工信部?！?009〕157號 工信部印發(fā)《木馬和僵尸網(wǎng)絡(luò )監測與處置機制》的通知

工信部印發(fā)《木馬和僵尸網(wǎng)絡(luò )監測與處置機制》的通知

工信部?！?009〕157號

各省、自治區、直轄市通信管理局、國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心、中國互聯(lián)網(wǎng)絡(luò )信息中心、政府和公益機構域名注冊管理中心、部電信研究院、中國互聯(lián)網(wǎng)協(xié)會(huì )、中國電信集團公司、中國移動(dòng)通信集團公司、中國聯(lián)合網(wǎng)絡(luò )通信集團有限公司、其他相關(guān)單位：

為防范和處置木馬和僵尸網(wǎng)絡(luò )引發(fā)的網(wǎng)絡(luò )安全隱患，凈化公共互聯(lián)網(wǎng)環(huán)境，維護我國公共互聯(lián)網(wǎng)安全，制定《木馬和僵尸網(wǎng)絡(luò )監測與處置機制》，現印發(fā)給你們，請遵照執行。

聯(lián)系人：付景廣 010－66022774

二〇〇九年四月十三日
 

木馬和僵尸網(wǎng)絡(luò )監測與處置機制

第一條 為有效防范和處置木馬和僵尸網(wǎng)絡(luò )引發(fā)的網(wǎng)絡(luò )安全隱患，規范監測和處置行為，凈化網(wǎng)絡(luò )環(huán)境，維護我國公共互聯(lián)網(wǎng)安全，依據《中華人民共和國電信條例》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全應急預案》，制定本辦法。

第二條 木馬是指由攻擊者安裝在受害者計算機上秘密運行并用于竊取信息及遠程控制的程序。僵尸網(wǎng)絡(luò )是指由攻擊者通過(guò)控制服務(wù)器控制的受害計算機群。木馬和僵尸網(wǎng)絡(luò )對網(wǎng)絡(luò )信息安全造成危害和威脅，是造成個(gè)人隱私泄露、失泄密、垃圾郵件和大規模拒絕服務(wù)攻擊的重要原因。

第三條 本辦法適用于對危害公共互聯(lián)網(wǎng)安全的木馬和僵尸網(wǎng)絡(luò )控制端（以下簡(jiǎn)稱(chēng)木馬和僵尸網(wǎng)絡(luò )）及其使用的IP地址和惡意域名的監測和處置。

第四條 工業(yè)和信息化部指導、組織、監督全國木馬和僵尸網(wǎng)絡(luò )的監測和處置工作。工業(yè)和信息化部通信保障局（以下簡(jiǎn)稱(chēng)通信保障局）負責具體工作。

各省、自治區、直轄市通信管理局（以下簡(jiǎn)稱(chēng)通信管理局）指導、組織、監督本行政區域內木馬和僵尸網(wǎng)絡(luò )的監測和處置工作。

國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心（以下簡(jiǎn)稱(chēng)CNCERT）受通信保障局委托，負責對木馬和僵尸網(wǎng)絡(luò )的規模、類(lèi)型、活躍程度、危害等情況進(jìn)行監測、匯總、分析、核實(shí)，組織開(kāi)展通報工作，協(xié)調處置木馬和僵尸網(wǎng)絡(luò )IP地址和惡意域名。

基礎電信運營(yíng)企業(yè)負責對本單位網(wǎng)內木馬和僵尸網(wǎng)絡(luò )進(jìn)行監測、核實(shí)，對CNCERT匯總通報的涉及本單位的木馬和僵尸網(wǎng)絡(luò )進(jìn)行處置和反饋。

互聯(lián)網(wǎng)域名注冊管理機構負責對CNCERT通報的由自身管理的惡意域名進(jìn)行處置。對于由國內互聯(lián)網(wǎng)域名注冊服務(wù)機構注冊的由境外域名注冊管理機構管理的域名，由CNCERT直接協(xié)調國內互聯(lián)網(wǎng)域名注冊服務(wù)機構進(jìn)行處置。

第五條 基礎電信運營(yíng)企業(yè)、互聯(lián)網(wǎng)接入服務(wù)提供商、IDC服務(wù)提供商、互聯(lián)網(wǎng)域名注冊管理機構、國內互聯(lián)網(wǎng)域名注冊服務(wù)機構在提供互聯(lián)網(wǎng)接入服務(wù)、域名解析服務(wù)時(shí)，應在與用戶(hù)簽訂的服務(wù)協(xié)議、合同中告知用戶(hù)承擔的網(wǎng)絡(luò )安全保障責任。

