移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制
2011/12/09
CTI論壇(ctiforum)12月9日消息(記者 潘婷婷): 記者從工信部網(wǎng)站獲悉�����,電信管理局公示了《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》���。
以下為公告全文:
第一條 為凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境����,保護(hù)用戶(hù)權(quán)益����,維護(hù)網(wǎng)絡(luò)安全�����,有效防范和處置移動(dòng)互聯(lián)網(wǎng)惡意程序����,依據(jù)《中華人民共和國(guó)電信條例》�、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定本機(jī)制���。
第二條 移動(dòng)互聯(lián)網(wǎng)惡意程序是指運(yùn)行于包括智能手機(jī)在內(nèi)的具有移動(dòng)通信功能的移動(dòng)終端之上��,存在竊聽(tīng)用戶(hù)通話(huà)��、竊取用戶(hù)信息�、破壞用戶(hù)數(shù)據(jù)����、擅自使用付費(fèi)業(yè)務(wù)、發(fā)送垃圾信息�、推送廣告或欺詐信息、影響移動(dòng)終端運(yùn)行���、危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全等惡意行為的計(jì)算機(jī)程序����。
第三條 本機(jī)制適用于移動(dòng)互聯(lián)網(wǎng)惡意程序及其傳播服務(wù)器���、控制服務(wù)器的監(jiān)測(cè)和處置����。
第四條 工業(yè)和信息化部指導(dǎo)�、組織、監(jiān)督全國(guó)移動(dòng)互聯(lián)網(wǎng)惡意程序的監(jiān)測(cè)和處置工作���。工業(yè)和信息化部通信保障局負(fù)責(zé)具體工作�����。
各省�、自治區(qū)��、直轄市通信管理局(以下簡(jiǎn)稱(chēng)通信管理局)指導(dǎo)�、組織、監(jiān)督本行政區(qū)域內(nèi)移動(dòng)互聯(lián)網(wǎng)惡意程序的監(jiān)測(cè)和處置工作�����。
國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡(jiǎn)稱(chēng)CNCERT)受工業(yè)和信息化部委托,負(fù)責(zé)對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序樣本進(jìn)行認(rèn)定命名���,對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行監(jiān)測(cè)�����、分析�����、通報(bào)��,協(xié)調(diào)處置傳播服務(wù)器��、控制服務(wù)器和攻擊源����。
移動(dòng)通信運(yùn)營(yíng)企業(yè)負(fù)責(zé)報(bào)送移動(dòng)互聯(lián)網(wǎng)惡意程序疑似樣本�,對(duì)CNCERT認(rèn)定通報(bào)的移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行監(jiān)測(cè)、處置和反饋�����,為本單位所服務(wù)的用戶(hù)提供信息提示和查殺技術(shù)咨詢(xún)。
互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)和注冊(cè)服務(wù)機(jī)構(gòu)負(fù)責(zé)對(duì)CNCERT通報(bào)的由自身管理的惡意域名進(jìn)行處置���。
第五條 移動(dòng)通信運(yùn)營(yíng)企業(yè)�����、互聯(lián)網(wǎng)接入服務(wù)提供商�、IDC服務(wù)提供商���、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)、互聯(lián)網(wǎng)域名注冊(cè)服務(wù)機(jī)構(gòu)在提供互聯(lián)網(wǎng)接入服務(wù)�����、托管服務(wù)�、域名注冊(cè)解析等服務(wù)時(shí),應(yīng)在與用戶(hù)簽訂的服務(wù)協(xié)議�、合同中約定用戶(hù)承擔(dān)的網(wǎng)絡(luò)安全保障責(zé)任。
