工信部通告木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制

　　5月5日下午消息,工業(yè)和信息化部通信管理局今日發(fā)布木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制,將木馬和僵尸網(wǎng)絡(luò)事件定義分為特別重大、重大、較大、一般共四級(jí)。

　　對(duì)于國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡(jiǎn)稱CNCERT)自主監(jiān)測(cè)的事件,由CNCERT對(duì)處置情況進(jìn)行驗(yàn)證。特別重大、重大、較大事件應(yīng)在接到處置單位反饋后2小時(shí)內(nèi)向處置單位反饋驗(yàn)證結(jié)果,一般事件應(yīng)在5個(gè)工作日內(nèi)反饋驗(yàn)證結(jié)果。

　　對(duì)于基礎(chǔ)電信運(yùn)營(yíng)企業(yè)監(jiān)測(cè)到的事件由基礎(chǔ)電信運(yùn)營(yíng)企業(yè)自行驗(yàn)證。特別重大、重大、較大事件應(yīng)在接到CNCERT事件通報(bào)后6小時(shí)內(nèi)向CNCERT反饋驗(yàn)證結(jié)果,一般事件應(yīng)在10個(gè)工作日內(nèi)向CNCERT反饋驗(yàn)證結(jié)果。(向東)

　　以下為通告全文:

　　第一條 為有效防范和處置木馬和僵尸網(wǎng)絡(luò)引發(fā)的網(wǎng)絡(luò)安全隱患,規(guī)范監(jiān)測(cè)和處置行為,凈化網(wǎng)絡(luò)環(huán)境,維護(hù)我國(guó)公共互聯(lián)網(wǎng)安全,依據(jù)《中華人民共和國(guó)電信條例》、《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定本辦法。

　　第二條 木馬是指由攻擊者安裝在受害者計(jì)算機(jī)上秘密運(yùn)行并用于竊取信息及遠(yuǎn)程控制的程序。僵尸網(wǎng)絡(luò)是指由攻擊者通過控制服務(wù)器控制的受害計(jì)算機(jī)群。木馬和僵尸網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)信息安全造成危害和威脅,是造成個(gè)人隱私泄露、失泄密、垃圾郵件和大規(guī)模拒絕服務(wù)攻擊的重要原因。

　　第三條 本辦法適用于對(duì)危害公共互聯(lián)網(wǎng)安全的木馬和僵尸網(wǎng)絡(luò)控制端(以下簡(jiǎn)稱木馬和僵尸網(wǎng)絡(luò))及其使用的IP地址和惡意域名的監(jiān)測(cè)和處置。

　　第四條 工業(yè)和信息化部指導(dǎo)、組織、監(jiān)督全國(guó)木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)和處置工作。工業(yè)和信息化部通信保障局(以下簡(jiǎn)稱通信保障局)負(fù)責(zé)具體工作。

　　各省、自治區(qū)、直轄市通信管理局(以下簡(jiǎn)稱通信管理局)指導(dǎo)、組織、監(jiān)督本行政區(qū)域內(nèi)木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)和處置工作。

　　國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡(jiǎn)稱CNCERT)受通信保障局委托,負(fù)責(zé)對(duì)木馬和僵尸網(wǎng)絡(luò)的規(guī)模、類型、活躍程度、危害等情況進(jìn)行監(jiān)測(cè)、匯總、分析、核實(shí),組織開展通報(bào)工作,協(xié)調(diào)處置木馬和僵尸網(wǎng)絡(luò)IP地址和惡意域名。

　　基礎(chǔ)電信運(yùn)營(yíng)企業(yè)負(fù)責(zé)對(duì)本單位網(wǎng)內(nèi)木馬和僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)、核實(shí),對(duì)CNCERT匯總通報(bào)的涉及本單位的木馬和僵尸網(wǎng)絡(luò)進(jìn)行處置和反饋。

　　互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)負(fù)責(zé)對(duì)CNCERT通報(bào)的由自身管理的惡意域名進(jìn)行處置。對(duì)于由國(guó)內(nèi)互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)注冊(cè)的由境外域名注冊(cè)管理機(jī)構(gòu)管理的域名,由CNCERT直接協(xié)調(diào)國(guó)內(nèi)互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)進(jìn)行處置。

　　第五條 基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)接入服務(wù)提供商、IDC服務(wù)提供商、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、國(guó)內(nèi)互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)在提供互聯(lián)網(wǎng)接入服務(wù)、域名解析服務(wù)時(shí),應(yīng)在與用戶簽訂的服務(wù)協(xié)議、合同中告知用戶承擔(dān)的網(wǎng)絡(luò)安全保障責(zé)任。

　　第六條 CNCERT、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)應(yīng)不斷提高木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)能力。CNCERT、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、國(guó)內(nèi)互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)建立健全本單位的處置機(jī)制,協(xié)同配合、快速處置,共同做好木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)和處置工作。

　　第七條 木馬和僵尸網(wǎng)絡(luò)事件分為特別重大、重大、較大、一般共四級(jí)。

　　特別重大事件:涉及全國(guó)范圍或省級(jí)行政區(qū)域,單個(gè)木馬和僵尸網(wǎng)絡(luò)規(guī)模超過100萬(wàn)個(gè)IP地址,對(duì)社會(huì)造成特別重大影響。

