《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》

1、PAGE 信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南工作組討論稿編制說(shuō)明中國(guó)科學(xué)院研究生國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心2016.6.03信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南編制說(shuō)明一、任務(wù)來(lái)源信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2011年度信息安全專項(xiàng)中標(biāo)準(zhǔn)制訂項(xiàng)目之一。屬2011年度下達(dá)的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。二、研究目標(biāo)信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南的制定旨在參照NIST SP800-83：Guide to Malware Incident Prevention and Handling，并結(jié)合我國(guó)惡意軟件事件預(yù)防和處理實(shí)踐，制定一個(gè)我國(guó)惡意軟件事件預(yù)

2、防和處理指南的標(biāo)準(zhǔn)。三、國(guó)內(nèi)外標(biāo)準(zhǔn)制定情況3.1 國(guó)際現(xiàn)狀早在1991年，CARO（計(jì)算機(jī)反病毒研究組織）的創(chuàng)始人員就制定了一套應(yīng)用于反病毒（AV）產(chǎn)品的計(jì)算機(jī)病毒的命名規(guī)則。如今，相對(duì)于現(xiàn)在的應(yīng)用來(lái)說(shuō)，CARO的命名規(guī)則已經(jīng)顯得稍微有點(diǎn)過(guò)時(shí)了，但是它仍然是大多數(shù)反病毒公司曾采用過(guò)的唯一標(biāo)準(zhǔn)。2005年10月份，美國(guó)計(jì)算機(jī)緊急反應(yīng)小組(US-CERT，The United States Computer Emergency Readiness Team)正式啟動(dòng)名為CME（Common Malware Enumeration）的項(xiàng)目。該項(xiàng)目的目的是為每個(gè)惡意軟件指定一個(gè)唯一的標(biāo)識(shí)符，從而幫助用

3、戶識(shí)別系統(tǒng)遭受的攻擊。2005年7月，微軟、賽門鐵克、組合國(guó)際（CA）、McAfee及Yahoo!等廠商組成反間諜軟件聯(lián)盟（Anti-Spyware Coalition，縮寫為ASC）。ASC目的是共同為間諜軟件的定義、解決爭(zhēng)議的通用程序和協(xié)同防御措施而努力，以幫助全球用戶抵御日漸猖獗的網(wǎng)絡(luò)威脅。ASC在惡意軟件的定義和標(biāo)準(zhǔn)方面與各方進(jìn)行了廣泛討論和深入研究，并形成一系列的標(biāo)準(zhǔn)和指導(dǎo)文檔，其中主要有如下文檔：（1）反間諜軟件產(chǎn)品測(cè)試指南；（2）反間諜聯(lián)盟風(fēng)險(xiǎn)模型描述；（3）最佳作法：潛在有害程序評(píng)估指南；（4）沖突辨認(rèn)與解決程序。2008年2月，賽門鐵克、趨勢(shì)科技、熊貓安全等電腦安全廠商和超過(guò)

4、40位全球的安全軟件技術(shù)專家以及反惡意軟件測(cè)試者集聚到了西班牙的畢爾巴鄂，正式宣布成立“反惡意軟件測(cè)試標(biāo)準(zhǔn)組織”（Anti-Malware Testing Standards Organization，縮寫為AMTSO）。AMTSO的目的在于頒布全球通用的反惡意軟件測(cè)試標(biāo)準(zhǔn)和準(zhǔn)則，以及推出反惡意軟件工具的審核方針。根據(jù)其初步章程，AMTSO將具有如下職責(zé)： （1）提供一個(gè)論壇，討論反惡意軟件測(cè)試的相關(guān)問(wèn)題及相關(guān)產(chǎn)品； （2）制定并公布一套客觀的標(biāo)準(zhǔn)和進(jìn)行反惡意軟件及相關(guān)產(chǎn)品測(cè)試的最佳方案；（3）促進(jìn)對(duì)反惡意軟件及相關(guān)產(chǎn)品測(cè)試的培訓(xùn)和方案認(rèn)知； （4）提供工具和資源以支持基于標(biāo)準(zhǔn)的測(cè)試方法；（5