第六條 移動(dòng)通信運(yùn)營(yíng)企業(yè)���、CNCERT應(yīng)不斷提高移動(dòng)互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測(cè)處置能力���,建設(shè)完善相關(guān)技術(shù)平臺(tái)����。移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測(cè)處置能力,CNCERT應(yīng)具備跨不同企業(yè)移動(dòng)互聯(lián)網(wǎng)的監(jiān)測(cè)能力�����。
第七條 CNCERT����、移動(dòng)通信運(yùn)營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊(cè)管理和服務(wù)機(jī)構(gòu)應(yīng)建立健全本單位的處置機(jī)制�����,加強(qiáng)協(xié)同配合�,共同做好移動(dòng)互聯(lián)網(wǎng)惡意程序的監(jiān)測(cè)和處置工作。
第八條 移動(dòng)互聯(lián)網(wǎng)惡意程序事件分為特別重大���、重大�、較大�、一般共四級(jí)。
特別重大事件:?jiǎn)蝹(gè)移動(dòng)互聯(lián)網(wǎng)惡意程序造成用戶(hù)通信費(fèi)用損失累計(jì)超過(guò)一千萬(wàn)元人民幣��,或24小時(shí)內(nèi)受感染用戶(hù)規(guī)模超過(guò)十萬(wàn)個(gè)手機(jī)號(hào)碼,對(duì)社會(huì)造成特別重大影響��。
重大事件:?jiǎn)蝹(gè)移動(dòng)互聯(lián)網(wǎng)惡意程序造成用戶(hù)通信費(fèi)用損失累計(jì)超過(guò)五百萬(wàn)元人民幣�,或24小時(shí)內(nèi)受感染用戶(hù)規(guī)模超過(guò)五萬(wàn)個(gè)手機(jī)號(hào)碼,對(duì)社會(huì)造成重大影響����。
較大事件:?jiǎn)蝹(gè)移動(dòng)互聯(lián)網(wǎng)惡意程序造成用戶(hù)通信費(fèi)用損失累計(jì)超過(guò)一百萬(wàn)元人民幣,或24小時(shí)內(nèi)受感染用戶(hù)規(guī)模超過(guò)一萬(wàn)個(gè)手機(jī)號(hào)碼�,對(duì)社會(huì)造成較大影響。
一般事件:發(fā)生移動(dòng)互聯(lián)網(wǎng)惡意程序事件����,對(duì)社會(huì)造成一定影響�����,但未造成上述后果���。
工業(yè)和信息化部負(fù)責(zé)對(duì)分級(jí)規(guī)范進(jìn)行修訂��。
第九條 樣本捕獲與認(rèn)定命名
����。ㄒ唬┮苿(dòng)通信運(yùn)營(yíng)企業(yè)自主捕獲或從其他渠道獲得疑似惡意程序樣本,應(yīng)于發(fā)現(xiàn)后進(jìn)行初步分析并提出命名建議����,在3個(gè)工作日內(nèi)將樣本和分析結(jié)果報(bào)送CNCERT(報(bào)送格式見(jiàn)附件一)。
�。ǘ〤NCERT匯總自主捕獲、移動(dòng)通信運(yùn)營(yíng)企業(yè)報(bào)送和從其他渠道收集的疑似惡意程序樣本����,依據(jù)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》進(jìn)行分析、認(rèn)定和命名�����,將認(rèn)定結(jié)果和處置建議在5個(gè)工作日內(nèi)反饋各樣本報(bào)送單位和相關(guān)通信管理局(反饋格式見(jiàn)附件二)�。
第十條 事件監(jiān)測(cè)和通報(bào)
(一)CNCERT�、移動(dòng)通信運(yùn)營(yíng)企業(yè)負(fù)責(zé)對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行監(jiān)測(cè)。
