工業(yè)和信息化部 關于印發(fā)《木馬和僵尸網(wǎng)絡監(jiān)測與處置機制》的通知 工信部保[2009]157號 　　各省、自治區(qū)、直轄市通信管理局、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、中國互聯(lián)網(wǎng)絡信息中心、政府和公益機構域名注冊管理中心、部電信研究院、中國互聯(lián)網(wǎng)協(xié)會、中國電信集團公司、中國移動通信集團公司、中國聯(lián)合網(wǎng)絡通信集團有限公司、其他相關單位： 為防范和處置木馬和僵尸網(wǎng)絡引發(fā)的網(wǎng)絡安全隱患，凈化公共互聯(lián)網(wǎng)環(huán)境，維護我國公共互聯(lián)網(wǎng)安全，制定《木馬和僵尸網(wǎng)絡監(jiān)測與處置機制》，現(xiàn)印發(fā)給你們，請遵照執(zhí)行。 聯(lián)系人：付景廣 010－66022774 二〇〇九年四月十三日 木馬和僵尸網(wǎng)絡監(jiān)測與處置機制 第一條 為有效防范和處置木馬和僵尸網(wǎng)絡引發(fā)的網(wǎng)絡安全隱患，規(guī)范監(jiān)測和處置行為，凈化網(wǎng)絡環(huán)境，維護我國公共互聯(lián)網(wǎng)安全，依據(jù)《中華人民共和國電信條例》、《互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》，制定本辦法。 第二條 木馬是指由攻擊者安裝在受害者計算機上秘密運行并用于竊取信息及遠程控制的程序。僵尸網(wǎng)絡是指由攻擊者通過控制服務器控制的受害計算機群。木馬和僵尸網(wǎng)絡對網(wǎng)絡信息安全造成危害和威脅，是造成個人隱私泄露、失泄密、垃圾郵件和大規(guī)模拒絕服務攻擊的重要原因。 第三條 本辦法適用于對危害公共互聯(lián)網(wǎng)安全的木馬和僵尸網(wǎng)絡控制端（以下簡稱木馬和僵尸網(wǎng)絡）及其使用的IP地址和惡意域名的監(jiān)測和處置。 第四條 工業(yè)和信息化部指導、組織、監(jiān)督全國木馬和僵尸網(wǎng)絡的監(jiān)測和處置工作。工業(yè)和信息化部通信保障局（以下簡稱通信保障局）負責具體工作。 各省、自治區(qū)、直轄市通信管理局（以下簡稱通信管理局）指導、組織、監(jiān)督本行政區(qū)域內(nèi)木馬和僵尸網(wǎng)絡的監(jiān)測和處置工作。 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（以下簡稱CNCERT）受通信保障局委托，負責對木馬和僵尸網(wǎng)絡的規(guī)模、類型、活躍程度、危害等情況進行監(jiān)測、匯總、分析、核實，組織開展通報工作，協(xié)調(diào)處置木馬和僵尸網(wǎng)絡IP地址和惡意域名。 基礎電信運營企業(yè)負責對本單位網(wǎng)內(nèi)木馬和僵尸網(wǎng)絡進行監(jiān)測、核實，對CNCERT匯總通報的涉及本單位的木馬和僵尸網(wǎng)絡進行處置和反饋。 互聯(lián)網(wǎng)域名注冊管理機構負責對CNCERT通報的由自身管理的惡意域名進行處置。對于由國內(nèi)互聯(lián)網(wǎng)域名注冊服務機構注冊的由境外域名注冊管理機構管理的域名，由CNCERT直接協(xié)調(diào)國內(nèi)互聯(lián)網(wǎng)域名注冊服務機構進行處置。 第五條 基礎電信運營企業(yè)、互聯(lián)網(wǎng)接入服務提供商、IDC服務提供商、互聯(lián)網(wǎng)域名注冊管理機構、國內(nèi)互聯(lián)網(wǎng)域名注冊服務機構在提供互聯(lián)網(wǎng)接入服務、域名解析服務時，應在與用戶簽訂的服務協(xié)議、合同中告知用戶承擔的網(wǎng)絡安全保障責任。 第六條 CNCERT、基礎電信運營企業(yè)應不斷提高木馬和僵尸網(wǎng)絡的監(jiān)測能力。