《信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南-編制說明》

《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》編制說明

一、任務(wù)來源

《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》是全國信息安全標準化技術(shù)委員會

2011年度信息安全專項中標準制訂項目之一。屬2011年度下達的國家標準制定項目。

二、研究目標

《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》的制定旨在參照NISTSP800-83：Guide

toMalwareIncidentPreventionandHandling，并結(jié)合我國惡意軟件事件預(yù)防和處理實踐，制

定一個我國惡意軟件事件預(yù)防和處理指南的標準。

三、國內(nèi)外標準制定情況

3.1國際現(xiàn)狀

早在1991年，CARO（計算機反病毒研究組織）的創(chuàng)始人員就制定了一套應(yīng)用于反病

毒（AV）產(chǎn)品的計算機病毒的命名規(guī)則。如今，相對于現(xiàn)在的應(yīng)用來說，CARO的命名規(guī)

則已經(jīng)顯得稍微有點過時了，但是它仍然是大多數(shù)反病毒公司曾采用過的唯一標準。2005

年10月份，美國計算機緊急反應(yīng)小組(US-CERT，TheUnitedStatesComputerEmergency

ReadinessTeam)正式啟動名為CME（CommonMalwareEnumeration）的項目。該項目的目

的是為每個惡意軟件指定一個唯一的標識符，從而幫助用戶識別系統(tǒng)遭受的攻擊。

2005年7月，微軟、賽門鐵克、組合國際（CA）、McAfee及Yahoo!等廠商組成反間諜

軟件聯(lián)盟（Anti-SpywareCoalition，縮寫為ASC）。ASC目的是共同為間諜軟件的定義、解

決爭議的通用程序和協(xié)同防御措施而努力，以幫助全球用戶抵御日漸猖獗的網(wǎng)絡(luò)威脅。ASC

在惡意軟件的定義和標準方面與各方進行了廣泛討論和深入研究，并形成一系列的標準和指

導(dǎo)文檔，其中主要有如下文檔：

（1）反間諜軟件產(chǎn)品測試指南；

（2）反間諜聯(lián)盟風(fēng)險模型描述；

（3）最佳作法：潛在有害程序評估指南；

（4）沖突辨認與解決程序。

2008年2月，賽門鐵克、趨勢科技、熊貓安全等電腦安全廠商和超過40位全球的安全

軟件技術(shù)專家以及反惡意軟件測試者集聚到了西班牙的畢爾巴鄂，正式宣布成立“反惡意軟

件測試標準組織”（Anti-MalwareTestingStandardsOrganization，縮寫為AMTSO）。AMTSO

的目的在于頒布全球通用的反惡意軟件測試標準和準則，以及推出反惡意軟件工具的審核方

針。根據(jù)其初步章程，AMTSO將具有如下職責(zé)：

（1）提供一個論壇，討論反惡意軟件測試的相關(guān)問題及相關(guān)產(chǎn)品；

（2）制定并公布一套客觀的標準和進行反惡意軟件及相關(guān)產(chǎn)品測試的最佳方案；

（3）促進對反惡意軟件及相關(guān)產(chǎn)品測試的培訓(xùn)和方案認知；

（4）提供工具和資源以支持基于標準的測試方法；

（5）提供現(xiàn)有和將來的反惡意軟件及相關(guān)產(chǎn)品的分析審查報告。

此外，哈佛大學(xué)法學(xué)院伯克曼社會與網(wǎng)絡(luò)中心與牛津大學(xué)互聯(lián)網(wǎng)學(xué)院聯(lián)合成立了阻止不

良軟件聯(lián)盟（StopBadware）。S是一個致力于消除惡意軟件的非盈利組織，它

成立宗旨是“互聯(lián)網(wǎng)的守望相助”。它對用戶舉報的惡意軟件進行了詳細的分類評價，系統(tǒng)

的研究保證了結(jié)果的科學(xué)性和權(quán)威性。Stopbadware的工作主要包括三方面：發(fā)布惡意軟件

的警告、建立傳播惡意軟件站點的數(shù)據(jù)庫和發(fā)布針對惡意軟件的研究報告。

目前國際上已制定出的惡意軟件事件預(yù)防和處理方面的標準和規(guī)范主要如下：

（1）2004年1月，美國國家標準與技術(shù)協(xié)會NIST制定了SP800-61：《計算機安全事

件處理指南》，并于2008年3月發(fā)布了該標準的修訂版。在該標準的第五章，專門就惡意代

碼事件的處理進行了詳細論述；

（2）2005年11月，美國國家標準與技術(shù)協(xié)會NIST制定了SP800-83：《惡意軟件事件

預(yù)防和處理指南》。該標準重點就惡意軟件分類、惡意軟件事件預(yù)防和惡意軟件事件響應(yīng)進

行了詳細描述和說明；

（3）2006年9月，美國亞利桑那州制定了P800–S860：《病毒和惡意代碼防護》。該

標準的目的是建立全州病毒和惡意代碼保護的要求，以保障互聯(lián)網(wǎng)、IT控件和重要的敏感

信息的安全；

（4）2007年7月，ISO發(fā)布了ISOPS014：《惡意軟件防護》。該指南針對惡意軟件威

脅，就管理人員標準、技術(shù)標準和軟件標準等三方面需要遵循的要求進行了簡單說明；

（5）2007年9月，美國國家安全局（NSA）發(fā)布了《解決惡意代碼風(fēng)險指南》。本標

準分析如何減少將惡意代碼進入軟件和軟件系統(tǒng)中的可能性，以減少惡意代碼的產(chǎn)生。為便

于理解，該標準還分析了不同環(huán)境特點下和場景下惡意代碼可能出現(xiàn)的情況；

（6）2008年3月，美國俄亥俄州制定了ITP-B.4：《IT安全策略惡意代碼安全》。該規(guī)

范重點說明了防范惡意代碼的威脅需要采取的安全策略和措施，從而確保信息系統(tǒng)和計算機

的安全；

（7）2008年3月，美國俄亥俄州發(fā)布了《惡意代碼安全白皮書》，該白皮書在ITP-B.4

的基礎(chǔ)上，對惡意代碼需要采取的安全策略和措施進行了進一步的分析和說明；

（8）2008年4月，ITU發(fā)布了ITU-T-X.1207：《電信服務(wù)商解決間諜軟件風(fēng)險指南》。

該標準主要為電信服務(wù)商提供抵抗惡意軟件威脅的實施建議和針對使用者的廣泛教育，使電

信服務(wù)商能更好的應(yīng)對間諜軟件。

（9）2013年7月，美國國家標準與技術(shù)協(xié)會NIST制定了SP800-83r1：《惡意軟件事

件預(yù)防和處理指南》。該標準重點就惡意軟件分類、惡意軟件事件預(yù)防和惡意軟件事件響應(yīng)

進行了詳細描述和說明；

3.2國內(nèi)現(xiàn)狀

為了防治惡意軟件的威脅，國內(nèi)眾多安全廠商（比如說金山、瑞星、江民、奇虎等）先

后推出了反惡意軟件工具。

同時，為了對各廠商的反惡意軟件產(chǎn)品提供檢測和認證，1996年12月，我國成立了計算

機病毒防治產(chǎn)品檢驗中心。2000年8月，在計算機病毒防治產(chǎn)品檢驗中心的基礎(chǔ)上，我國建

立了國家計算機病毒應(yīng)急處理中心，該中心的主要工作任務(wù)是充分調(diào)動國內(nèi)防病毒力量，快

速發(fā)現(xiàn)病毒疫情，快速發(fā)應(yīng)，快速處置，防止計算機病毒對我國的計算機網(wǎng)絡(luò)和信息系統(tǒng)造

成重大破壞。

此外，近年來國內(nèi)也先后成立了國家互聯(lián)網(wǎng)應(yīng)急中心、中國反惡意軟件聯(lián)盟、中國反流

氓軟件聯(lián)盟（軟件行為用戶監(jiān)督聯(lián)盟）、互聯(lián)網(wǎng)軟件自律聯(lián)盟、網(wǎng)絡(luò)不良信息與垃圾信息舉

報受理中心、中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調(diào)工作組等惡意軟件防范相關(guān)組織。

