移動網際網路惡意程式監測與處置機制

移動網際網路惡意程式監測與處置機制

第一條 為淨化公共網際網路網路環境，保護用戶權益，維護網路安全，有效防範和處置移動網際網路惡意程式，依據《中華人民共和國電信條例》、《公共網際網路網路安全應急預案》，制定本機制。
第二條 移動網際網路惡意程式是指運行於包括智慧型手機在內的具有移動通信功能的移動終端之上，存在竊聽用戶通話、竊取用戶信息、破壞用戶數據、擅自使用付費業務、傳送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害網際網路網路安全等惡意行為的電腦程式。
第三條 本機制適用於移動網際網路惡意程式及其傳播伺服器、控制伺服器的監測和處置。
第四條 工業和信息化部指導、組織、監督全國移動網際網路惡意程式的監測和處置工作。工業和信息化部通信保障局負責具體工作。
各省、自治區、直轄市通信管理局（以下簡稱通信管理局）指導、組織、監督本行政區域內移動網際網路惡意程式的監測和處置工作。
國家計算機網路應急技術處理協調中心（以下簡稱CNCERT）受工業和信息化部委託，負責對移動網際網路惡意程式樣本進行認定命名，對移動網際網路惡意程式進行監測、分析、通報，協調處置傳播伺服器、控制伺服器和攻擊源。
移動通信運營企業負責報送移動網際網路惡意程式疑似樣本，對CNCERT認定通報的移動網際網路惡意程式進行監測、處置和反饋，為本單位所服務的用戶提供信息提示和查殺技術諮詢。
網際網路域名註冊管理機構和註冊服務機構負責對CNCERT通報的由自身管理的惡意域名進行處置。
第五條 移動通信運營企業、網際網路接入服務提供商、IDC服務提供商、網際網路域名註冊管理機構、網際網路域名註冊服務機構在提供網際網路接入服務、託管服務、域名註冊解析等服務時，應在與用戶簽訂的服務協定、契約中約定用戶承擔的網路安全保障責任。
第六條 移動通信運營企業、CNCERT應不斷提高移動網際網路惡意程式的樣本捕獲和監測處置能力，建設完善相關技術平台。移動通信運營企業應具備覆蓋本企業網內的監測處置能力,CNCERT應具備跨不同企業移動網際網路的監測能力。
第七條 CNCERT、移動通信運營企業、網際網路域名註冊管理和服務機構應建立健全本單位的處置機制，加強協同配合，共同做好移動網際網路惡意程式的監測和處置工作。
第八條 移動網際網路惡意程式事件分為特別重大、重大、較大、一般共四級。
特別重大事件：單個移動網際網路惡意程式造成用戶通信費用損失累計超過一千萬元人民幣，或24小時內受感染用戶規模超過十萬個手機號碼，對社會造成特別重大影響。
重大事件：單個移動網際網路惡意程式造成用戶通信費用損失累計超過五百萬元人民幣，或24小時內受感染用戶規模超過五萬個手機號碼，對社會造成重大影響。
較大事件：單個移動網際網路惡意程式造成用戶通信費用損失累計超過一百萬元人民幣，或24小時內受感染用戶規模超過一萬個手機號碼，對社會造成較大影響。
一般事件：發生移動網際網路惡意程式事件，對社會造成一定影響，但未造成上述後果。
工業和信息化部負責對分級規範進行修訂。
第九條 樣本捕獲與認定命名
（一）移動通信運營企業自主捕獲或從其他渠道獲得疑似惡意程式樣本，應於發現後進行初步分析並提出命名建議，在3個工作日內將樣本和分析結果報送CNCERT（報送格式見附屬檔案一）。
（二）CNCERT匯總自主捕獲、移動通信運營企業報送和從其他渠道收集的疑似惡意程式樣本，依據《移動網際網路惡意程式描述格式》進行分析、認定和命名，將認定結果和處置建議在5個工作日內反饋各樣本報送單位和相關通信管理局（反饋格式見附屬檔案二）。
第十條 事件監測和通報
（一）CNCERT、移動通信運營企業負責對移動網際網路惡意程式進行監測。
