协调中心(以下简称CNCERT)自主监测的事件，由CNCERT对处置情况进行验证，特别重大，重大，较大事件应在接到处置单位反馈后2小时 对于基础电信运营企业自主监测到的事件由基础电信运营企业自主验证，特别重大，重大，较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈验证结果，一般事件应在10个工作日内向CNCERT反馈验证结果。 关于印发《木马和僵尸网络监测与处置机制》的通知 工信部保[2009]157号 各省、自治区、直辖市通信管理局、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政府和公益机构域名注册管理中心、部电信研究院、中国互联网协会、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、其他相关单位: 为防范和处置木马和僵尸网络引发的网络安全隐患，净化公共互联网环境，维护我国公共互联网安全，制定《木马和僵尸网络监测与处置机制》，现印发给你们，请遵照执行。 二〇〇九年四月十三日 编辑本段木马和僵尸网络监测与处置机制 第一条 为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为， 净化网络环境，维护我国公共互联网安全，依据《中华人民共和国电信条例》、《互联网网络安全应急预案》，制定本办法。 第二条 木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。 第三条 本办法适用于对危害公共互联网安全的木马和僵尸网络控制端(以下简称木马和僵尸网络)及其使用的IP地址和恶意域名的监测和处置。 第四条 工业和信息化部指导、组织、监督全国木马和僵尸网络的监测和处置工作。工业和信息化部通信保障局(以下简称通信保障局)负责具体工作。 各省、自治区、直辖市通信管理局(以下简称通信管理局)指导、组织、监督本行政区域内木马和僵尸网络的监测和处置工作。 国家计算机网络应急技术处理协调中心(以下简称CNCERT)受通信保障局委托，负责对木马和僵尸网络的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、 核实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域名。 基础电信运营企业负责对本单位网内木马和僵尸网络进行监测、核实，对CNCERT汇总通报的涉及本单位的木马和僵尸网络进行处置和反馈。 互联网域名注册管理机构负责对CNCERT通报的由自身管理的恶意域名进行处置。对于由国内互联网域名注册服务机构注册的由境外域名注册管理机构管理的域名，由CNCERT直接协调国内互联网域名注册服务机构进行处置。 第五条 基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、合同中告知用户承担的网络安全保障责任。 第六条 CNCERT、基础电信运营企业应不断提高木马和僵尸网络的监测能力。CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应建立健全本单位的处置机制，协同配合、快速处置，共同做好木马和僵尸网络的监测和处置工作。 第七条 木马和僵尸网络事件分为特别重大、重大、较大、一般共四级。 特别重大事件:涉及全国范围或省级行政区域，单个木马和僵尸网络规模超过100万个IP地址，对社会造成特别重大影响。 重大事件:涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过50万个IP地址，对社会造成重大影响。 较大事件:涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过10万个IP地址，对社会造成较大影响。 一般事件:涉及全国范围或省级行政区域，发生木马和僵尸网络事件，对社会造成一定影响，但未造成上述后果。 通信保障局负责对分级规范进行修订。 第八条 监测和通报: (一)CNCERT、基础电信运营企业负责对木马和僵尸网络进行监测。 (二)基础电信运营企业按照本机制第七条对监测到的事件进行分级，特别重大、重大、较大事件应在发现后2小时内报送通信保障局，同时抄报CNCERT;一般事件应在发现后5个工作日内报送CNCERT。 报送内容包括:控制端IP地址、端口、发现时间及其使用的恶意域名。 (三)CNCERT汇总自主监测、基础电信运营企业报送和从其他渠道收集的事件，进行综 合分析、分级。对于特别重大、重大、较大事件，CNCERT应在2小时内向通信保障局报告，并及时通报相关通信管理局。通信保障局认为必要时，组织有关单位和专家进行研判。事件情况及研判结果由通信保障局直接或委托CNCERT通报相关单位。对于一般事件，CNCERT应在发现后5个工作日内通报相关单位。 事件通报内容包括: 1、威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。 2、木马和僵尸网络使用的恶意域名。 3、木马和僵尸网络的规模和潜在危害。 监测和通报流程图见附件一。 第九条 处置和反馈: 基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后，应按如下流程处理: (一)通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除，并跟踪用户处置情况。 对于域名注册信息不真实、不准确、不完整的，互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。 (二)反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时 处置和反馈流程见附件二。 第十条 CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应留存木马和僵尸网络相关数据或资料以备查验。数据或资料保存时间为60天。 第十一条 CNCERT、基础电信运营企业、互联网域名注册管理机构、国内域名注册服务机构应保护用户正当权益，规范处置流程，建立用户申诉机制，妥善解决用户争议。 第十二条 通信保障局通过会商 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 ，组织相关单位和专家研讨木马和僵尸网络相关问题及其应对策略。 第十三条 事件通报和反馈应按照统一表格以书面方式报送(报送格式见附件三)。紧急情况下，可以先电话联系，后补表格。 第十四条 对于国家举办重要活动等特殊时期，对木马和僵尸网络监测和处置工作另有要求的，从其规定。 第十五条 相关单位应将本单位木马和僵尸网络监测和处置工作主管领导，责任部门负责人、联系人、联系方式报送通信保障局，抄送CNCERT。以上信息发生变更，应在3个工作日 第十八条 通信管理局应参照本办法制定本行政区域 第二十条 本办法自2009年6月1日起实施。[1]