5、）提供現(xiàn)有和將來(lái)的反惡意軟件及相關(guān)產(chǎn)品的分析審查報(bào)告。此外，哈佛大學(xué)法學(xué)院伯克曼社會(huì)與網(wǎng)絡(luò)中心與牛津大學(xué)互聯(lián)網(wǎng)學(xué)院聯(lián)合成立了阻止不良軟件聯(lián)盟（StopBadware）。S是一個(gè)致力于消除惡意軟件的非盈利組織，它成立宗旨是“互聯(lián)網(wǎng)的守望相助”。它對(duì)用戶舉報(bào)的惡意軟件進(jìn)行了詳細(xì)的分類評(píng)價(jià)，系統(tǒng)的研究保證了結(jié)果的科學(xué)性和權(quán)威性。Stopbadware的工作主要包括三方面：發(fā)布惡意軟件的警告、建立傳播惡意軟件站點(diǎn)的數(shù)據(jù)庫(kù)和發(fā)布針對(duì)惡意軟件的研究報(bào)告。目前國(guó)際上已制定出的惡意軟件事件預(yù)防和處理方面的標(biāo)準(zhǔn)和規(guī)范主要如下：（1）2004年1月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)NIST制定了

6、SP800-61：計(jì)算機(jī)安全事件處理指南，并于2008年3月發(fā)布了該標(biāo)準(zhǔn)的修訂版。在該標(biāo)準(zhǔn)的第五章，專門就惡意代碼事件的處理進(jìn)行了詳細(xì)論述；（2）2005年11月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)NIST制定了SP800-83：惡意軟件事件預(yù)防和處理指南。該標(biāo)準(zhǔn)重點(diǎn)就惡意軟件分類、惡意軟件事件預(yù)防和惡意軟件事件響應(yīng)進(jìn)行了詳細(xì)描述和說(shuō)明；（3）2006年9月，美國(guó)亞利桑那州制定了P800S860 ：病毒和惡意代碼防護(hù)。該標(biāo)準(zhǔn)的目的是建立全州病毒和惡意代碼保護(hù)的要求，以保障互聯(lián)網(wǎng)、IT控件和重要的敏感信息的安全；（4）2007年7月，ISO發(fā)布了ISO PS014：惡意軟件防護(hù)。該指南針對(duì)惡意軟件威脅，就管

7、理人員標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和軟件標(biāo)準(zhǔn)等三方面需要遵循的要求進(jìn)行了簡(jiǎn)單說(shuō)明；（5）2007年9月，美國(guó)國(guó)家安全局（NSA）發(fā)布了解決惡意代碼風(fēng)險(xiǎn)指南。本標(biāo)準(zhǔn)分析如何減少將惡意代碼進(jìn)入軟件和軟件系統(tǒng)中的可能性，以減少惡意代碼的產(chǎn)生。為便于理解，該標(biāo)準(zhǔn)還分析了不同環(huán)境特點(diǎn)下和場(chǎng)景下惡意代碼可能出現(xiàn)的情況；（6）2008年3月，美國(guó)俄亥俄州制定了ITP-B.4：IT安全策略 惡意代碼安全。該規(guī)范重點(diǎn)說(shuō)明了防范惡意代碼的威脅需要采取的安全策略和措施，從而確保信息系統(tǒng)和計(jì)算機(jī)的安全；（7）2008年3月，美國(guó)俄亥俄州發(fā)布了惡意代碼安全白皮書，該白皮書在ITP-B.4的基礎(chǔ)上，對(duì)惡意代碼需要采取的安全策略和措施進(jìn)