�����。ǘ┮苿(dòng)通信運(yùn)營(yíng)企業(yè)按照本機(jī)制第八條規(guī)定����,對(duì)監(jiān)測(cè)到的事件進(jìn)行分級(jí)��。特別重大����、重大事件應(yīng)在發(fā)現(xiàn)后2小時(shí)內(nèi)報(bào)工業(yè)和信息化部��,同時(shí)抄報(bào)相關(guān)通信管理局和CNCERT���;較大事件應(yīng)在發(fā)現(xiàn)后4小時(shí)內(nèi)報(bào)送工業(yè)和信息化部����,同時(shí)抄報(bào)相關(guān)通信管理局和CNCERT��;一般事件應(yīng)按約定電子接口方式報(bào)CNCERT匯總(較大以上事件報(bào)送格式見(jiàn)附件三)����。
(三)CNCERT匯總自主監(jiān)測(cè)���、移動(dòng)通信運(yùn)營(yíng)企業(yè)報(bào)送和從其他渠道收集的移動(dòng)互聯(lián)網(wǎng)惡意程序事件,對(duì)事件情況開(kāi)展綜合分析�、分級(jí)。特別重大����、重大事件應(yīng)在發(fā)現(xiàn)后2小時(shí)內(nèi)報(bào)工業(yè)和信息化部�,同時(shí)抄報(bào)相關(guān)通信管理局���;較大事件應(yīng)在發(fā)現(xiàn)后4小時(shí)內(nèi)報(bào)送工業(yè)和信息化部����,同時(shí)抄報(bào)相關(guān)通信管理局�����。工業(yè)和信息化部認(rèn)為必要時(shí)���,組織有關(guān)單位和專(zhuān)家進(jìn)行研判�����。事件情況及研判結(jié)果由工業(yè)和信息化部直接或委托CNCERT通報(bào)相關(guān)單位����。一般事件由CNCERT每月匯總�����,按照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)辦法規(guī)定通報(bào)監(jiān)測(cè)情況(較大以上事件通報(bào)格式見(jiàn)附件四)。
第十一條 事件處置和反饋
CNCERT��、移動(dòng)通信運(yùn)營(yíng)企業(yè)�、互聯(lián)網(wǎng)域名注冊(cè)管理和服務(wù)機(jī)構(gòu)應(yīng)按如下要求進(jìn)行處置:
(一)移動(dòng)通信運(yùn)營(yíng)企業(yè)通過(guò)自有的移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)處置平臺(tái)采取處置措施����。對(duì)于特別重大、重大和較大事件��,向本單位所服務(wù)的用戶(hù)提供信息提示和查殺技術(shù)咨詢(xún)��。
�。ǘ┗ヂ(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)和注冊(cè)服務(wù)機(jī)構(gòu)對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序控制服務(wù)器和傳播服務(wù)器使用的惡意域名進(jìn)行處置。
����。ㄈ〤NCERT對(duì)境外注冊(cè)的惡意域名進(jìn)行協(xié)調(diào)處置。
����。ㄋ模┓答伿录奶幹们闆r。特別重大�����、重大事件的處置情況應(yīng)在接到事件通報(bào)后2小時(shí)內(nèi)向CNCERT反饋���;較大事件的處置情況應(yīng)在接到事件通報(bào)后4小時(shí)內(nèi)向CNCERT反饋��;一般事件的處置情況應(yīng)按月度匯總后以電子表格形式向CNCERT反饋(較大以上事件反饋格式見(jiàn)附件五)����。
��。ㄎ澹〤NCERT驗(yàn)證處置情況���。特別重大�、重大事件應(yīng)在接到處置單位反饋后2小時(shí)內(nèi)向工業(yè)和信息化部����、相關(guān)通信管理局和處置單位反饋驗(yàn)證結(jié)果;較大事件應(yīng)在接到處置單位反饋后4小時(shí)內(nèi)向工業(yè)和信息化部����、相關(guān)通信管理局和處置單位反饋驗(yàn)證結(jié)果;一般事件無(wú)需驗(yàn)證��。
第十二條 CNCERT�、移動(dòng)通信運(yùn)營(yíng)企業(yè)����、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)和注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)留存所監(jiān)測(cè)和處置的移動(dòng)互聯(lián)網(wǎng)惡意程序相關(guān)數(shù)據(jù)或資料以備查驗(yàn)�。數(shù)據(jù)或資料保存時(shí)間為60天。
