工業(yè)和信息化部解讀《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》及《互聯(lián)網(wǎng)

1、工業(yè)和信息化部解讀木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制及互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法日前，工業(yè)和信息化部印發(fā)了木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法，這是工業(yè)和信息化部成立以來，首次發(fā)布專門針對互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的部門文件，引起了社會各界的廣泛關(guān)注。為了更好地理解和貫徹上述文件，工業(yè)和信息化部對相關(guān)問題進行了解讀。問：什么是木馬和僵尸網(wǎng)絡(luò)，為什么要對它們進行處置？木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制中，木馬是指由攻擊者安裝在受害者計算機上秘密運行并用于竊取信息及遠程控制的程序。僵尸網(wǎng)絡(luò)是指由攻擊者通過控制服務(wù)器控制的受害計算機群。木馬和僵尸網(wǎng)絡(luò)通常都包括控制端和被控端兩部分。木馬和僵尸網(wǎng)絡(luò)

2、是造成個人隱私泄露、失泄密、垃圾郵件和大規(guī)模拒絕服務(wù)攻擊的重要原因，木馬和僵尸網(wǎng)絡(luò)不僅危害互聯(lián)網(wǎng)用戶個人，更危害企業(yè)利益，甚至危害國家安全。2009年2月，一款名為“貓癬”（又名“犇牛”）的惡性木馬下載器在我國境內(nèi)大肆傳播，感染了數(shù)百萬臺主機。該病毒通過下載針對誅仙、魔獸世界、問道等熱門網(wǎng)游、QQ以及網(wǎng)上銀行的盜號木馬，盜竊用戶網(wǎng)游及網(wǎng)上銀行的帳號和密碼，對互聯(lián)網(wǎng)用戶個人隱私和財產(chǎn)造成嚴重危害。2008年12月，某商業(yè)銀行網(wǎng)銀系統(tǒng)和某著名跨國機構(gòu)網(wǎng)站先后遭到網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)站服務(wù)擁塞甚至中斷，給企業(yè)的正常經(jīng)營和聲譽帶來不利影響。事后經(jīng)監(jiān)測數(shù)據(jù)分析，該類事件均由僵尸網(wǎng)絡(luò)發(fā)起的分布式拒絕服務(wù)攻擊造

3、成。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT）抽樣監(jiān)測統(tǒng)計，2008年我國境內(nèi)感染木馬控制端的IP地址為438,386個，感染木馬被控端的IP地址為565,605個，感染僵尸網(wǎng)絡(luò)控制端的IP地址為1,825個，感染僵尸網(wǎng)絡(luò)被控制端的IP地址為1,237,043個。2008年CNCERT共發(fā)現(xiàn)各種僵尸網(wǎng)絡(luò)被用來發(fā)動拒絕服務(wù)攻擊3395次、發(fā)送垃圾郵件106次、實施信息竊取操作373次?？梢娢覈腥灸抉R和僵尸網(wǎng)絡(luò)惡意代碼的數(shù)量之大，面臨的網(wǎng)絡(luò)安全問題之嚴重。2008年6月、7月間，CNCERT監(jiān)測發(fā)現(xiàn)我國互聯(lián)網(wǎng)上木馬和僵尸網(wǎng)絡(luò)IP地址數(shù)量劇增，工業(yè)和信息化部果斷決定組織開展木馬和僵尸

4、網(wǎng)絡(luò)專項打擊行動，為確保2008年北京奧運會、殘奧會等國家重要活動期間我國互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全發(fā)揮了重要作用，為國家重要信息系統(tǒng)用戶、廣大網(wǎng)民提供了一個良好的公共網(wǎng)絡(luò)環(huán)境。因此有必要建立長效機制，對木馬和僵尸網(wǎng)絡(luò)進行長期、有效的處置。問：為什么有關(guān)電信業(yè)務(wù)經(jīng)營者要在與用戶簽訂的協(xié)議中包含網(wǎng)絡(luò)安全保障方面的條款？中華人民共和國電信條例第五章第五十八條規(guī)定，任何組織或者個人不得有危害電信網(wǎng)絡(luò)安全和信息安全的行為。感染木馬和僵尸網(wǎng)絡(luò)惡意代碼后，不僅對用戶自身產(chǎn)生危害，如個人隱私泄露、賬戶密碼丟失、系統(tǒng)資源被利用等，更嚴重的是一旦受感染主機被利用發(fā)動網(wǎng)絡(luò)攻擊、竊取他人信息等，將對公共網(wǎng)絡(luò)環(huán)境、他人的合法權(quán)

5、益造成危害。因此，木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制第五條規(guī)定，基礎(chǔ)電信運營企業(yè)、互聯(lián)網(wǎng)接入服務(wù)提供商、IDC服務(wù)提供商、互聯(lián)網(wǎng)域名注冊管理機構(gòu)、國內(nèi)互聯(lián)網(wǎng)域名注冊服務(wù)機構(gòu)在提供互聯(lián)網(wǎng)接入服務(wù)、域名解析服務(wù)時，應(yīng)在與用戶簽訂的服務(wù)協(xié)議、合同中告知用戶承擔(dān)的網(wǎng)絡(luò)安全保障責(zé)任。各方共同努力將木馬和僵尸網(wǎng)絡(luò)處置機制落到實處，創(chuàng)造和維護良好的公共網(wǎng)絡(luò)環(huán)境。問：互聯(lián)網(wǎng)用戶應(yīng)該如何配合木馬和僵尸網(wǎng)絡(luò)的處置工作？如果對處置工作有異議，如何解決？一是互聯(lián)網(wǎng)用戶應(yīng)提高網(wǎng)絡(luò)安全意識，積極配合電信業(yè)務(wù)經(jīng)營者或域名服務(wù)提供者，簽署服務(wù)協(xié)議或合同；二是按照協(xié)議或合同的要求，積極配合、及時清除計算機上存在的木馬和僵尸網(wǎng)絡(luò)惡意代