　　重大事件:涉及全國(guó)范圍或省級(jí)行政區(qū)域,同一時(shí)期存在一個(gè)或多個(gè)木馬和僵尸網(wǎng)絡(luò),總規(guī)模超過50萬(wàn)個(gè)IP地址,對(duì)社會(huì)造成重大影響。

　　較大事件:涉及全國(guó)范圍或省級(jí)行政區(qū)域,同一時(shí)期存在一個(gè)或多個(gè)木馬和僵尸網(wǎng)絡(luò),總規(guī)模超過10萬(wàn)個(gè)IP地址,對(duì)社會(huì)造成較大影響。

　　一般事件:涉及全國(guó)范圍或省級(jí)行政區(qū)域,發(fā)生木馬和僵尸網(wǎng)絡(luò)事件,對(duì)社會(huì)造成一定影響,但未造成上述后果。

　　通信保障局負(fù)責(zé)對(duì)分級(jí)規(guī)范進(jìn)行修訂。

　　第八條 監(jiān)測(cè)和通報(bào):

　　(一)CNCERT、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)負(fù)責(zé)對(duì)木馬和僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。

　　(二)基礎(chǔ)電信運(yùn)營(yíng)企業(yè)按照本機(jī)制第七條對(duì)監(jiān)測(cè)到的事件進(jìn)行分級(jí),特別重大、重大、較大事件應(yīng)在發(fā)現(xiàn)后2小時(shí)內(nèi)報(bào)送通信保障局,同時(shí)抄報(bào)CNCERT;一般事件應(yīng)在發(fā)現(xiàn)后5個(gè)工作日內(nèi)報(bào)送CNCERT。

　　報(bào)送內(nèi)容包括:控制端IP地址、端口、發(fā)現(xiàn)時(shí)間及其使用的惡意域名。

　　(三)CNCERT匯總自主監(jiān)測(cè)、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)報(bào)送和從其他渠道收集的事件,進(jìn)行綜合分析、分級(jí)。對(duì)于特別重大、重大、較大事 件,CNCERT應(yīng)在2小時(shí)內(nèi)向通信保障局報(bào)告,并及時(shí)通報(bào)相關(guān)通信管理局。通信保障局認(rèn)為必要時(shí),組織有關(guān)單位和專家進(jìn)行研判。事件情況及研判結(jié)果由通 信保障局直接或委托CNCERT通報(bào)相關(guān)單位。對(duì)于一般事件,CNCERT應(yīng)在發(fā)現(xiàn)后5個(gè)工作日內(nèi)通報(bào)相關(guān)單位。

　　事件通報(bào)內(nèi)容包括:

　　1、威脅較大的木馬和僵尸網(wǎng)絡(luò)IP地址、端口、發(fā)現(xiàn)時(shí)間、所屬基礎(chǔ)電信運(yùn)營(yíng)企業(yè)。

　　2、木馬和僵尸網(wǎng)絡(luò)使用的惡意域名。

　　3、木馬和僵尸網(wǎng)絡(luò)的規(guī)模和潛在危害。

　　監(jiān)測(cè)和通報(bào)流程圖見附件一。

　　第九條 處置和反饋:

　　基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)接到CNCERT木馬和僵尸網(wǎng)絡(luò)事件通報(bào)后,應(yīng)按如下流程處理:

　　(一)通知與木馬和僵尸網(wǎng)絡(luò)IP地址和惡意域名相關(guān)的具體用戶進(jìn)行清除,并跟蹤用戶處置情況。

　　對(duì)于域名注冊(cè)信息不真實(shí)、不準(zhǔn)確、不完整的,互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)根據(jù)《中國(guó)互聯(lián)網(wǎng)域名管理辦法》有關(guān)規(guī)定進(jìn)行處置。

　　(二)反饋用戶的處置情況。特別重大、重大、較大事件的處置情況應(yīng)在接到事件通報(bào)后4小時(shí)內(nèi)向CNCERT反饋,一般事件的處置情況應(yīng)在5個(gè)工作日內(nèi)向CNCERT反饋。

　　反饋內(nèi)容包括:用戶已處置的IP地址和惡意域名、單位名稱、用戶未處置的IP地址和惡意域名及未處置的原因。

　　(三)監(jiān)測(cè)單位驗(yàn)證處置情況。

　　對(duì)于CNCERT自主監(jiān)測(cè)的事件,由CNCERT對(duì)處置情況進(jìn)行驗(yàn)證。特別重大、重大、較大事件應(yīng)在接到處置單位反饋后2小時(shí)內(nèi)向處置單位反饋驗(yàn)證結(jié)果,一般事件應(yīng)在5個(gè)工作日內(nèi)反饋驗(yàn)證結(jié)果。

