《信息安全技術 惡意軟件事件預防和處理指南-編制說明》

《信息安全技術惡意軟件事件預防和處理指南》編制說明

一、任務來源

《信息安全技術惡意軟件事件預防和處理指南》是全國信息安全標準化技術委員會

2011年度信息安全專項中標準制訂項目之一。屬2011年度下達的國家標準制定項目。

二、研究目標

《信息安全技術惡意軟件事件預防和處理指南》的制定旨在參照NISTSP800-83：Guide

toMalwareIncidentPreventionandHandling，并結(jié)合我國惡意軟件事件預防和處理實踐，制

定一個我國惡意軟件事件預防和處理指南的標準。

三、國內(nèi)外標準制定情況

3.1國際現(xiàn)狀

早在1991年，CARO（計算機反病毒研究組織）的創(chuàng)始人員就制定了一套應用于反病

毒（AV）產(chǎn)品的計算機病毒的命名規(guī)則。如今，相對于現(xiàn)在的應用來說，CARO的命名規(guī)

則已經(jīng)顯得稍微有點過時了，但是它仍然是大多數(shù)反病毒公司曾采用過的唯一標準。2005

年10月份，美國計算機緊急反應小組(US-CERT，TheUnitedStatesComputerEmergency

ReadinessTeam)正式啟動名為CME（CommonMalwareEnumeration）的項目。該項目的目

的是為每個惡意軟件指定一個唯一的標識符，從而幫助用戶識別系統(tǒng)遭受的攻擊。

2005年7月，微軟、賽門鐵克、組合國際（CA）、McAfee及Yahoo!等廠商組成反間諜

軟件聯(lián)盟（Anti-SpywareCoalition，縮寫為ASC）。ASC目的是共同為間諜軟件的定義、解

決爭議的通用程序和協(xié)同防御措施而努力，以幫助全球用戶抵御日漸猖獗的網(wǎng)絡威脅。ASC

在惡意軟件的定義和標準方面與各方進行了廣泛討論和深入研究，并形成一系列的標準和指

導文檔，其中主要有如下文檔：

（1）反間諜軟件產(chǎn)品測試指南；

（2）反間諜聯(lián)盟風險模型描述；

（3）最佳作法：潛在有害程序評估指南；

（4）沖突辨認與解決程序。

2008年2月，賽門鐵克、趨勢科技、熊貓安全等電腦安全廠商和超過40位全球的安全

軟件技術專家以及反惡意軟件測試者集聚到了西班牙的畢爾巴鄂，正式宣布成立“反惡意軟

件測試標準組織”（Anti-MalwareTestingStandardsOrganization，縮寫為AMTSO）。AMTSO

的目的在于頒布全球通用的反惡意軟件測試標準和準則，以及推出反惡意軟件工具的審核方

針。根據(jù)其初步章程，AMTSO將具有如下職責：

（1）提供一個論壇，討論反惡意軟件測試的相關問題及相關產(chǎn)品；

（2）制定并公布一套客觀的標準和進行反惡意軟件及相關產(chǎn)品測試的最佳方案；

（3）促進對反惡意軟件及相關產(chǎn)品測試的培訓和方案認知；

（4）提供工具和資源以支持基于標準的測試方法；

（5）提供現(xiàn)有和將來的反惡意軟件及相關產(chǎn)品的分析審查報告。

此外，哈佛大學法學院伯克曼社會與網(wǎng)絡中心與牛津大學互聯(lián)網(wǎng)學院聯(lián)合成立了阻止不

良軟件聯(lián)盟（StopBadware）。S是一個致力于消除惡意軟件的非盈利組織，它

成立宗旨是“互聯(lián)網(wǎng)的守望相助”。它對用戶舉報的惡意軟件進行了詳細的分類評價，系統(tǒng)

的研究保證了結(jié)果的科學性和權(quán)威性。Stopbadware的工作主要包括三方面：發(fā)布惡意軟件

的警告、建立傳播惡意軟件站點的數(shù)據(jù)庫和發(fā)布針對惡意軟件的研究報告。

目前國際上已制定出的惡意軟件事件預防和處理方面的標準和規(guī)范主要如下：

（1）2004年1月，美國國家標準與技術協(xié)會NIST制定了SP800-61：《計算機安全事

件處理指南》，并于2008年3月發(fā)布了該標準的修訂版。在該標準的第五章，專門就惡意代

碼事件的處理進行了詳細論述；

（2）2005年11月，美國國家標準與技術協(xié)會NIST制定了SP800-83：《惡意軟件事件

預防和處理指南》。該標準重點就惡意軟件分類、惡意軟件事件預防和惡意軟件事件響應進

行了詳細描述和說明；

（3）2006年9月，美國亞利桑那州制定了P800–S860：《病毒和惡意代碼防護》。該

標準的目的是建立全州病毒和惡意代碼保護的要求，以保障互聯(lián)網(wǎng)、IT控件和重要的敏感

信息的安全；

（4）2007年7月，ISO發(fā)布了ISOPS014：《惡意軟件防護》。該指南針對惡意軟件威

脅，就管理人員標準、技術標準和軟件標準等三方面需要遵循的要求進行了簡單說明；

（5）2007年9月，美國國家安全局（NSA）發(fā)布了《解決惡意代碼風險指南》。本標

準分析如何減少將惡意代碼進入軟件和軟件系統(tǒng)中的可能性，以減少惡意代碼的產(chǎn)生。為便

于理解，該標準還分析了不同環(huán)境特點下和場景下惡意代碼可能出現(xiàn)的情況；

（6）2008年3月，美國俄亥俄州制定了ITP-B.4：《IT安全策略惡意代碼安全》。該規(guī)

范重點說明了防范惡意代碼的威脅需要采取的安全策略和措施，從而確保信息系統(tǒng)和計算機

的安全；

（7）2008年3月，美國俄亥俄州發(fā)布了《惡意代碼安全白皮書》，該白皮書在ITP-B.4

的基礎上，對惡意代碼需要采取的安全策略和措施進行了進一步的分析和說明；

（8）2008年4月，ITU發(fā)布了ITU-T-X.1207：《電信服務商解決間諜軟件風險指南》。

該標準主要為電信服務商提供抵抗惡意軟件威脅的實施建議和針對使用者的廣泛教育，使電

信服務商能更好的應對間諜軟件。

（9）2013年7月，美國國家標準與技術協(xié)會NIST制定了SP800-83r1：《惡意軟件事

件預防和處理指南》。該標準重點就惡意軟件分類、惡意軟件事件預防和惡意軟件事件響應

進行了詳細描述和說明；

3.2國內(nèi)現(xiàn)狀

為了防治惡意軟件的威脅，國內(nèi)眾多安全廠商（比如說金山、瑞星、江民、奇虎等）先

后推出了反惡意軟件工具。

同時，為了對各廠商的反惡意軟件產(chǎn)品提供檢測和認證，1996年12月，我國成立了計算

機病毒防治產(chǎn)品檢驗中心。2000年8月，在計算機病毒防治產(chǎn)品檢驗中心的基礎上，我國建

立了國家計算機病毒應急處理中心，該中心的主要工作任務是充分調(diào)動國內(nèi)防病毒力量，快

速發(fā)現(xiàn)病毒疫情，快速發(fā)應，快速處置，防止計算機病毒對我國的計算機網(wǎng)絡和信息系統(tǒng)造

成重大破壞。

此外，近年來國內(nèi)也先后成立了國家互聯(lián)網(wǎng)應急中心、中國反惡意軟件聯(lián)盟、中國反流

氓軟件聯(lián)盟（軟件行為用戶監(jiān)督聯(lián)盟）、互聯(lián)網(wǎng)軟件自律聯(lián)盟、網(wǎng)絡不良信息與垃圾信息舉

報受理中心、中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調(diào)工作組等惡意軟件防范相關組織。

在惡意軟件標準化方面，國內(nèi)也進行了一些研究，主要如下：

1

2006年10月，中國互聯(lián)網(wǎng)協(xié)會成立反惡意軟件協(xié)調(diào)工作組以共同研究惡意軟件判別標

準，并于2006年11月公布了“惡意軟件”的定義，認為惡意軟件是指在未明確提示用戶或

未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權(quán)益的軟件，

但不包含我國法律法規(guī)規(guī)定的計算機病毒。

2007年6月中國互聯(lián)網(wǎng)協(xié)會又公布了《“惡意軟件定義”細則》，該細則對強制安裝，

難以卸載，瀏覽器劫持，廣告彈出，惡意收集用戶信息，惡意卸載，惡意捆綁，其他侵犯用

戶知情權(quán)和選擇權(quán)的惡意行為等八種現(xiàn)象進行了詳細解釋說明，認為只要涉及任意一項，便

可以被認定為惡意軟件。該標準的制定對于推動行業(yè)自律、規(guī)范市場競爭、遏制惡意軟件的

傳播具有一定的積極意義，但中國互聯(lián)網(wǎng)協(xié)會只是一個民間組織，權(quán)威性不高，同時，由于

其描述的惡意軟件的行為過于籠統(tǒng)，已引起了很大的爭論，導致其無法適用于現(xiàn)在的互聯(lián)網(wǎng)