在惡意軟件標準化方面，國內(nèi)也進行了一些研究，主要如下：

1

2006年10月，中國互聯(lián)網(wǎng)協(xié)會成立反惡意軟件協(xié)調(diào)工作組以共同研究惡意軟件判別標

準，并于2006年11月公布了“惡意軟件”的定義，認為惡意軟件是指在未明確提示用戶或

未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權(quán)益的軟件，

但不包含我國法律法規(guī)規(guī)定的計算機病毒。

2007年6月中國互聯(lián)網(wǎng)協(xié)會又公布了《“惡意軟件定義”細則》，該細則對強制安裝，

難以卸載，瀏覽器劫持，廣告彈出，惡意收集用戶信息，惡意卸載，惡意捆綁，其他侵犯用

戶知情權(quán)和選擇權(quán)的惡意行為等八種現(xiàn)象進行了詳細解釋說明，認為只要涉及任意一項，便

可以被認定為惡意軟件。該標準的制定對于推動行業(yè)自律、規(guī)范市場競爭、遏制惡意軟件的

傳播具有一定的積極意義，但中國互聯(lián)網(wǎng)協(xié)會只是一個民間組織，權(quán)威性不高，同時，由于

其描述的惡意軟件的行為過于籠統(tǒng)，已引起了很大的爭論，導(dǎo)致其無法適用于現(xiàn)在的互聯(lián)網(wǎng)

的管理。特別是該判定標準并不包括計算機病毒、木馬、蠕蟲、rootkit等惡意軟件，因此該

標準的制定并不全面，需要進一步的研究和完善。

同時，中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵中心2008年承擔(dān)了全國信息安全標準

化技術(shù)委員會國家標準研究項目“惡意軟件防范技術(shù)相關(guān)標準研究”。該課題的研究目標

主要是對惡意軟件防范技術(shù)相關(guān)標準進行基礎(chǔ)研究，進而確立惡意軟件防范技術(shù)標準體系

框架，明確今后需要制定哪些標準及各標準主要內(nèi)容。

此外，我國公安部也制定和公布了一些惡意軟件方面的標準，具體如下：

（1）1996年4月，公安部發(fā)布了GA135-1996：《DOS操作系統(tǒng)環(huán)境中計算機病毒防治

產(chǎn)品測試方法》，該標準對有關(guān)術(shù)語進行了定義，規(guī)定了計算機病毒防治產(chǎn)品的測試環(huán)境、

測試步驟、測試內(nèi)容及功能測試方法，適用于國內(nèi)銷售的計算機病毒防治產(chǎn)品；

（2）2000年3月，公安部發(fā)布了GA243-2000：《計算機病毒防治產(chǎn)品評級準則》，該

標準規(guī)定了計算機病毒防治產(chǎn)品的定義、參檢要求、檢測及評級方法，適用于計算機病毒防

治產(chǎn)品的檢測和評級；

（3）2006年1月，公安部發(fā)布了MSTL_JGF_04-0220101——2006：《信息安全技術(shù)網(wǎng)

際惡意代碼控制產(chǎn)品檢驗規(guī)范》，該規(guī)范規(guī)定了網(wǎng)際惡意代碼控制產(chǎn)品的安全功能要求和安

全保證要求，適應(yīng)于網(wǎng)際惡意代碼控制產(chǎn)品的開發(fā)及檢測。

四、主要工作過程

4.1標準立項

2011年12月，《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》被全國信息安全標準化

技術(shù)委員會正式立項，定性為國家推薦性標準。中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防

范中心隨即正式成立標準編制組。

4.2標準制定的主要工作過程

1)2011年12月成立了以中國科學(xué)院大學(xué)國家計算機網(wǎng)絡(luò)入侵防范中心主任張玉清

為負責(zé)人和主筆的《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》標準編寫組。

2)2012年1月起，標準編制組開始研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟

件系列標準，重點研究標準中的惡意軟件事件預(yù)防和處理機制，研究、分析NISTSP800-83：

《GuidetoMalwareIncidentPreventionandHandling》。編制了《惡意軟件事件預(yù)防和處理指

2

南》草案（第一稿）。

3)2016年10年18日，參加安標委WG7工作組專家審查會，《信息安全技術(shù)惡意

軟件事件預(yù)防和處理指南》進行了審查。出席審查會的專家包括組長楊建軍、副組長閔京華

等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處

理表），形成并提交《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》草案（第一稿）。

4)2017年4年8日，參加安標委WG7工作組專家審查會，《信息安全技術(shù)惡意軟

件事件預(yù)防和處理指南》通過了審查。出席審查會的專家包括組長楊建軍、副組長閔京華等，

以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處理表），

形成并提交《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》草案（第二稿）。

5)2018年4年16日，參加安標委WG7工作組專家審查會，《信息安全技術(shù)惡意

軟件事件預(yù)防和處理指南》通過了審查。出席審查會的專家包括組長楊建軍、副組長閔京華

等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處

理表），形成征求意見稿。

4.3標準的主要內(nèi)容

研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟件系列標準，重點研究標準中的惡意軟

件事件預(yù)防和處理機制，研究、分析NISTSP800-83：《Gu