聯(lián)網(wǎng)軟件安全行為規(guī)范編制說明樣本

《聯(lián)網(wǎng)軟件安全行為規(guī)范》編制說明《聯(lián)網(wǎng)軟件安全行為規(guī)范》編制項目組二〇一〇年十二月目錄目錄 21 原則范疇 32 工作簡況 32.1 任務(wù)來源及項目構(gòu)成員 32.2 重要工作過程 33 原則制定目和意義 54 原則編制原則 55 聯(lián)網(wǎng)軟件分析及原則重要內(nèi)容擬定 66 與國內(nèi)外原則關(guān)系 67 原則性質(zhì)建議闡明 78 貫徹原則規(guī)定和辦法建議 7原則范疇本原則重要規(guī)定聯(lián)網(wǎng)軟件運(yùn)營機(jī)制規(guī)定、聯(lián)網(wǎng)規(guī)定、惡意行為防范、運(yùn)營安全四個方面規(guī)定。本原則合用于使用過程中需要接入互聯(lián)網(wǎng)各種軟件（包括需要接入互聯(lián)網(wǎng)智能手機(jī)等移動終端軟件）。工作簡況任務(wù)來源及項目構(gòu)成員本行業(yè)原則制定任務(wù)列入工業(yè)和信息化部《第二批通信行業(yè)原則項目籌劃》，項目序號為H301。本原則由工業(yè)和信息化部提出，由中華人民共和國通信原則化協(xié)會歸口。該原則由中華人民共和國軟件評測中心牽頭，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)解決協(xié)調(diào)中心、北京大學(xué)計算機(jī)科學(xué)技術(shù)研究所和中華人民共和國互聯(lián)網(wǎng)協(xié)會等單位參加制定。重要工作過程接到原則編制任務(wù)后，中華人民共和國軟件評測中心迅速組建了原則編制項目組，制定了工作籌劃，明確了工作重點(diǎn)和進(jìn)程安排。6月—8月，對國內(nèi)外狀況進(jìn)行了調(diào)研，理解了國內(nèi)外有關(guān)技術(shù)研究狀況，以及有關(guān)原則和規(guī)范制定狀況。同步，對大量聯(lián)網(wǎng)軟件服務(wù)功能、運(yùn)營模式、聯(lián)網(wǎng)特點(diǎn)、運(yùn)營管理以及也許導(dǎo)致影響等方面進(jìn)行了研究分析，發(fā)現(xiàn)了聯(lián)網(wǎng)軟件中存在安全問題。9月—10月，在前期調(diào)研基本上，編制完畢《聯(lián)網(wǎng)軟件安全行為規(guī)范》（草稿）。11月—12月，原則草案完畢后，召開了專家討論會，討論會由中華人民共和國軟件評測中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)解決協(xié)調(diào)中心、北京大學(xué)計算機(jī)科學(xué)技術(shù)研究所和中華人民共和國互聯(lián)網(wǎng)協(xié)會等單位專家和技術(shù)人員參加，提出修改意見。修改完善原則草案，形成了《聯(lián)網(wǎng)軟件安全行為規(guī)范》（征求意見稿）。1月—2月，原則征求意見稿通過函審方式征求了多位業(yè)內(nèi)專家意見，征求意見范疇重要涉及：倪光南（中華人民共和國工程院院士）、胡小明（中華人民共和國信息協(xié)會副會長）、寧家駿（原國家信息中心首席工程師）、魏來（中華人民共和國移動網(wǎng)絡(luò)安所有經(jīng)理）等專家，以及北京神州綠盟科技有限公司、北京啟明星辰信息技術(shù)有限公司、聯(lián)想網(wǎng)御科技有限公司等。3月，針對專家意見進(jìn)行了研究、分析和采納，形成《聯(lián)網(wǎng)軟件安全行為規(guī)范》（送審稿）。3月25日，《聯(lián)網(wǎng)軟件安全行為規(guī)范》（送審稿）提交TC8WG3第21次會議進(jìn)行審查。6月11日，《聯(lián)網(wǎng)軟件安全行為規(guī)范》（送審稿）提交TC8WG3第22次會議進(jìn)行了審查。12月2日，《聯(lián)網(wǎng)軟件安全行為規(guī)范》（送審稿）提交TC8WG3第24次會議進(jìn)行了審查。會后對專家提出意見進(jìn)行了研究、分析和采納，并組織項目構(gòu)成員對原則再次字斟句酌，原則送審稿通過TC8WG3三次會議審核，參加審核單位有國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)解決協(xié)調(diào)中心、中華人民共和國電信集團(tuán)公司、中華人民共和國移動通信集團(tuán)公司、工業(yè)和信息化部電信研究院、華為技術(shù)有限公司、北京郵電大學(xué)、中華人民共和國科學(xué)院計算技術(shù)研究所、中華人民共和國移動通信集團(tuán)設(shè)計院有限公司、中華人民共和國互聯(lián)網(wǎng)絡(luò)信息中心、中訊郵電征詢設(shè)計院有限公司、中興通訊股份有限公司、國防科學(xué)技術(shù)大學(xué)計算機(jī)學(xué)院、北京傲盾軟件有限責(zé)任公司、北京神州綠盟科技有限公司、武漢郵電科學(xué)研究院、大唐電信科技產(chǎn)業(yè)集團(tuán)、杭州華三通信技術(shù)有限公司等。1月28日，工信部科技司、通信保障局和軟件服務(wù)業(yè)司共同組織召開了《聯(lián)網(wǎng)軟件安全行為規(guī)范》（報批稿）原則研討會，參會重要是軟件廠商和有關(guān)專家，進(jìn)一步對原則提出意見，參加單位有百度公司、騰訊公司、瑞星公司、金山軟件公司、酷六網(wǎng)、酷狗音樂、啟明星辰公司、杭州核心軟件公司、中華人民共和國通信原則協(xié)會、中華人民共和國軟件評測中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)解決協(xié)調(diào)中心、北京大學(xué)計算機(jī)科學(xué)技術(shù)研究所、中華人民共和國互聯(lián)網(wǎng)協(xié)會、電信研究院等單位。會議上對原則提出了某些建議。會后對軟件廠商和專家提出建議進(jìn)行了研究，對原則進(jìn)行了修訂，形成《聯(lián)網(wǎng)軟件安全行為規(guī)范》（報批稿）最后版本原則制定目和意義隨著互聯(lián)網(wǎng)應(yīng)用日益廣泛，各種應(yīng)用軟件使用過程中需接入互聯(lián)網(wǎng)已成為一種普遍特點(diǎn)。某些自由軟件，如播放軟件暴風(fēng)影音、下載軟件迅雷、即時通信軟件QQ/MSN、安全衛(wèi)士360等，擁有海量顧客資源特點(diǎn)，足以左右國內(nèi)網(wǎng)絡(luò)通信穩(wěn)定，對其影響不可小覷。當(dāng)前，國內(nèi)對具備海量顧客聯(lián)網(wǎng)軟件沒有準(zhǔn)入制度，自由下載使用，無安全評測，處在無管理狀態(tài)。這些軟件運(yùn)營過程中，存在諸多安全隱患，如有關(guān)服務(wù)器通過免費(fèi)DNS解析服務(wù)完畢，無規(guī)范、無日記，無法進(jìn)行事后追蹤；某些聯(lián)網(wǎng)軟件在顧客使用過程中提供某些強(qiáng)制服務(wù)，存在流氓軟件特性；軟件對互聯(lián)網(wǎng)資源使用機(jī)制不當(dāng)?shù)?。這些安全隱患在一定條件下也許引起公共網(wǎng)絡(luò)癱瘓，釀成安全事件，給廣大互聯(lián)網(wǎng)顧客導(dǎo)致不可預(yù)計損失。近來發(fā)生暴風(fēng)影音5.19事件是其存在安全隱患必然暴露。針對聯(lián)網(wǎng)軟件安全問題，當(dāng)前尚沒有有關(guān)政策文獻(xiàn)或原則對其進(jìn)行管理和約束，處在無管理狀態(tài)，這對于國家公共基本設(shè)施將是一種嚴(yán)重安全隱患。