6、碼；三是不斷提高網(wǎng)絡(luò)安全技術(shù)防范水平，做好預(yù)防工作，防止自身的計算機感染木馬和僵尸網(wǎng)絡(luò)惡意代碼。木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制第十條、十一條規(guī)定，CNCERT、基礎(chǔ)電信運營企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構(gòu)、國內(nèi)域名注冊服務(wù)機構(gòu)應(yīng)保護用戶正當權(quán)益，規(guī)范處置流程，建立用戶申訴機制，同時留存木馬和僵尸網(wǎng)絡(luò)相關(guān)數(shù)據(jù)或資料以備查驗，數(shù)據(jù)或資料保存時間為60天。因此，如果互聯(lián)網(wǎng)用戶對木馬和僵尸網(wǎng)絡(luò)的處置工作有異議，可以通過以上單位建立的用戶申訴機制進行解決。問：什么樣的情況下，移交公安機關(guān)處理？多數(shù)情況下，感染木馬和僵尸網(wǎng)絡(luò)惡意代碼的用戶也是受害者，這類用戶應(yīng)積極配合有關(guān)部門清除惡意代碼。但對于涉嫌犯罪的木馬和

7、僵尸網(wǎng)絡(luò)事件，將報請公安機關(guān)依法調(diào)查處理。問：為什么要與非經(jīng)營性互聯(lián)單位協(xié)作？互聯(lián)網(wǎng)是沒有邊界的，非經(jīng)營性互聯(lián)單位網(wǎng)內(nèi)的木馬和僵尸網(wǎng)絡(luò)也會對整個互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全造成威脅，同樣可以對經(jīng)營性互聯(lián)單位網(wǎng)內(nèi)的用戶發(fā)起惡意攻擊等，因此，木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制第十六條規(guī)定，CNCERT應(yīng)與非經(jīng)營性互聯(lián)單位合作，協(xié)調(diào)非經(jīng)營性互聯(lián)單位處置其網(wǎng)內(nèi)木馬和僵尸網(wǎng)絡(luò)。問：互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法解決了哪些問題？互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法主要解決信息通報工作中“誰來報信息”、“報什么信息”、“怎么報信息”、“我能得到什么信息”的問題?！罢l來報信息”，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法中規(guī)定信息報送單位包括：

8、通信管理局、基礎(chǔ)電信業(yè)務(wù)經(jīng)營者、跨省經(jīng)營的增值電信業(yè)務(wù)經(jīng)營者、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱CNCERT）、互聯(lián)網(wǎng)域名注冊管理機構(gòu)、互聯(lián)網(wǎng)域名注冊服務(wù)機構(gòu)、中國互聯(lián)網(wǎng)協(xié)會。同時為了拓展網(wǎng)絡(luò)安全信息獲取渠道，規(guī)定CNCERT應(yīng)與網(wǎng)絡(luò)安全研究機構(gòu)、網(wǎng)絡(luò)安全技術(shù)支撐單位、非經(jīng)營性互聯(lián)單位、網(wǎng)絡(luò)安全企業(yè)、國際網(wǎng)絡(luò)安全組織等廣泛合作。只有信息來源多才能更全面地掌握網(wǎng)絡(luò)安全整體狀況，才能對網(wǎng)絡(luò)安全形勢有更準確的判斷，對網(wǎng)絡(luò)安全工作起到更好的指導(dǎo)作用?！皥笫裁葱畔ⅰ?，由于不同單位的網(wǎng)絡(luò)安全工作有不同的側(cè)重點，因此互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法針對每個單位的特點規(guī)定了報送信息的內(nèi)容，具體信息報送

9、項目在附件中列出?！霸趺磮笮畔ⅰ保畔笏蛦挝话凑栈ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法規(guī)定的事件分類分級標準，以及相應(yīng)的報送時間和報送單位的要求，及時報送信息?！拔夷艿玫绞裁葱畔ⅰ保ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法中突出強調(diào)了“信息共享”，對信息通報進行了明確的規(guī)定。信息報送單位不僅僅只是報送信息，更能從中獲得更多有價值的網(wǎng)絡(luò)安全信息，這將幫助信息報送單位進一步做好本單位的網(wǎng)絡(luò)安全工作。問：兩個部門文件起草的過程是怎樣的？在這兩個文件的制定過程中，我們?nèi)婵偨Y(jié)了木馬和僵尸網(wǎng)絡(luò)處置、信息通報相關(guān)工作的經(jīng)驗，多次與相關(guān)單位、人員溝通，召開專題研討會，走訪了多家網(wǎng)絡(luò)安全企業(yè)，成立了相關(guān)單位和專家組成的起草工作組，形成征求意見稿后，征求了工業(yè)和信息化部政策法規(guī)司、電信管理局