工信部出臺病毒監測處置機制資訊保安分出級別

近日，工業和資訊化部在官網上正式公佈《網際網路網路安全資訊通報實施辦法》，該辦法首次對於木馬和殭屍網路監測以及相關的處置作出了明確的規定。

　　以下是木馬和殭屍網路監測與處置機制全文：

　　第一條 為有效防範和處置木馬和殭屍網路引發的網路安全隱患，規範監測和處置行為，淨化網路環境，維護我國公共網際網路安全，依據《中華人民共和國電信條例》、《網際網路網路安全應急預案》，制定本辦法。

　　第二條 木馬是指由攻擊者安裝在受害者計算機上祕密執行並用於竊取資訊及遠端控制的程式。殭屍網路是指由攻擊者通過控制伺服器控制的受害計算機群。木馬和殭屍網路對網路資訊保安造成危害和威脅，是造成個人隱私洩露、失洩密、垃圾郵件和大規模拒絕服務攻擊的重要原因。

　　第三條 本辦法適用於對危害公共網際網路安全的木馬和殭屍網路控制端(以下簡稱木馬和殭屍網路)及其使用的IP地址和惡意域名的監測和處置。

　　第四條 工業和資訊化部指導、組織、監督全國木馬和殭屍網路的監測和處置工作。工業和資訊化部通訊保障局(以下簡稱通訊保障局)負責具體工作。

　　各省、自治區、直轄市通訊管理局(以下簡稱通訊管理局)指導、組織、監督本行政區域內木馬和殭屍網路的監測和處置工作。

　　國家計算機網路應急技術處理協調中心(以下簡稱CNCERT)受通訊保障局委託，負責對木馬和殭屍網路的規模、型別、活躍程度、危害等情況進行監測、彙總、分析、核實，組織開展通報工作，協調處置木馬和殭屍網路IP地址和惡意域名。

　　基礎電信運營企業負責對本單位網內木馬和殭屍網路進行監測、核實，對CNCERT彙總通報的涉及本單位的木馬和殭屍網路進行處置和反饋。

　　網際網路域名註冊管理機構負責對CNCERT通報的由自身管理的惡意域名進行處置。對於由國內網際網路域名註冊服務機構註冊的由境外域名註冊管理機構管理的域名，由CNCERT直接協調國內網際網路域名註冊服務機構進行處置。

　　第五條 基礎電信運營企業、網際網路接入服務提供商、IDC服務提供商、網際網路域名註冊管理機構、國內網際網路域名註冊服務機構在提供網際網路接入服務、域名解析服務時，應在與使用者簽訂的服務協議、合同中告知使用者承擔的網路安全保障責任。

　　第六條 CNCERT、基礎電信運營企業應不斷提高木馬和殭屍網路的監測能力。CNCERT、基礎電信運營企業、網際網路域名註冊管理機構、國內網際網路域名註冊服務機構應建立健全本單位的處置機制，協同配合、快速處置，共同做好木馬和殭屍網路的監測和處置工作。

　　第七條 木馬和殭屍網路事件分為特別重大、重大、較大、一般共四級。

　　特別重大事件：涉及全國範圍或省級行政區域，單個木馬和殭屍網路規模超過100萬個IP地址，對社會造成特別重大影響。

　　重大事件：涉及全國範圍或省級行政區域，同一時期存在一個或多個木馬和殭屍網路，總規模超過50萬個IP地址，對社會造成重大影響。

　　較大事件：涉及全國範圍或省級行政區域，同一時期存在一個或多個木馬和殭屍網路，總規模超過10萬個IP地址，對社會造成較大影響。

　　一般事件：涉及全國範圍或省級行政區域，發生木馬和殭屍網路事件，對社會造成一定影響，但未造成上述後果。

　　通訊保障局負責對分級規範進行修訂。

　　第八條 監測和通報：

　　(一)CNCERT、基礎電信運營企業負責對木馬和殭屍網路進行監測。

　　(二)基礎電信運營企業按照本機制第七條對監測到的事件進行分級，特別重大、重大、較大事件應在發現後2小時內報送通訊保障局，同時抄報CNCERT;一般事件應在發現後5個工作日內報送CNCERT。

　　報送內容包括：控制端IP地址、埠、發現時間及其使用的惡意域名。

　　(三)CNCERT彙總自主監測、基礎電信運營企業報送和從其他渠道收集的事件，進行綜合分析、分級。對於特別重大、重大、較大事件，CNCERT應在2小時內向通訊保障局報告，並及時通報相關通訊管理局。通訊保障局認為必要時，組織有關單位和專家進行研判。事件情況及研判結果由通訊保障局直接或委託CNCERT通報相關單位。對於一般事件，CNCERT應在發現後5個工作日內通報相關單位。