第六條 CNCERT、基礎電信運營(yíng)企業(yè)應不斷提高木馬和僵尸網(wǎng)絡(luò )的監測能力。CNCERT、基礎電信運營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內互聯(lián)網(wǎng)域名注冊服務(wù)機構應建立健全本單位的處置機制，協(xié)同配合、快速處置，共同做好木馬和僵尸網(wǎng)絡(luò )的監測和處置工作。

第七條 木馬和僵尸網(wǎng)絡(luò )事件分為特別重大、重大、較大、一般共四級。

特別重大事件：涉及全國范圍或省級行政區域，單個(gè)木馬和僵尸網(wǎng)絡(luò )規模超過(guò)100萬(wàn)個(gè)IP地址，對社會(huì )造成特別重大影響。

重大事件：涉及全國范圍或省級行政區域，同一時(shí)期存在一個(gè)或多個(gè)木馬和僵尸網(wǎng)絡(luò )，總規模超過(guò)50萬(wàn)個(gè)IP地址，對社會(huì )造成重大影響。

較大事件：涉及全國范圍或省級行政區域，同一時(shí)期存在一個(gè)或多個(gè)木馬和僵尸網(wǎng)絡(luò )，總規模超過(guò)10萬(wàn)個(gè)IP地址，對社會(huì )造成較大影響。

一般事件：涉及全國范圍或省級行政區域，發(fā)生木馬和僵尸網(wǎng)絡(luò )事件，對社會(huì )造成一定影響，但未造成上述后果。

通信保障局負責對分級規范進(jìn)行修訂。

第八條 監測和通報：

（一）CNCERT、基礎電信運營(yíng)企業(yè)負責對木馬和僵尸網(wǎng)絡(luò )進(jìn)行監測。

（二）基礎電信運營(yíng)企業(yè)按照本機制第七條對監測到的事件進(jìn)行分級，特別重大、重大、較大事件應在發(fā)現后2小時(shí)內報送通信保障局，同時(shí)抄報CNCERT；一般事件應在發(fā)現后5個(gè)工作日內報送CNCERT。

報送內容包括：控制端IP地址、端口、發(fā)現時(shí)間及其使用的惡意域名。

（三）CNCERT 匯總自主監測、基礎電信運營(yíng)企業(yè)報送和從其他渠道收集的事件，進(jìn)行綜合分析、分級。對于特別重大、重大、較大事件，CNCERT應在2小時(shí)內向通信保障局 報告，并及時(shí)通報相關(guān)通信管理局。通信保障局認為必要時(shí)，組織有關(guān)單位和專(zhuān)家進(jìn)行研判。事件情況及研判結果由通信保障局直接或委托CNCERT通報相關(guān)單 位。對于一般事件，CNCERT應在發(fā)現后5個(gè)工作日內通報相關(guān)單位。

事件通報內容包括：

1、威脅較大的木馬和僵尸網(wǎng)絡(luò )IP地址、端口、發(fā)現時(shí)間、所屬基礎電信運營(yíng)企業(yè)。

2、木馬和僵尸網(wǎng)絡(luò )使用的惡意域名。

3、木馬和僵尸網(wǎng)絡(luò )的規模和潛在危害。

第九條 處置和反饋：

基礎電信運營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、互聯(lián)網(wǎng)域名注冊服務(wù)機構接到CNCERT木馬和僵尸網(wǎng)絡(luò )事件通報后，應按如下流程處理：

（一）通知與木馬和僵尸網(wǎng)絡(luò )IP地址和惡意域名相關(guān)的具體用戶(hù)進(jìn)行清除，并跟蹤用戶(hù)處置情況。

對于域名注冊信息不真實(shí)、不準確、不完整的，互聯(lián)網(wǎng)域名注冊管理機構、互聯(lián)網(wǎng)域名注冊服務(wù)機構根據《中國互聯(lián)網(wǎng)域名管理辦法》有關(guān)規定進(jìn)行處置。

（二）反饋用戶(hù)的處置情況。特別重大、重大、較大事件的處置情況應在接到事件通報后4小時(shí)內向CNCERT反饋，一般事件的處置情況應在5個(gè)工作日內向CNCERT反饋。

反饋內容包括：用戶(hù)已處置的IP地址和惡意域名、單位名稱(chēng)、用戶(hù)未處置的IP地址和惡意域名及未處置的原因。

（三）監測單位驗證處置情況。

對于CNCERT自主監測的事件，由CNCERT對處置情況進(jìn)行驗證。特別重大、重大、較大事件應在接到處置單位反饋后2小時(shí)內向處置單位反饋驗證結果，一般事件應在5個(gè)工作日內反饋驗證結果。