第十三條 CNCERT��、移動(dòng)通信運(yùn)營(yíng)企業(yè)��、互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)和注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)保護(hù)用戶(hù)正當(dāng)權(quán)益�����,加強(qiáng)用戶(hù)信息保護(hù),規(guī)范處置流程,建立用戶(hù)投訴機(jī)制��,妥善解決用戶(hù)爭(zhēng)議。
第十四條 工業(yè)和信息化部建立會(huì)商制度��,組織相關(guān)單位和專(zhuān)家研討移動(dòng)互聯(lián)網(wǎng)惡意程序相關(guān)問(wèn)題及應(yīng)對(duì)策略���。
第十五條 較大以上事件通報(bào)和反饋應(yīng)按照統(tǒng)一表格以書(shū)面方式報(bào)送���,緊急情況下,可以先通過(guò)電話(huà)、電子郵件等方式聯(lián)系�����,后補(bǔ)書(shū)面材料�����。
第十六條 對(duì)于國(guó)家舉辦重要活動(dòng)等特殊時(shí)期�����,對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)和處置工作另有要求的�,從其規(guī)定�����。
第十七條 相關(guān)單位應(yīng)將本單位移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)和處置工作主管領(lǐng)導(dǎo)和責(zé)任部門(mén)負(fù)責(zé)人��、聯(lián)系人��、聯(lián)系方式報(bào)送工業(yè)和信息化部���,抄送CNCERT�����。以上信息發(fā)生變更���,應(yīng)在3個(gè)工作日內(nèi)報(bào)送變更情況�。
第十八條 對(duì)于涉嫌制作����、傳播惡意程序或利用惡意程序牟利的移動(dòng)互聯(lián)網(wǎng)服務(wù)提供商及其他合作伙伴等,移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)依據(jù)雙方簽訂的合同��,對(duì)其進(jìn)行處理�,并報(bào)當(dāng)?shù)赝ㄐ殴芾砭忠婪ㄌ幜P。對(duì)于涉嫌犯罪的事件����,應(yīng)報(bào)請(qǐng)公安機(jī)關(guān)依法調(diào)查處理。
第十九條 各單位開(kāi)展信息報(bào)送應(yīng)遵循及時(shí)�����、客觀��、準(zhǔn)確�����、完整的原則,不得遲報(bào)����、謊報(bào)、瞞報(bào)和漏報(bào)�。工業(yè)和信息化部定期對(duì)各單位信息報(bào)送情況進(jìn)行通報(bào)�。
第二十條 各通信管理局應(yīng)依據(jù)本機(jī)制落實(shí)本行政區(qū)域內(nèi)相關(guān)工作。
第二十一條 本機(jī)制自2012年1月1日起執(zhí)行����。
附件一:移動(dòng)互聯(lián)網(wǎng)疑似惡意程序樣本報(bào)送表
| |
| 填報(bào)單位: |
填報(bào)人: |
填報(bào)時(shí)間: 年 月 日 |
| 序號(hào) |
首次獲取
樣本時(shí)間 |
惡意程序建議名稱(chēng) |
惡意程序建議
中文名稱(chēng) |
建議危害等級(jí) |
典型行為 |
MD5值 |
控制域名或IP |
惡意程序請(qǐng)求URL |
樣本
來(lái)源 |
備注 |
| 1 |
|
|
|
|
|
|
|
|
|
|
| 2 |
|
|
|
|
|
|
|
|
|
|
| 3 |
|
|
|
|
|
|
|
|
|
|
| 4 |
|
|
|
|
|
|
|
|
|
|
| 5 |
|
|
|
|
|
|
|
|
|
|
| 6 |
|
|
|
|
|
|
|
|
|
|
| 7 |
|
|
|
|
|
|
|
|
|
|
| 8 |
|
|
|
|
|
|
|
|
|
|
| 9 |
|
|
|
|
|
|
|
|
|
|
| 10 |
|
|
|
|
|
|
|
|
|
|
| 11 |
|
|
|
|
|
|
|
|
|
|
| 12 |
|
|
|
|
|
|
|
|
|
|
附件二:移動(dòng)互聯(lián)網(wǎng)惡意程序樣本認(rèn)定信息表