　　事件通報內容包括：

　　1、威脅較大的木馬和殭屍網路IP地址、埠、發現時間、所屬基礎電信運營企業。

　　2、木馬和殭屍網路使用的惡意域名。

　　3、木馬和殭屍網路的規模和潛在危害。

　　第九條 處置和反饋：

　　基礎電信運營企業、網際網路域名註冊管理機構、網際網路域名註冊服務機構接到CNCERT木馬和殭屍網路事件通報後，應按如下流程處理：

　　(一)通知與木馬和殭屍網路IP地址和惡意域名相關的具體使用者進行清除，並跟蹤使用者處置情況。

　　對於域名註冊資訊不真實、不準確、不完整的，網際網路域名註冊管理機構、網際網路域名註冊服務機構根據《中國網際網路域名管理辦法》有關規定進行處置。

　　(二)反饋使用者的處置情況。特別重大、重大、較大事件的處置情況應在接到事件通報後4小時內向CNCERT反饋，一般事件的處置情況應在5個工作日內向CNCERT反饋。

　　反饋內容包括：使用者已處置的IP地址和惡意域名、單位名稱、使用者未處置的IP地址和惡意域名及未處置的原因。

　　(三)監測單位驗證處置情況。

　　對於CNCERT自主監測的事件，由CNCERT對處置情況進行驗證。特別重大、重大、較大事件應在接到處置單位反饋後2小時內向處置單位反饋驗證結果，一般事件應在5個工作日內反饋驗證結果。

　　對於基礎電信運營企業監測到的事件由基礎電信運營企業自行驗證。特別重大、重大、較大事件應在接到CNCERT事件通報後6小時內向CNCERT反饋驗證結果，一般事件應在10個工作日內向CNCERT反饋驗證結果。

　　(四)對於未處置或經驗證仍存在惡意連線的木馬和殭屍網路IP地址和惡意域名，按如下方式處置：

　　對於重要資訊系統單位，向通訊保障局反饋使用者相關情況，抄報CNCERT，由通訊保障局或當地通訊管理局書面通知其主管部門。

　　對於其他單位使用者和個人使用者，應依據與使用者簽署的服務協議、合同等進行處置。

　　(五)對於特別重大、重大、較大事件的處置情況，CNCERT應在接到處置單位反饋後2小時內向通訊保障局和相關通訊管理局反饋處置結果，一般事件處置情況由CNCERT每月彙總，按照網際網路網路安全資訊通報有關辦法通報監測和處置情況。

　　第十條 CNCERT、基礎電信運營企業、網際網路域名註冊管理機構、國內網際網路域名註冊服務機構應留存木馬和殭屍網路相關資料或資料以備查驗。資料或資料儲存時間為60天。

　　第十一條 CNCERT、基礎電信運營企業、網際網路域名註冊管理機構、國內域名註冊服務機構應保護使用者正當權益，規範處置流程，建立使用者申訴機制，妥善解決使用者爭議。

　　第十二條 通訊保障局通過會商制度，組織相關單位和專家研討木馬和殭屍網路相關問題及其應對策略。

　　第十三條 事件通報和反饋應按照統一表格以書面方式報送(報送格式見附件三)。緊急情況下，可以先電話聯絡，後補表格。

　　第十四條 對於國家舉辦重要活動等特殊時期，對木馬和殭屍網路監測和處置工作另有要求的，從其規定。

　　第十五條 相關單位應將本單位木馬和殭屍網路監測和處置工作主管領導，責任部門負責人、聯絡人、聯絡方式報送通訊保障局，抄送CNCERT。以上資訊發生變更，應在3個工作日內報送變更情況。

　　第十六條 CNCERT應與非經營性互聯單位合作，協調非經營性互聯單位處置其網內木馬和殭屍網路;應與網路安全研究機構、網路安全技術支撐單位、網路安全企業、病毒廠商等單位合作，建立研究、分析機制。

　　本機制中非經營性互聯單位指中國教育和科研計算機網、中國科技網、中國國際經濟貿易網、中國長城網際網路。

　　第十七條 對於涉嫌犯罪的木馬和殭屍網路事件，應報請公安機關依法調查處理。

　　第十八條 通訊管理局應參照本辦法制定本行政區域內木馬和殭屍網路監測和處置機制。

　　基礎電信運營企業集團公司應督促本單位省級公司按照當地通訊管理局要求，及時反饋木馬和殭屍網路事件監測處置情況，接受當地通訊管理局的監督管理。

　　第十九條 本辦法中重要資訊系統指政府部門、軍隊以及銀行、海關、稅務、電力、鐵路、證券、保險、民航等關係國計民生的重要行業使用的資訊系統。

　　第二十條 本辦法自2009年6月1日起實施。