8、行了進(jìn)一步的分析和說(shuō)明；（8）2008年4月，ITU發(fā)布了ITU-T-X.1207：電信服務(wù)商解決間諜軟件風(fēng)險(xiǎn)指南。該標(biāo)準(zhǔn)主要為電信服務(wù)商提供抵抗惡意軟件威脅的實(shí)施建議和針對(duì)使用者的廣泛教育，使電信服務(wù)商能更好的應(yīng)對(duì)間諜軟件。（9）2013年7月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)NIST制定了SP800-83 r1：惡意軟件事件預(yù)防和處理指南。該標(biāo)準(zhǔn)重點(diǎn)就惡意軟件分類、惡意軟件事件預(yù)防和惡意軟件事件響應(yīng)進(jìn)行了詳細(xì)描述和說(shuō)明；3.2 國(guó)內(nèi)現(xiàn)狀為了防治惡意軟件的威脅，國(guó)內(nèi)眾多安全廠商（比如說(shuō)金山、瑞星、江民、奇虎等）先后推出了反惡意軟件工具。同時(shí)，為了對(duì)各廠商的反惡意軟件產(chǎn)品提供檢測(cè)和認(rèn)證，1996年12月

9、，我國(guó)成立了計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心。2000年8月，在計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心的基礎(chǔ)上，我國(guó)建立了國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，該中心的主要工作任務(wù)是充分調(diào)動(dòng)國(guó)內(nèi)防病毒力量，快速發(fā)現(xiàn)病毒疫情，快速發(fā)應(yīng)，快速處置，防止計(jì)算機(jī)病毒對(duì)我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)造成重大破壞。此外，近年來(lái)國(guó)內(nèi)也先后成立了國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、中國(guó)反惡意軟件聯(lián)盟、中國(guó)反流氓軟件聯(lián)盟（軟件行為用戶監(jiān)督聯(lián)盟）、互聯(lián)網(wǎng)軟件自律聯(lián)盟、網(wǎng)絡(luò)不良信息與垃圾信息舉報(bào)受理中心、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反惡意軟件協(xié)調(diào)工作組等惡意軟件防范相關(guān)組織。在惡意軟件標(biāo)準(zhǔn)化方面，國(guó)內(nèi)也進(jìn)行了一些研究，主要如下：2006年10月，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)成立反惡意軟件協(xié)

10、調(diào)工作組以共同研究惡意軟件判別標(biāo)準(zhǔn)，并于2006年11月公布了 “惡意軟件”的定義，認(rèn)為惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。2007年6月中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)又公布了“惡意軟件定義”細(xì)則，該細(xì)則對(duì)強(qiáng)制安裝，難以卸載，瀏覽器劫持，廣告彈出，惡意收集用戶信息，惡意卸載，惡意捆綁，其他侵犯用戶知情權(quán)和選擇權(quán)的惡意行為等八種現(xiàn)象進(jìn)行了詳細(xì)解釋說(shuō)明，認(rèn)為只要涉及任意一項(xiàng)，便可以被認(rèn)定為惡意軟件。該標(biāo)準(zhǔn)的制定對(duì)于推動(dòng)行業(yè)自律、規(guī)范市場(chǎng)競(jìng)爭(zhēng)、遏制惡意軟件的傳播具有一定的積極意義，但中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)只是一個(gè)

11、民間組織，權(quán)威性不高，同時(shí)，由于其描述的惡意軟件的行為過(guò)于籠統(tǒng)，已引起了很大的爭(zhēng)論，導(dǎo)致其無(wú)法適用于現(xiàn)在的互聯(lián)網(wǎng)的管理。特別是該判定標(biāo)準(zhǔn)并不包括計(jì)算機(jī)病毒、木馬、蠕蟲、rootkit等惡意軟件，因此該標(biāo)準(zhǔn)的制定并不全面，需要進(jìn)一步的研究和完善。同時(shí)，中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵中心2008年承擔(dān)了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)國(guó)家標(biāo)準(zhǔn)研究項(xiàng)目 “惡意軟件防范技術(shù)相關(guān)標(biāo)準(zhǔn)研究”。該課題的研究目標(biāo)主要是對(duì)惡意軟件防范技術(shù)相關(guān)標(biāo)準(zhǔn)進(jìn)行基礎(chǔ)研究，進(jìn)而確立惡意軟件防范技術(shù)標(biāo)準(zhǔn)體系框架，明確今后需要制定哪些標(biāo)準(zhǔn)及各標(biāo)準(zhǔn)主要內(nèi)容。此外，我國(guó)公安部也制定和公布了一些惡意軟件方面的標(biāo)準(zhǔn)，具體如下：（1）1

12、996年4月，公安部發(fā)布了GA 135-1996：DOS操作系統(tǒng)環(huán)境中計(jì)算機(jī)病毒防治產(chǎn)品測(cè)試方法，該標(biāo)準(zhǔn)對(duì)有關(guān)術(shù)語(yǔ)進(jìn)行了定義，規(guī)定了計(jì)算機(jī)病毒防治產(chǎn)品的測(cè)試環(huán)境、測(cè)試步驟、測(cè)試內(nèi)容及功能測(cè)試方法，適用于國(guó)內(nèi)銷售的計(jì)算機(jī)病毒防治產(chǎn)品；（2）2000年3月，公安部發(fā)布了GA 243-2000：計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則，該標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)病毒防治產(chǎn)品的定義、參檢要求、檢測(cè)及評(píng)級(jí)方法，適用于計(jì)算機(jī)病毒防治產(chǎn)品的檢測(cè)和評(píng)級(jí)；（3）2006年1月，公安部發(fā)布了MSTL_JGF_04-022 01012006：信息安全技術(shù) 網(wǎng)際惡意代碼控制產(chǎn)品檢驗(yàn)規(guī)范，該規(guī)范規(guī)定了網(wǎng)際惡意代碼控制產(chǎn)品的安全功能要求和安全

13、保證要求，適應(yīng)于網(wǎng)際惡意代碼控制產(chǎn)品的開發(fā)及檢測(cè)。四、主要工作過(guò)程4.1標(biāo)準(zhǔn)立項(xiàng)2011年12月，信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南被全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式立項(xiàng)，定性為國(guó)家推薦性標(biāo)準(zhǔn)。中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心隨即正式成立標(biāo)準(zhǔn)編制組。4.2標(biāo)準(zhǔn)制定的主要工作過(guò)程2011年12月成立了以中國(guó)科學(xué)院大學(xué)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心主任張玉清為負(fù)責(zé)人和主筆的信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南標(biāo)準(zhǔn)編寫組。2012年1月起，標(biāo)準(zhǔn)編制組開始研究惡意軟件動(dòng)態(tài)和發(fā)展趨勢(shì)，研究分析惡意軟件系列標(biāo)準(zhǔn)，重點(diǎn)研究標(biāo)準(zhǔn)中的惡意軟件事件預(yù)防和處理機(jī)制，研究、分析NIST SP 800

14、-83：Guide to Malware Incident Prevention and Handling。編制了惡意軟件事件預(yù)防和處理指南草案（第一稿）。2016年10年18日，參加安標(biāo)委WG7工作組專家審查會(huì)，信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南進(jìn)行了審查。出席審查會(huì)的專家包括組長(zhǎng)楊建軍、副組長(zhǎng)閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會(huì)專家意見進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），形成并提交信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南草案（第一稿）。2017年4年8日，參加安標(biāo)委WG7工作組專家審查會(huì)，信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南通過(guò)了審查。出席審查會(huì)的專家包括組長(zhǎng)楊建軍

15、、副組長(zhǎng)閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會(huì)專家意見進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），形成并提交信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南草案（第二稿）。2018年4年16日，參加安標(biāo)委WG7工作組專家審查會(huì)，信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南通過(guò)了審查。出席審查會(huì)的專家包括組長(zhǎng)楊建軍、副組長(zhǎng)閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會(huì)專家意見進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），形成征求意見稿。4.3標(biāo)準(zhǔn)的主要內(nèi)容研究惡意軟件動(dòng)態(tài)和發(fā)展趨勢(shì)，研究分析惡意軟件系列標(biāo)準(zhǔn)，重點(diǎn)研究標(biāo)準(zhǔn)中的惡意軟件事件預(yù)防和處理機(jī)制，研究、分析NIST SP 800-83：Guide to Malware Incident Prevention and Handling。并最終編制了惡意軟件事件預(yù)防和處理指南，內(nèi)容包括：前 言引 言1 范圍2 規(guī)范性引用