　　對(duì)于基礎(chǔ)電信運(yùn)營(yíng)企業(yè)監(jiān)測(cè)到的事件由基礎(chǔ)電信運(yùn)營(yíng)企業(yè)自行驗(yàn)證。特別重大、重大、較大事件應(yīng)在接到CNCERT事件通報(bào)后6小時(shí)內(nèi)向CNCERT反饋驗(yàn)證結(jié)果,一般事件應(yīng)在10個(gè)工作日內(nèi)向CNCERT反饋驗(yàn)證結(jié)果。

　　(四)對(duì)于未處置或經(jīng)驗(yàn)證仍存在惡意連接的木馬和僵尸網(wǎng)絡(luò)IP地址和惡意域名,按如下方式處置:

　　對(duì)于重要信息系統(tǒng)單位,向通信保障局反饋用戶相關(guān)情況,抄報(bào)CNCERT,由通信保障局或當(dāng)?shù)赝ㄐ殴芾砭謺嫱ㄖ渲鞴懿块T。

　　對(duì)于其他單位用戶和個(gè)人用戶,應(yīng)依據(jù)與用戶簽署的服務(wù)協(xié)議、合同等進(jìn)行處置。

　　(五)對(duì)于特別重大、重大、較大事件的處置情況,CNCERT應(yīng)在接到處置單位反饋后2小時(shí)內(nèi)向通信保障局和相關(guān)通信管理局反饋處置結(jié)果,一般事件處置情況由CNCERT每月匯總,按照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)有關(guān)辦法通報(bào)監(jiān)測(cè)和處置情況。

　　處置和反饋流程見附件二。

　　第十條 CNCERT、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、國(guó)內(nèi)互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)留存木馬和僵尸網(wǎng)絡(luò)相關(guān)數(shù)據(jù)或資料以備查驗(yàn)。數(shù)據(jù)或資料保存時(shí)間為60天。

　　第十一條 CNCERT、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、國(guó)內(nèi)域名注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)保護(hù)用戶正當(dāng)權(quán)益,規(guī)范處置流程,建立用戶申訴機(jī)制,妥善解決用戶爭(zhēng)議。

　　第十二條 通信保障局通過會(huì)商制度,組織相關(guān)單位和專家研討木馬和僵尸網(wǎng)絡(luò)相關(guān)問題及其應(yīng)對(duì)策略。

　　第十三條 事件通報(bào)和反饋應(yīng)按照統(tǒng)一表格以書面方式報(bào)送。緊急情況下,可以先電話聯(lián)系,后補(bǔ)表格。

　　第十四條 對(duì)于國(guó)家舉辦重要活動(dòng)等特殊時(shí)期,對(duì)木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)和處置工作另有要求的,從其規(guī)定。

　　第十五條 相關(guān)單位應(yīng)將本單位木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)和處置工作主管領(lǐng)導(dǎo),責(zé)任部門負(fù)責(zé)人、聯(lián)系人、聯(lián)系方式報(bào)送通信保障局,抄送CNCERT。以上信息發(fā)生變更,應(yīng)在3個(gè)工作日內(nèi)報(bào)送變更情況。

　　第十六條 CNCERT應(yīng)與非經(jīng)營(yíng)性互聯(lián)單位合作,協(xié)調(diào)非經(jīng)營(yíng)性互聯(lián)單位處置其網(wǎng)內(nèi)木馬和僵尸網(wǎng)絡(luò);應(yīng)與網(wǎng)絡(luò)安全研究機(jī)構(gòu)、網(wǎng)絡(luò)安全技術(shù)支撐單位、網(wǎng)絡(luò)安全企業(yè)、病毒廠商等單位合作,建立研究、分析機(jī)制。

　　本機(jī)制中非經(jīng)營(yíng)性互聯(lián)單位指中國(guó)教育和科研計(jì)算機(jī)網(wǎng)、中國(guó)科技網(wǎng)、中國(guó)國(guó)際經(jīng)濟(jì)貿(mào)易網(wǎng)、中國(guó)長(zhǎng)城互聯(lián)網(wǎng)。

　　第十七條 對(duì)于涉嫌犯罪的木馬和僵尸網(wǎng)絡(luò)事件,應(yīng)報(bào)請(qǐng)公安機(jī)關(guān)依法調(diào)查處理。

　　第十八條 通信管理局應(yīng)參照本辦法制定本行政區(qū)域內(nèi)木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)和處置機(jī)制。

　　基礎(chǔ)電信運(yùn)營(yíng)企業(yè)集團(tuán)公司應(yīng)督促本單位省級(jí)公司按照當(dāng)?shù)赝ㄐ殴芾砭忠?及時(shí)反饋木馬和僵尸網(wǎng)絡(luò)事件監(jiān)測(cè)處置情況,接受當(dāng)?shù)赝ㄐ殴芾砭值谋O(jiān)督管理。

　　第十九條 本辦法中重要信息系統(tǒng)指政府部門、軍隊(duì)以及銀行、海關(guān)、稅務(wù)、電力、鐵路、證券、保險(xiǎn)、民航等關(guān)系國(guó)計(jì)民生的重要行業(yè)使用的信息系統(tǒng)。

　　第二十條 本辦法自2009年6月1日起實(shí)施。