的管理。特別是該判定標準并不包括計算機病毒、木馬、蠕蟲、rootkit等惡意軟件，因此該

標準的制定并不全面，需要進一步的研究和完善。

同時，中國科學院研究生院國家計算機網(wǎng)絡入侵中心2008年承擔了全國信息安全標準

化技術委員會國家標準研究項目“惡意軟件防范技術相關標準研究”。該課題的研究目標

主要是對惡意軟件防范技術相關標準進行基礎研究，進而確立惡意軟件防范技術標準體系

框架，明確今后需要制定哪些標準及各標準主要內(nèi)容。

此外，我國公安部也制定和公布了一些惡意軟件方面的標準，具體如下：

（1）1996年4月，公安部發(fā)布了GA135-1996：《DOS操作系統(tǒng)環(huán)境中計算機病毒防治

產(chǎn)品測試方法》，該標準對有關術語進行了定義，規(guī)定了計算機病毒防治產(chǎn)品的測試環(huán)境、

測試步驟、測試內(nèi)容及功能測試方法，適用于國內(nèi)銷售的計算機病毒防治產(chǎn)品；

（2）2000年3月，公安部發(fā)布了GA243-2000：《計算機病毒防治產(chǎn)品評級準則》，該

標準規(guī)定了計算機病毒防治產(chǎn)品的定義、參檢要求、檢測及評級方法，適用于計算機病毒防

治產(chǎn)品的檢測和評級；

（3）2006年1月，公安部發(fā)布了MSTL_JGF_04-0220101——2006：《信息安全技術網(wǎng)

際惡意代碼控制產(chǎn)品檢驗規(guī)范》，該規(guī)范規(guī)定了網(wǎng)際惡意代碼控制產(chǎn)品的安全功能要求和安

全保證要求，適應于網(wǎng)際惡意代碼控制產(chǎn)品的開發(fā)及檢測。

四、主要工作過程

4.1標準立項

2011年12月，《信息安全技術惡意軟件事件預防和處理指南》被全國信息安全標準化

技術委員會正式立項，定性為國家推薦性標準。中國科學院研究生院國家計算機網(wǎng)絡入侵防

范中心隨即正式成立標準編制組。

4.2標準制定的主要工作過程

1)2011年12月成立了以中國科學院大學國家計算機網(wǎng)絡入侵防范中心主任張玉清

為負責人和主筆的《信息安全技術惡意軟件事件預防和處理指南》標準編寫組。

2)2012年1月起，標準編制組開始研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟

件系列標準，重點研究標準中的惡意軟件事件預防和處理機制，研究、分析NISTSP800-83：

《GuidetoMalwareIncidentPreventionandHandling》。編制了《惡意軟件事件預防和處理指

2

南》草案（第一稿）。

3)2016年10年18日，參加安標委WG7工作組專家審查會，《信息安全技術惡意

軟件事件預防和處理指南》進行了審查。出席審查會的專家包括組長楊建軍、副組長閔京華

等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處

理表），形成并提交《信息安全技術惡意軟件事件預防和處理指南》草案（第一稿）。

4)2017年4年8日，參加安標委WG7工作組專家審查會，《信息安全技術惡意軟

件事件預防和處理指南》通過了審查。出席審查會的專家包括組長楊建軍、副組長閔京華等，

以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處理表），

形成并提交《信息安全技術惡意軟件事件預防和處理指南》草案（第二稿）。

5)2018年4年16日，參加安標委WG7工作組專家審查會，《信息安全技術惡意

軟件事件預防和處理指南》通過了審查。出席審查會的專家包括組長楊建軍、副組長閔京華

等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處

理表），形成征求意見稿。

4.3標準的主要內(nèi)容

研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟件系列標準，重點研究標準中的惡意軟

件事件預防和處理機制，研究、分析NISTSP800-83：《Gu