| 移動(dòng)互聯(lián)網(wǎng)惡意程序樣本認(rèn)定信息表 |
| 編號(hào): |
認(rèn)定人: |
認(rèn)定時(shí)間: 年 月 日 |
| 序號(hào) |
首次獲取
樣本時(shí)間 |
惡意程序規(guī)范名稱(chēng) |
惡意程序中文名稱(chēng) |
危害
等級(jí) |
典型行為 |
MD5值 |
控制域名 |
惡意程序請(qǐng)求URL |
樣本
來(lái)源 |
處置建議 |
備注 |
| 1 |
|
|
|
|
|
|
|
|
|
|
|
| 2 |
|
|
|
|
|
|
|
|
|
|
|
| 3 |
|
|
|
|
|
|
|
|
|
|
|
| 4 |
|
|
|
|
|
|
|
|
|
|
|
| 5 |
|
|
|
|
|
|
|
|
|
|
|
| 6 |
|
|
|
|
|
|
|
|
|
|
|
| 7 |
|
|
|
|
|
|
|
|
|
|
|
| 8 |
|
|
|
|
|
|
|
|
|
|
|
| 9 |
|
|
|
|
|
|
|
|
|
|
|
| 10 |
|
|
|
|
|
|
|
|
|
|
|
| 11 |
|
|
|
|
|
|
|
|
|
|
|
| 12 |
|
|
|
|
|
|
|
|
|
|
|
附件三:較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序事件報(bào)送表
| 較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序事件報(bào)送表
(報(bào)送單位: ) |
| 報(bào):
抄報(bào): |
| 填報(bào)人 |
|
聯(lián)系電話(huà) |
|
E-Mail |
|
| 發(fā)生時(shí)間 |
|
報(bào)送時(shí)間 |
|
| 惡意程序名稱(chēng) |
|
| 事件簡(jiǎn)要描述 |
|
| 控制服務(wù)器IP地址及其使用的域名、端口 |
|
| 傳播服務(wù)器IP地址及其使用的域名�、端口 |
|
| 受感染移動(dòng)智能終端數(shù)量 |
|
| 主要行為特征 |
|
| 潛在危害 |
|
| 備注 |
|
附件四:較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序事件信息通報(bào)
| 較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序事件信息通報(bào) |
| 報(bào):
抄報(bào): |
| 任務(wù)編號(hào): |
| 填報(bào)人 |
|
聯(lián)系電話(huà) |
|
E-Mail |
|
| 發(fā)生時(shí)間 |
|
報(bào)送時(shí)間 |
|
| 惡意程序
名稱(chēng) |
|
| 所屬移動(dòng)通信運(yùn)營(yíng)企業(yè) |
|
影響的移動(dòng)智能終端系統(tǒng)類(lèi)型、版本 |
|
| 事件簡(jiǎn)要
描述 |
|
| 控制服務(wù)器IP地址及其使用的域名����、端口 |
|
| 傳播服務(wù)器IP地址及其使用的域名、端口 |
|
| 受感染移動(dòng)智能終端
數(shù)量 |
|
| 主要行為
特征 |
|
| 潛在危害 |
|
| 備注 |
|
附件五:較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序處置反饋表
| 較大以上移動(dòng)互聯(lián)網(wǎng)惡意程序處置反饋表
(報(bào)送單位: ) |
| 報(bào):
抄報(bào): |
| 任務(wù)編號(hào): |
| 填報(bào)人 |
|
聯(lián)系電話(huà) |
|
E-Mail |
|
| 處置時(shí)間 |
|
反饋時(shí)間 |
|
| 惡意程序名稱(chēng) |
|
| 已處置的控制服務(wù)器IP地址及其使用的域名�����、端口 |
|
| 已處置的傳播服務(wù)器IP地址及其使用的域名�、端口 |
|
| 已直接提示的用戶(hù)數(shù)量 |
|
| 未處置的控制服務(wù)器IP地址及其使用的域名、端口 |
|
| 未處置的傳播服務(wù)器IP地址及其使用的域名、端口 |
|
| 未處置的原因 |
|
| 備注 |
|
| 驗(yàn)證結(jié)果
由CNCERT填寫(xiě) |
|
CTI論壇報(bào)道
相關(guān)閱讀: