移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制
2011/12/09
CTI論壇(ctiforum)12月9日消息(記者 潘婷婷): 記者從工信部網(wǎng)站獲悉,電信管理局公示了《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》���。
以下為公告全文:
第一條 為凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境�,保護用戶權(quán)益,維護網(wǎng)絡(luò)安全�,有效防范和處置移動互聯(lián)網(wǎng)惡意程序,依據(jù)《中華人民共和國電信條例》��、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》���,制定本機制���。
第二條 移動互聯(lián)網(wǎng)惡意程序是指運行于包括智能手機在內(nèi)的具有移動通信功能的移動終端之上,存在竊聽用戶通話���、竊取用戶信息�、破壞用戶數(shù)據(jù)���、擅自使用付費業(yè)務(wù)�、發(fā)送垃圾信息���、推送廣告或欺詐信息����、影響移動終端運行、危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全等惡意行為的計算機程序����。
第三條 本機制適用于移動互聯(lián)網(wǎng)惡意程序及其傳播服務(wù)器���、控制服務(wù)器的監(jiān)測和處置�。
第四條 工業(yè)和信息化部指導(dǎo)��、組織�、監(jiān)督全國移動互聯(lián)網(wǎng)惡意程序的監(jiān)測和處置工作。工業(yè)和信息化部通信保障局負責(zé)具體工作�����。
各省����、自治區(qū)、直轄市通信管理局(以下簡稱通信管理局)指導(dǎo)��、組織��、監(jiān)督本行政區(qū)域內(nèi)移動互聯(lián)網(wǎng)惡意程序的監(jiān)測和處置工作����。
國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡稱CNCERT)受工業(yè)和信息化部委托��,負責(zé)對移動互聯(lián)網(wǎng)惡意程序樣本進行認定命名�,對移動互聯(lián)網(wǎng)惡意程序進行監(jiān)測����、分析、通報���,協(xié)調(diào)處置傳播服務(wù)器�����、控制服務(wù)器和攻擊源��。
移動通信運營企業(yè)負責(zé)報送移動互聯(lián)網(wǎng)惡意程序疑似樣本���,對CNCERT認定通報的移動互聯(lián)網(wǎng)惡意程序進行監(jiān)測、處置和反饋��,為本單位所服務(wù)的用戶提供信息提示和查殺技術(shù)咨詢�。
互聯(lián)網(wǎng)域名注冊管理機構(gòu)和注冊服務(wù)機構(gòu)負責(zé)對CNCERT通報的由自身管理的惡意域名進行處置。
第五條 移動通信運營企業(yè)、互聯(lián)網(wǎng)接入服務(wù)提供商�����、IDC服務(wù)提供商�����、互聯(lián)網(wǎng)域名注冊管理機構(gòu)�����、互聯(lián)網(wǎng)域名注冊服務(wù)機構(gòu)在提供互聯(lián)網(wǎng)接入服務(wù)��、托管服務(wù)�����、域名注冊解析等服務(wù)時���,應(yīng)在與用戶簽訂的服務(wù)協(xié)議、合同中約定用戶承擔(dān)的網(wǎng)絡(luò)安全保障責(zé)任���。
第六條 移動通信運營企業(yè)��、CNCERT應(yīng)不斷提高移動互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測處置能力����,建設(shè)完善相關(guān)技術(shù)平臺。移動通信運營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測處置能力,CNCERT應(yīng)具備跨不同企業(yè)移動互聯(lián)網(wǎng)的監(jiān)測能力�。
第七條 CNCERT、移動通信運營企業(yè)����、互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)應(yīng)建立健全本單位的處置機制,加強協(xié)同配合����,共同做好移動互聯(lián)網(wǎng)惡意程序的監(jiān)測和處置工作。
第八條 移動互聯(lián)網(wǎng)惡意程序事件分為特別重大���、重大���、較大、一般共四級�。
特別重大事件:單個移動互聯(lián)網(wǎng)惡意程序造成用戶通信費用損失累計超過一千萬元人民幣,或24小時內(nèi)受感染用戶規(guī)模超過十萬個手機號碼��,對社會造成特別重大影響�。
重大事件:單個移動互聯(lián)網(wǎng)惡意程序造成用戶通信費用損失累計超過五百萬元人民幣,或24小時內(nèi)受感染用戶規(guī)模超過五萬個手機號碼,對社會造成重大影響��。
較大事件:單個移動互聯(lián)網(wǎng)惡意程序造成用戶通信費用損失累計超過一百萬元人民幣�,或24小時內(nèi)受感染用戶規(guī)模超過一萬個手機號碼,對社會造成較大影響����。
一般事件:發(fā)生移動互聯(lián)網(wǎng)惡意程序事件,對社會造成一定影響���,但未造成上述后果�����。
工業(yè)和信息化部負責(zé)對分級規(guī)范進行修訂。
第九條 樣本捕獲與認定命名
�。ㄒ唬┮苿油ㄐ胚\營企業(yè)自主捕獲或從其他渠道獲得疑似惡意程序樣本,應(yīng)于發(fā)現(xiàn)后進行初步分析并提出命名建議����,在3個工作日內(nèi)將樣本和分析結(jié)果報送CNCERT(報送格式見附件一)。
����。ǘ〤NCERT匯總自主捕獲、移動通信運營企業(yè)報送和從其他渠道收集的疑似惡意程序樣本,依據(jù)《移動互聯(lián)網(wǎng)惡意程序描述格式》進行分析�����、認定和命名�����,將認定結(jié)果和處置建議在5個工作日內(nèi)反饋各樣本報送單位和相關(guān)通信管理局(反饋格式見附件二)�����。
第十條 事件監(jiān)測和通報
��。ㄒ唬〤NCERT�����、移動通信運營企業(yè)負責(zé)對移動互聯(lián)網(wǎng)惡意程序進行監(jiān)測�����。
���。ǘ┮苿油ㄐ胚\營企業(yè)按照本機制第八條規(guī)定�,對監(jiān)測到的事件進行分級。特別重大��、重大事件應(yīng)在發(fā)現(xiàn)后2小時內(nèi)報工業(yè)和信息化部�����,同時抄報相關(guān)通信管理局和CNCERT����;較大事件應(yīng)在發(fā)現(xiàn)后4小時內(nèi)報送工業(yè)和信息化部,同時抄報相關(guān)通信管理局和CNCERT��;一般事件應(yīng)按約定電子接口方式報CNCERT匯總(較大以上事件報送格式見附件三)�。
(三)CNCERT匯總自主監(jiān)測���、移動通信運營企業(yè)報送和從其他渠道收集的移動互聯(lián)網(wǎng)惡意程序事件�����,對事件情況開展綜合分析、分級����。特別重大���、重大事件應(yīng)在發(fā)現(xiàn)后2小時內(nèi)報工業(yè)和信息化部,同時抄報相關(guān)通信管理局�����;較大事件應(yīng)在發(fā)現(xiàn)后4小時內(nèi)報送工業(yè)和信息化部��,同時抄報相關(guān)通信管理局��。工業(yè)和信息化部認為必要時����,組織有關(guān)單位和專家進行研判。事件情況及研判結(jié)果由工業(yè)和信息化部直接或委托CNCERT通報相關(guān)單位�����。一般事件由CNCERT每月匯總����,按照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報辦法規(guī)定通報監(jiān)測情況(較大以上事件通報格式見附件四)。
第十一條 事件處置和反饋
CNCERT����、移動通信運營企業(yè)�、互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)應(yīng)按如下要求進行處置:
����。ㄒ唬┮苿油ㄐ胚\營企業(yè)通過自有的移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置平臺采取處置措施。對于特別重大��、重大和較大事件��,向本單位所服務(wù)的用戶提供信息提示和查殺技術(shù)咨詢��。
�����。ǘ┗ヂ(lián)網(wǎng)域名注冊管理機構(gòu)和注冊服務(wù)機構(gòu)對移動互聯(lián)網(wǎng)惡意程序控制服務(wù)器和傳播服務(wù)器使用的惡意域名進行處置���。
�。ㄈ〤NCERT對境外注冊的惡意域名進行協(xié)調(diào)處置�。
��。ㄋ模┓答伿录奶幹们闆r��。特別重大��、重大事件的處置情況應(yīng)在接到事件通報后2小時內(nèi)向CNCERT反饋����;較大事件的處置情況應(yīng)在接到事件通報后4小時內(nèi)向CNCERT反饋;一般事件的處置情況應(yīng)按月度匯總后以電子表格形式向CNCERT反饋(較大以上事件反饋格式見附件五)��。
�。ㄎ澹〤NCERT驗證處置情況。特別重大���、重大事件應(yīng)在接到處置單位反饋后2小時內(nèi)向工業(yè)和信息化部���、相關(guān)通信管理局和處置單位反饋驗證結(jié)果;較大事件應(yīng)在接到處置單位反饋后4小時內(nèi)向工業(yè)和信息化部���、相關(guān)通信管理局和處置單位反饋驗證結(jié)果��;一般事件無需驗證����。
第十二條 CNCERT��、移動通信運營企業(yè)����、互聯(lián)網(wǎng)域名注冊管理機構(gòu)和注冊服務(wù)機構(gòu)應(yīng)留存所監(jiān)測和處置的移動互聯(lián)網(wǎng)惡意程序相關(guān)數(shù)據(jù)或資料以備查驗��。數(shù)據(jù)或資料保存時間為60天����。
第十三條 CNCERT�����、移動通信運營企業(yè)�����、互聯(lián)網(wǎng)域名注冊管理機構(gòu)和注冊服務(wù)機構(gòu)應(yīng)保護用戶正當(dāng)權(quán)益�����,加強用戶信息保護���,規(guī)范處置流程�����,建立用戶投訴機制�,妥善解決用戶爭議���。
第十四條 工業(yè)和信息化部建立會商制度����,組織相關(guān)單位和專家研討移動互聯(lián)網(wǎng)惡意程序相關(guān)問題及應(yīng)對策略�����。
第十五條 較大以上事件通報和反饋應(yīng)按照統(tǒng)一表格以書面方式報送���,緊急情況下����,可以先通過電話�、電子郵件等方式聯(lián)系,后補書面材料����。
第十六條 對于國家舉辦重要活動等特殊時期,對移動互聯(lián)網(wǎng)惡意程序監(jiān)測和處置工作另有要求的�����,從其規(guī)定。
第十七條 相關(guān)單位應(yīng)將本單位移動互聯(lián)網(wǎng)惡意程序監(jiān)測和處置工作主管領(lǐng)導(dǎo)和責(zé)任部門負責(zé)人��、聯(lián)系人���、聯(lián)系方式報送工業(yè)和信息化部���,抄送CNCERT。以上信息發(fā)生變更�,應(yīng)在3個工作日內(nèi)報送變更情況。
第十八條 對于涉嫌制作��、傳播惡意程序或利用惡意程序牟利的移動互聯(lián)網(wǎng)服務(wù)提供商及其他合作伙伴等�����,移動通信運營企業(yè)應(yīng)依據(jù)雙方簽訂的合同�,對其進行處理,并報當(dāng)?shù)赝ㄐ殴芾砭忠婪ㄌ幜P����。對于涉嫌犯罪的事件,應(yīng)報請公安機關(guān)依法調(diào)查處理����。
第十九條 各單位開展信息報送應(yīng)遵循及時��、客觀���、準(zhǔn)確��、完整的原則���,不得遲報�����、謊報����、瞞報和漏報��。工業(yè)和信息化部定期對各單位信息報送情況進行通報�����。
第二十條 各通信管理局應(yīng)依據(jù)本機制落實本行政區(qū)域內(nèi)相關(guān)工作�。
第二十一條 本機制自2012年1月1日起執(zhí)行。
附件一:移動互聯(lián)網(wǎng)疑似惡意程序樣本報送表
| |
| 填報單位: |
填報人: |
填報時間: 年 月 日 |
| 序號 |
首次獲取
樣本時間 |
惡意程序建議名稱 |
惡意程序建議
中文名稱 |
建議危害等級 |
典型行為 |
MD5值 |
控制域名或IP |
惡意程序請求URL |
樣本
來源 |
備注 |
| 1 |
|
|
|
|
|
|
|
|
|
|
| 2 |
|
|
|
|
|
|
|
|
|
|
| 3 |
|
|
|
|
|
|
|
|
|
|
| 4 |
|
|
|
|
|
|
|
|
|
|
| 5 |
|
|
|
|
|
|
|
|
|
|
| 6 |
|
|
|
|
|
|
|
|
|
|
| 7 |
|
|
|
|
|
|
|
|
|
|
| 8 |
|
|
|
|
|
|
|
|
|
|
| 9 |
|
|
|
|
|
|
|
|
|
|
| 10 |
|
|
|
|
|
|
|
|
|
|
| 11 |
|
|
|
|
|
|
|
|
|
|
| 12 |
|
|
|
|
|
|
|
|
|
|
附件二:移動互聯(lián)網(wǎng)惡意程序樣本認定信息表
| 移動互聯(lián)網(wǎng)惡意程序樣本認定信息表 |
| 編號: |
認定人: |
認定時間: 年 月 日 |
| 序號 |
首次獲取
樣本時間 |
惡意程序規(guī)范名稱 |
惡意程序中文名稱 |
危害
等級 |
典型行為 |
MD5值 |
控制域名 |
惡意程序請求URL |
樣本
來源 |
處置建議 |
備注 |
| 1 |
|
|
|
|
|
|
|
|
|
|
|
| 2 |
|
|
|
|
|
|
|
|
|
|
|
| 3 |
|
|
|
|
|
|
|
|
|
|
|
| 4 |
|
|
|
|
|
|
|
|
|
|
|
| 5 |
|
|
|
|
|
|
|
|
|
|
|
| 6 |
|
|
|
|
|
|
|
|
|
|
|
| 7 |
|
|
|
|
|
|
|
|
|
|
|
| 8 |
|
|
|
|
|
|
|
|
|
|
|
| 9 |
|
|
|
|
|
|
|
|
|
|
|
| 10 |
|
|
|
|
|
|
|
|
|
|
|
| 11 |
|
|
|
|
|
|
|
|
|
|
|
| 12 |
|
|
|
|
|
|
|
|
|
|
|
附件三:較大以上移動互聯(lián)網(wǎng)惡意程序事件報送表
| 較大以上移動互聯(lián)網(wǎng)惡意程序事件報送表
(報送單位: ) |
| 報:
抄報: |
| 填報人 |
|
聯(lián)系電話 |
|
E-Mail |
|
| 發(fā)生時間 |
|
報送時間 |
|
| 惡意程序名稱 |
|
| 事件簡要描述 |
|
| 控制服務(wù)器IP地址及其使用的域名、端口 |
|
| 傳播服務(wù)器IP地址及其使用的域名�����、端口 |
|
| 受感染移動智能終端數(shù)量 |
|
| 主要行為特征 |
|
| 潛在危害 |
|
| 備注 |
|
附件四:較大以上移動互聯(lián)網(wǎng)惡意程序事件信息通報
| 較大以上移動互聯(lián)網(wǎng)惡意程序事件信息通報 |
| 報:
抄報: |
| 任務(wù)編號: |
| 填報人 |
|
聯(lián)系電話 |
|
E-Mail |
|
| 發(fā)生時間 |
|
報送時間 |
|
| 惡意程序
名稱 |
|
| 所屬移動通信運營企業(yè) |
|
影響的移動智能終端系統(tǒng)類型�����、版本 |
|
| 事件簡要
描述 |
|
| 控制服務(wù)器IP地址及其使用的域名��、端口 |
|
| 傳播服務(wù)器IP地址及其使用的域名��、端口 |
|
| 受感染移動智能終端
數(shù)量 |
|
| 主要行為
特征 |
|
| 潛在危害 |
|
| 備注 |
|
附件五:較大以上移動互聯(lián)網(wǎng)惡意程序處置反饋表
| 較大以上移動互聯(lián)網(wǎng)惡意程序處置反饋表
(報送單位: ) |
| 報:
抄報: |
| 任務(wù)編號: |
| 填報人 |
|
聯(lián)系電話 |
|
E-Mail |
|
| 處置時間 |
|
反饋時間 |
|
| 惡意程序名稱 |
|
| 已處置的控制服務(wù)器IP地址及其使用的域名����、端口 |
|
| 已處置的傳播服務(wù)器IP地址及其使用的域名、端口 |
|
| 已直接提示的用戶數(shù)量 |
|
| 未處置的控制服務(wù)器IP地址及其使用的域名��、端口 |
|
| 未處置的傳播服務(wù)器IP地址及其使用的域名���、端口 |
|
| 未處置的原因 |
|
| 備注 |
|
| 驗證結(jié)果
由CNCERT填寫 |
|
CTI論壇報道
相關(guān)閱讀:
伊金霍洛旗|
陕西省|
虹口区|
阜南县|
和田市|
仙游县|
鄄城县|
温州市|
密山市|
麻江县|
兴城市|
象山县|
青河县|
鲁甸县|
剑阁县|
静乐县|
贡嘎县|
汉沽区|
内乡县|
玉龙|
乌拉特后旗|
康马县|
正阳县|
瑞安市|
崇仁县|
璧山县|
南丹县|
东乡族自治县|
扶沟县|
肃宁县|
辽阳县|
正镶白旗|
花莲县|
邛崃市|
奉节县|
石门县|
松溪县|
湘西|
洛南县|
准格尔旗|
重庆市|