（二）移動通信運營企業按照本機制第八條規定，對監測到的事件進行分級。特別重大、重大事件應在發現後2小時內報工業和信息化部，同時抄報相關通信管理局和CNCERT；較大事件應在發現後4小時內報送工業和信息化部，同時抄報相關通信管理局和CNCERT；一般事件應按約定電子接口方式報CNCERT匯總（較大以上事件報送格式見附屬檔案三）。
（三）CNCERT匯總自主監測、移動通信運營企業報送和從其他渠道收集的移動網際網路惡意程式事件，對事件情況開展綜合分析、分級。特別重大、重大事件應在發現後2小時內報工業和信息化部，同時抄報相關通信管理局；較大事件應在發現後4小時內報送工業和信息化部，同時抄報相關通信管理局。工業和信息化部認為必要時，組織有關單位和專家進行研判。事件情況及研判結果由工業和信息化部直接或委託CNCERT通報相關單位。一般事件由CNCERT每月匯總，按照網際網路網路安全信息通報辦法規定通報監測情況（較大以上事件通報格式見附屬檔案四）。
第十一條 事件處置和反饋
CNCERT、移動通信運營企業、網際網路域名註冊管理和服務機構應按如下要求進行處置：
（一）移動通信運營企業通過自有的移動網際網路惡意程式監測處置平台採取處置措施。對於特別重大、重大和較大事件，向本單位所服務的用戶提供信息提示和查殺技術諮詢。
（二）網際網路域名註冊管理機構和註冊服務機構對移動網際網路惡意程式控制伺服器和傳播伺服器使用的惡意域名進行處置。
（三）CNCERT對境外註冊的惡意域名進行協調處置。
（四）反饋事件的處置情況。特別重大、重大事件的處置情況應在接到事件通報後2小時內向CNCERT反饋；較大事件的處置情況應在接到事件通報後4小時內向CNCERT反饋；一般事件的處置情況應按月度匯總後以電子表格形式向CNCERT反饋（較大以上事件反饋格式見附屬檔案五）。
（五）CNCERT驗證處置情況。特別重大、重大事件應在接到處置單位反饋後2小時內向工業和信息化部、相關通信管理局和處置單位反饋驗證結果；較大事件應在接到處置單位反饋後4小時內向工業和信息化部、相關通信管理局和處置單位反饋驗證結果；一般事件無需驗證。
第十二條 CNCERT、移動通信運營企業、網際網路域名註冊管理機構和註冊服務機構應留存所監測和處置的移動網際網路惡意程式相關數據或資料以備查驗。數據或資料保存時間為60天。
第十三條 CNCERT、移動通信運營企業、網際網路域名註冊管理機構和註冊服務機構應保護用戶正當權益，加強用戶信息保護，規範處置流程，建立用戶投訴機制，妥善解決用戶爭議。
第十四條 工業和信息化部建立會商制度，組織相關單位和專家研討移動網際網路惡意程式相關問題及應對策略。
第十五條 較大以上事件通報和反饋應按照統一表格以書面方式報送，緊急情況下，可以先通過電話、電子郵件等方式聯繫，後補書面材料。
第十六條 對於國家舉辦重要活動等特殊時期，對移動網際網路惡意程式監測和處置工作另有要求的，從其規定。
第十七條 相關單位應將本單位移動網際網路惡意程式監測和處置工作主管領導和責任部門負責人、聯繫人、聯繫方式報送工業和信息化部，抄送CNCERT。以上信息發生變更，應在3個工作日內報送變更情況。
第十八條 對於涉嫌製作、傳播惡意程式或利用惡意程式牟利的移動網際網路服務提供商及其他合作夥伴等，移動通信運營企業應依據雙方簽訂的契約，對其進行處理，並報當地通信管理局依法處罰。對於涉嫌犯罪的事件，應報請公安機關依法調查處理。
第十九條 各單位開展信息報送應遵循及時、客觀、準確、完整的原則，不得遲報、謊報、瞞報和漏報。工業和信息化部定期對各單位信息報送情況進行通報。
第二十條 各通信管理局應依據本機制落實本行政區域內相關工作。
第二十一條 本機制自2012年1月1日起執行。

權威解讀

近日，工業和信息化部印發了《移動網際網路惡意程式監測與處置機制》（以下簡稱《機制》），這是工業和信息化部首次出台移動網際網路網路安全管理方面的規範性檔案，引起了業界的廣泛關注。為了解《機制》出台的背景和主要內容，記者採訪了工業和信息化部通信保障局負責人。

移動網際網路惡意程式是指運行在包括智慧型手機在內的具有移動通信功能的移動終端上，存在竊聽用戶電話、竊取用戶信息、破壞用戶數據、擅自使用付費業務、傳送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害網際網路網路安全等惡意行為的電腦程式。
移動網際網路惡意程式的內涵比手機病毒廣的多，如手機吸費軟體不屬於手機病毒，但屬於移動網際網路惡意程式。

近年來，移動網際網路快速發展，它方便用戶時時處處線上，極大地豐富了用戶的業務體驗，促進了產業發展轉型，但也帶來日益突出的網路安全問題。一方面，網際網路上原有的惡意程式傳播、遠程控制、網路攻擊等傳統網路安全威脅向移動網際網路快速蔓延。據中國反網路病毒聯盟（ANVA）統計，截至2011年10月，國內累計發現移動網際網路惡意程式4500餘種，並呈加速增長趨勢。2011年5月初，大量被“毒媒”惡意軟體控制的移動終端向江蘇某運營商業務網站發起拒絕服務攻擊，造成該網站一度癱瘓。另一方面，移動網際網路終端和業務與用戶個人利益的關聯度更高，惡意吸費、用戶信息竊取、誘騙欺詐等惡意行為的影響和危害十分突出。據國家計算機網路應急技術處理協調中心（CNCERT）抽樣監測顯示，感染“手機骷髏”惡意程式的手機被控制大量傳送彩信，誘騙其他手機用戶下載，造成被感染手機產生大量通信費用。用戶手機一旦被植入“x臥底”惡意軟體，手機通話內容、簡訊、聯繫人等信息都會被竊取。
工業和信息化部作為網際網路行業主管部門，肩負維護公共網際網路安全、保護用戶利益的職責。為履行職責，遏制移動網際網路惡意程式泛濫的趨勢，指導移動通信運營企業、安全企業、域名服務機構、科研機構等相關方合力淨化網路環境，出台本《機制》。

一是適用範圍。《機制》適用於移動網際網路惡意程式及其控制伺服器、傳播伺服器的監測和處置。二是認定與命名。《機制》規定，依據《移動網際網路惡意程式描述格式》行業標準開展移動網際網路惡意程式的認定和命名工作，由各單位對惡意程式樣本進行初步分析，並將信息匯總到CNCERT,由CNCERT統一認定和命名。三是監測、處置與通報。移動通信運營企業負責本企業網內惡意程式的樣本捕獲、監測處置和事件通報，CNCERT負責惡意程式跨網監測、匯總通報和驗證企業處置結果。四是事件分級。根據移動網際網路惡意程式造成的用戶通信費用損失和每日受感染手機號碼數量劃分事件等級。五是技術能力建設。要求CNCERT具備跨不同公司網路的監測能力，移動通信運營企業應具備覆蓋本企業網內的監測處置能力。

一是《機制》規定，CNCERT認定惡意程式後，各單位根據認定結果各自開展監測，並對發現的惡意程式控制伺服器進行處理，切斷其對用戶手機的遠程控制，使用戶免受更大侵害。二是根據監測結果，發生較大及以上等級的惡意程式事件時，要求移動通信運營企業向本單位服務的手機用戶進行信息提示和查殺技術諮詢。三是對於涉嫌製作、傳播惡意程式或利用惡意程式牟利的移動網際網路服務供應商和其他合作夥伴，要求移動通信運營企業根據協定，對其進行處理，並報政府管理機構依法處罰，以打擊不法行為。

開展移動網際網路惡意程式監測處置工作，首先需要判斷哪些是惡意程式。在實踐中，很多應用程式往往不是“非黑即白”，而是存在大量灰色地帶難以界定。例如，一些收費手機遊戲軟體，在遊戲過程中，彈出確認提示，誘使用戶點擊，欺騙用戶付費。又比如，2009年5月19日發生的多省網際網路故障事件，雖然源於黑客攻擊，但某視頻播放軟體存在不安全設計是導致事件的直接原因。該軟體平時表現正常，僅在特殊條件下存在危害網路安全的行為。有了行業標準，就解決了惡意程式的判斷依據問題。其次，根據《移動網際網路惡意程式描述格式》統一命名標準，有利於各網路安全專業機構和企業共享信息，避免重複工作，減少技術資源浪費。

一是加強技術手段建設。目前移動通信運營企業和CNCERT監測處置移動網際網路惡意程式的技術手段還不完善，下一步，我部將督促指導各單位加強相關技術手段建設。
二是完善配套標準。開展移動網際網路惡意程式監測處置工作，亟需配套標準支撐。工業和信息化部正在組織中國通信標準化協會研究制訂《移動網際網路網路安全監測體系架構》、《移動網際網路網路安全監測技術要求》、《移動網際網路惡意程式疑似樣本報送接口規範》等行業標準。
三是加強用戶網路安全宣傳教育。如果把惡意程式比作“流行疫情”，消除疫情不能只靠政府和醫療機構，更需要病人的大力配合。智慧型手機用戶養成良好的手機使用習慣十分重要，如不打開不明來源的彩信、不瀏覽不良網站、主動升級手機軟體堵塞漏洞、安裝手機惡意程式查殺工具等。工業和信息化部將充分利用各種宣傳渠道，發揮媒體、網際網路企業、中國網際網路協會等單位的作用，廣泛宣傳移動網際網路安全知識，提高用戶安全意識和防範技能。

工業和信息化部於2010年委託CNCERT開展移動網際網路惡意程式治理機制研究，指導中國移動在江蘇、廣東兩地開展監測和處置試點，多次聽取試點情況匯報並實地調研，在此基礎上，制訂了《機制》（徵求意見稿）。之後，兩次徵求各地通信管理局，移動通信運營企業和中國網際網路信息中心等單位和專家的意見。不斷修改完善，形成《機制》發布稿。