咱們迫切需要制定相應(yīng)原則，約束和管理聯(lián)網(wǎng)自由軟件行為，禁止網(wǎng)絡(luò)濫用，減少或盡量避免安全風(fēng)險，減少安全事故發(fā)生，減少損失，營造一種健康、有序互聯(lián)網(wǎng)應(yīng)用環(huán)境。原則編制原則（1）科學(xué)性原則編制建立在客觀基本上，通過充分調(diào)研、科學(xué)分析和必要驗證，使原則內(nèi)容科學(xué)、合理，符合國家有關(guān)原則基本規(guī)定，滿足聯(lián)網(wǎng)軟件安全行為自律規(guī)定。（2）合用性依照聯(lián)網(wǎng)軟件詳細(xì)特點(diǎn)，以軟件接入互聯(lián)網(wǎng)也許產(chǎn)生威脅和風(fēng)險為出發(fā)點(diǎn)和研究核心，制定其安全行為規(guī)范，保證原則具備較好合用性和可操作性，廣泛合用于不同應(yīng)用聯(lián)網(wǎng)軟件。聯(lián)網(wǎng)軟件分析及原則重要內(nèi)容擬定對大量聯(lián)網(wǎng)軟件從服務(wù)功能、運(yùn)營模式、聯(lián)網(wǎng)特點(diǎn)、運(yùn)營管理以及也許導(dǎo)致影響等方面進(jìn)行了研究分析，發(fā)現(xiàn)了諸多問題，如：? 運(yùn)營過程中存在顧客無法干預(yù)行為，如開機(jī)自動運(yùn)營，關(guān)閉后仍有某些進(jìn)程未關(guān)閉，顧客不能調(diào)節(jié)軟件占有資源，強(qiáng)制更新，沒有有關(guān)提示信息等；? 聯(lián)網(wǎng)機(jī)制存在問題，沒有最大網(wǎng)絡(luò)連接數(shù)和連接頻次限制，服務(wù)器端沒有設(shè)立最大連接數(shù)和單個顧客并發(fā)數(shù)；? 異常狀況下沒有解決辦法，如網(wǎng)絡(luò)堵塞、多次連接失敗，軟件沒有應(yīng)對辦法；? ? 軟件或有關(guān)服務(wù)網(wǎng)站存在安全漏洞，軟件商未進(jìn)行安全檢測；? 支持軟件運(yùn)營基本設(shè)施存在安全隱患，如DNS服務(wù)器存在安全漏洞；? 軟件廠商未制定安全事件應(yīng)急解決辦法。對發(fā)現(xiàn)安全問題進(jìn)行歸納和分析，有針對性提出防護(hù)辦法，對聯(lián)網(wǎng)軟件從運(yùn)營機(jī)制規(guī)定、聯(lián)網(wǎng)規(guī)定、惡意行為防范和運(yùn)營安全四個方面進(jìn)行規(guī)范和規(guī)定。對聯(lián)網(wǎng)軟件啟動關(guān)閉、運(yùn)營和更新機(jī)制等進(jìn)行安全規(guī)定，對軟件資源控制、異常解決和安全控制進(jìn)行安全規(guī)定，對軟件安裝卸載和運(yùn)營行為進(jìn)行限制，以及對軟件廠商安全保障辦法進(jìn)行規(guī)范。與國內(nèi)外原則關(guān)系國內(nèi)外尚未出臺專門針對聯(lián)網(wǎng)軟件安全行為原則和規(guī)范。1997年6月，中華人民共和國互聯(lián)網(wǎng)協(xié)會發(fā)布了《“惡意軟件定義”細(xì)則》，對軟件強(qiáng)制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集顧客信息、惡意卸載、惡意捆綁、其她侵犯顧客知情權(quán)和選取權(quán)惡意行為等八種現(xiàn)象進(jìn)行了定義和闡明。此細(xì)則重要闡明了軟件對顧客惡意行為，沒有闡明軟件對國家公共網(wǎng)絡(luò)安全所產(chǎn)生影響。對《聯(lián)網(wǎng)軟件安全行為規(guī)范》制定具備參照意義。原則性質(zhì)建議闡明建議將該原則作為推薦性行業(yè)原則發(fā)布實行。貫徹原則規(guī)定和辦法建議由于當(dāng)前尚沒有有關(guān)政策文獻(xiàn)或原則對聯(lián)網(wǎng)軟件進(jìn)