CNCERT、基礎電信運營企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內(nèi)互聯(lián)網(wǎng)域名注冊服務機構應建立健全本單位的處置機制，協(xié)同配合、快速處置，共同做好木馬和僵尸網(wǎng)絡的監(jiān)測和處置工作。 第七條 木馬和僵尸網(wǎng)絡事件分為特別重大、重大、較大、一般共四級。 特別重大事件：涉及全國范圍或省級行政區(qū)域，單個木馬和僵尸網(wǎng)絡規(guī)模超過100萬個IP地址，對社會造成特別重大影響。 重大事件：涉及全國范圍或省級行政區(qū)域，同一時期存在一個或多個木馬和僵尸網(wǎng)絡，總規(guī)模超過50萬個IP地址，對社會造成重大影響。 較大事件：涉及全國范圍或省級行政區(qū)域，同一時期存在一個或多個木馬和僵尸網(wǎng)絡，總規(guī)模超過10萬個IP地址，對社會造成較大影響。 一般事件：涉及全國范圍或省級行政區(qū)域，發(fā)生木馬和僵尸網(wǎng)絡事件，對社會造成一定影響，但未造成上述后果。 通信保障局負責對分級規(guī)范進行修訂。 第八條 監(jiān)測和通報： （一）CNCERT、基礎電信運營企業(yè)負責對木馬和僵尸網(wǎng)絡進行監(jiān)測。 （二）基礎電信運營企業(yè)按照本機制第七條對監(jiān)測到的事件進行分級，特別重大、重大、較大事件應在發(fā)現(xiàn)后2小時內(nèi)報送通信保障局，同時抄報CNCERT；一般事件應在發(fā)現(xiàn)后5個工作日內(nèi)報送CNCERT。 報送內(nèi)容包括：控制端IP地址、端口、發(fā)現(xiàn)時間及其使用的惡意域名。 （三）CNCERT匯總自主監(jiān)測、基礎電信運營企業(yè)報送和從其他渠道收集的事件，進行綜合分析、分級。對于特別重大、重大、較大事件，CNCERT應在2小時內(nèi)向通信保障局報告，并及時通報相關通信管理局。通信保障局認為必要時，組織有關單位和專家進行研判。事件情況及研判結果由通信保障局直接或委托CNCERT通報相關單位。對于一般事件，CNCERT應在發(fā)現(xiàn)后5個工作日內(nèi)通報相關單位。 事件通報內(nèi)容包括： 1、威脅較大的木馬和僵尸網(wǎng)絡IP地址、端口、發(fā)現(xiàn)時間、所屬基礎電信運營企業(yè)。 2、木馬和僵尸網(wǎng)絡使用的惡意域名。 3、木馬和僵尸網(wǎng)絡的規(guī)模和潛在危害。 監(jiān)測和通報流程圖見附件一。 第九條 處置和反饋： 基礎電信運營企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、互聯(lián)網(wǎng)域名注冊服務機構接到CNCERT木馬和僵尸網(wǎng)絡事件通報后，應按如下流程處理： （一）通知與木馬和僵尸網(wǎng)絡IP地址和惡意域名相關的具體用戶進行清除，并跟蹤用戶處置情況。 對于域名注冊信息不真實、不準確、不完整的，互聯(lián)網(wǎng)域名注冊管理機構、互聯(lián)網(wǎng)域名注冊服務機構根據(jù)《中國互聯(lián)網(wǎng)域名管理辦法》有關規(guī)定進行處置。 （二）反饋用戶的處置情況。特別重大、重大、較大事件的處置情況應在接到事件通報后4小時內(nèi)向CNCERT反饋，一般事件的處置情況應在5個工作日內(nèi)向CNCERT反饋。 反饋內(nèi)容包括：用戶已處置的IP地址和惡意域名、單位名稱、用戶未處置的IP地址和惡意域名及未處置的原因。 （三）監(jiān)測單位驗證處置情況。 對于CNCERT自主監(jiān)測的事件，由CNCERT對處置情況進行驗證。特別重大、重大、較大事件應在接到處置單位反饋后2小時內(nèi)向處置單位反饋驗證結果，一般事件應在5個工作日內(nèi)反饋驗證結果。 對于基礎電信運營企業(yè)監(jiān)測到的事件由基礎電信運營企業(yè)自行驗證。特別重大、重大、較大事件應在接到CNCERT事件通報后6小時內(nèi)向CNCERT反饋驗證結果，一般事件應在10個工作日內(nèi)向CNCERT反饋驗證結果。 （四）對于未處置或經(jīng)驗證仍存在惡意連接的木馬和僵尸網(wǎng)絡IP地址和惡意域名，按如下方式處置： 對于重要信息系統(tǒng)單位，向通信保障局反饋用戶相關情況，抄報CNCERT，由通信保障局或當?shù)赝ㄐ殴芾砭謺嫱ㄖ渲鞴懿块T。 對于其他單位用戶和個人用戶，應依據(jù)與用戶簽署的服務協(xié)議、合同等進行處置。 （五）對于特別重大、重大、較大事件的處置情況，CNCERT應在接到處置單位反饋后2小時內(nèi)向通信保障局和相關通信管理局反饋處置結果，一般事件處置情況由CNCERT每月匯總，按照互聯(lián)網(wǎng)網(wǎng)絡安全信息通報有關辦法通報監(jiān)測和處置情況。 處置和反饋流程見附件二。 第十條 CNCERT、基礎電信運營企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內(nèi)互聯(lián)網(wǎng)域名注冊服務機構應留存木馬和僵尸網(wǎng)絡相關數(shù)據(jù)或資料以備查驗。數(shù)據(jù)或資料保存時間為60天。 第十一條 CNCERT、基礎電信運營企業(yè)、互聯(lián)網(wǎng)域名注冊管理機構、國內(nèi)域名注冊服務機構應保護用戶正當權益，規(guī)范處置流程，建立用戶申訴機制，妥善解決用戶爭議。 第十二條 通信保障局通過會商制度，組織相關單位和專家研討木馬和僵尸網(wǎng)絡相關問題及其應對策略。 第十三條 事件通報和反饋應按照統(tǒng)一表格以書面方式報送（報送格式見附件三）。緊急情況下，可以先電話聯(lián)系，后補表格。 第十四條 對于國家舉辦重要活動等特殊時期，對木馬和僵尸網(wǎng)絡監(jiān)測和處置工作另有要求的，從其規(guī)定。 第十五條 相關單位應將本單位木馬和僵尸網(wǎng)絡監(jiān)測和處置工作主管領導，責任部門負責人、聯(lián)系人、聯(lián)系方式報送通信保障局，抄送CNCERT。以上信息發(fā)生變更，應在3個工作日內(nèi)報送變更情況。 第十六條 CNCERT應與非經(jīng)營性互聯(lián)單位合作，協(xié)調(diào)非經(jīng)營性互聯(lián)單位處置其網(wǎng)內(nèi)木馬和僵尸網(wǎng)絡；應與網(wǎng)絡安全研究機構、網(wǎng)絡安全技術支撐單位、網(wǎng)絡安全企業(yè)、病毒廠商等單位合作，建立研究、分析機制。 本機制中非經(jīng)營性互聯(lián)單位指中國教育和科研計算機網(wǎng)、中國科技網(wǎng)、中國國際經(jīng)濟貿(mào)易網(wǎng)、中國長城互聯(lián)網(wǎng)。 第十七條 對于涉嫌犯罪的木馬和僵尸網(wǎng)絡事件，應報請公安機關依法調(diào)查處理。 第十八條 通信管理局應參照本辦法制定本行政區(qū)域內(nèi)木馬和僵尸網(wǎng)絡監(jiān)測和處置機制。 基礎電信運營企業(yè)集團公司應督促本單位省級公司按照當?shù)赝ㄐ殴芾砭忠螅皶r反饋木馬和僵尸網(wǎng)絡事件監(jiān)測處置情況，接受當?shù)赝ㄐ殴芾砭值谋O(jiān)督管理。 第十九條 本辦法中重要信息系統(tǒng)指政府部門、軍隊以及銀行、海關、稅務、電力、鐵路、證券、保險、民航等關系國計民生的重要行業(yè)使用的信息系統(tǒng)。 第二十條 本辦法自2009年6月1日起實施。 附件一：監(jiān)測和通報流程圖（略） 附件二：處置和反饋流程圖（略） 附件三：事件通報表格（略） 附件四：聯(lián)系方式 （1）通信保障局 主管領導： 熊四皓 010-66069910 聯(lián) 系 人： 閆宏強 010-66069895，13011881107 付景廣 010-66022774，13701353949 （2）工業(yè)和信息化部24小時值班電話：010-66014249 （3）CNCERT 主管領導：云曉春 010－82990501 聯(lián) 系 人：孫蔚敏 010－82990103 13911218086 溫森浩 010－82990680 13810059765 CNCERT 24小時值班電話：010－82990999