對于基礎電信運營(yíng)企業(yè)監測到的事件由基礎電信運營(yíng)企業(yè)自行驗證。特別重大、重大、較大事件應在接到CNCERT事件通報后6小時(shí)內向CNCERT反饋驗證結果，一般事件應在10個(gè)工作日內向CNCERT反饋驗證結果。

（四）對于未處置或經(jīng)驗證仍存在惡意連接的木馬和僵尸網(wǎng)絡(luò )IP地址和惡意域名，按如下方式處置：

對于重要信息系統單位，向通信保障局反饋用戶(hù)相關(guān)情況，抄報CNCERT，由通信保障局或當地通信管理局書(shū)面通知其主管部門(mén)。

對于其他單位用戶(hù)和個(gè)人用戶(hù)，應依據與用戶(hù)簽署的服務(wù)協(xié)議、合同等進(jìn)行處置。

（五）對于特別重大、重大、較大事件的處置情況，CNCERT應在接到處置單位反饋后2小時(shí)內向通信保障局和相關(guān)通信管理局反饋處置結果，一般事件處置情況由CNCERT每月匯總，按照互聯(lián)網(wǎng)網(wǎng)絡(luò )安全信息通報有關(guān)辦法通報監測和處置情況。

第十條 CNCERT、基礎電信運營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內互聯(lián)網(wǎng)域名注冊服務(wù)機構應留存木馬和僵尸網(wǎng)絡(luò )相關(guān)數據或資料以備查驗。數據或資料保存時(shí)間為60天。

第十一條 CNCERT、基礎電信運營(yíng)企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內域名注冊服務(wù)機構應保護用戶(hù)正當權益，規范處置流程，建立用戶(hù)申訴機制，妥善解決用戶(hù)爭議。

第十二條 通信保障局通過(guò)會(huì )商制度，組織相關(guān)單位和專(zhuān)家研討木馬和僵尸網(wǎng)絡(luò )相關(guān)問(wèn)題及其應對策略。

第十三條 事件通報和反饋應按照統一表格以書(shū)面方式報送（報送格式見(jiàn)附件三）。緊急情況下，可以先電話(huà)聯(lián)系，后補表格。

第十四條 對于國家舉辦重要活動(dòng)等特殊時(shí)期，對木馬和僵尸網(wǎng)絡(luò )監測和處置工作另有要求的，從其規定。

第十五條 相關(guān)單位應將本單位木馬和僵尸網(wǎng)絡(luò )監測和處置工作主管領(lǐng)導，責任部門(mén)負責人、聯(lián)系人、聯(lián)系方式報送通信保障局，抄送CNCERT。以上信息發(fā)生變更，應在3個(gè)工作日內報送變更情況。

第十六條 CNCERT應與非經(jīng)營(yíng)性互聯(lián)單位合作，協(xié)調非經(jīng)營(yíng)性互聯(lián)單位處置其網(wǎng)內木馬和僵尸網(wǎng)絡(luò )；應與網(wǎng)絡(luò )安全研究機構、網(wǎng)絡(luò )安全技術(shù)支撐單位、網(wǎng)絡(luò )安全企業(yè)、病毒廠(chǎng)商等單位合作，建立研究、分析機制。

本機制中非經(jīng)營(yíng)性互聯(lián)單位指中國教育和科研計算機網(wǎng)、中國科技網(wǎng)、中國國際經(jīng)濟貿易網(wǎng)、中國長(cháng)城互聯(lián)網(wǎng)。

第十七條 對于涉嫌犯罪的木馬和僵尸網(wǎng)絡(luò )事件，應報請公安機關(guān)依法調查處理。

第十八條 通信管理局應參照本辦法制定本行政區域內木馬和僵尸網(wǎng)絡(luò )監測和處置機制。

基礎電信運營(yíng)企業(yè)集團公司應督促本單位省級公司按照當地通信管理局要求，及時(shí)反饋木馬和僵尸網(wǎng)絡(luò )事件監測處置情況，接受當地通信管理局的監督管理。

第十九條 本辦法中重要信息系統指政府部門(mén)、軍隊以及銀行、海關(guān)、稅務(wù)、電力、鐵路、證券、保險、民航等關(guān)系國計民生的重要行業(yè)使用的信息系統。

第二十條 本辦法自2009年6月1日起實(shí)施。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/law/8733.html

本文關(guān)鍵詞： 工信部?！?009〕157號, 工信部, 木馬, 僵尸, 網(wǎng)絡(luò )監測, 處置機制, 通知