近日,工業和信息化部印發了《移動互聯網惡意程序監測與處置機制》(以下簡稱《機制》),這是工業和信息化部首次出臺移動互聯網網絡安全管理方面的規範性文件,引起了業界的廣泛關注。為了解《機制》出臺的背景和主要內容,記者採訪了工業和信息化部通信保障局負責人。
一、什麼是移動互聯網惡意程序?
移動互聯網惡意程序是指運行在包括智慧手機在內的具有移動通信功能的移動終端上,存在竊聽用戶電話、竊取用戶信息、破壞用戶數據、擅自使用付費業務、發送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害互聯網網絡安全等惡意行為的計算機程序。
移動互聯網惡意程序的內涵比手機病毒廣的多,如手機吸費軟體不屬於手機病毒,但屬於移動互聯網惡意程序。
二、工業和信息化部為什麼要出臺《機制》?
近年來,移動互聯網快速發展,它方便用戶時時處處在線,極大地豐富了用戶的業務體驗,促進了産業發展轉型,但也帶來日益突出的網絡安全問題。一方面,互聯網上原有的惡意程序傳播、遠程控制、網絡攻擊等傳統網絡安全威脅向移動互聯網快速蔓延。據中國反網絡病毒聯盟(ANVA)統計,截至2011年10月,國內累計發現移動互聯網惡意程序4500余種,並呈加速增長趨勢。2011年5月初,大量被“毒媒”惡意軟體控制的移動終端向江蘇某運營商業務網站發起拒絕服務攻擊,造成該網站一度癱瘓。另一方面,移動互聯網終端和業務與用戶個人利益的關聯度更高,惡意吸費、用戶信息竊取、誘騙欺詐等惡意行為的影響和危害十分突出。據國家計算機網絡應急技術處理協調中心(CNCERT)抽樣監測顯示,感染“手機骷髏”惡意程序的手機被控制大量發送彩信,誘騙其他手機用戶下載,造成被感染手機産生大量通信費用。用戶手機一旦被植入“X臥底”惡意軟體,手機通話內容、短信、聯絡人等信息都會被竊取。
工業和信息化部作為互聯網行業主管部門,肩負維護公共互聯網安全、保護用戶利益的職責。為履行職責,遏制移動互聯網惡意程序氾濫的趨勢,指導移動通信運營企業、安全企業、域名服務機構、科研機構等相關方合力凈化網絡環境,出臺本《機制》。
三、《機制》有哪些主要內容?
一是適用範圍。《機制》適用於移動互聯網惡意程序及其控制服務器、傳播服務器的監測和處置。二是認定與命名。《機制》規定,依據《移動互聯網惡意程序描述格式》行業標準開展移動互聯網惡意程序的認定和命名工作,由各單位對惡意程序樣本進行初步分析,並將信息匯總到CNCERT,由CNCERT統一認定和命名。三是監測、處置與通報。移動通信運營企業負責本企業網內惡意程序的樣本捕獲、監測處置和事件通報,CNCERT負責惡意程序跨網監測、匯總通報和驗證企業處置結果。四是事件分級。根據移動互聯網惡意程序造成的用戶通信費用損失和每日受感染手機號碼數量劃分事件等級。五是技術能力建設。要求CNCERT具備跨不同公司網絡的監測能力,移動通信運營企業應具備覆蓋本企業網內的監測處置能力。
四、《機制》在保護移動用戶利益方面做出哪些規定?
一是《機制》規定,CNCERT認定惡意程序後,各單位根據認定結果各自開展監測,並對發現的惡意程序控制服務器進行處理,切斷其對用戶手機的遠程控制,使用戶免受更大侵害。二是根據監測結果,發生較大及以上等級的惡意程序事件時,要求移動通信運營企業向本單位服務的手機用戶進行信息提示和查殺技術諮詢。三是對於涉嫌製作、傳播惡意程序或利用惡意程序牟利的移動互聯網服務供應商和其他合作夥伴,要求移動通信運營企業根據協議,對其進行處理,並報政府管理機構依法處罰,以打擊不法行為。
五、為什麼要配合《機制》制訂《移動互聯網惡意程序描述格式》?
開展移動互聯網惡意程序監測處置工作,首先需要判斷哪些是惡意程序。在實踐中,很多應用程序往往不是“非黑即白”,而是存在大量灰色地帶難以界定。例如,一些收費手機遊戲軟體,在遊戲過程中,彈出確認提示,誘使用戶點擊,欺騙用戶付費。又比如,2009年5月19日發生的多省互聯網故障事件,雖然源於黑客攻擊,但某視頻播放軟體存在不安全設計是導致事件的直接原因。該軟體平時表現正常,僅在特殊條件下存在危害網絡安全的行為。有了行業標準,就解決了惡意程序的判斷依據問題。其次,根據《移動互聯網惡意程序描述格式》統一命名標準,有利於各網絡安全專業機構和企業共享信息,避免重復工作,減少技術資源浪費。
六、機制出臺後,工業和信息化部下一步有哪些工作打算?
一是加強技術手段建設。目前移動通信運營企業和CNCERT監測處置移動互聯網惡意程序的技術手段還不完善,下一步,我部將督促指導各單位加強相關技術手段建設。
二是完善配套標準。開展移動互聯網惡意程序監測處置工作,亟需配套標準支撐。工業和信息化部正在組織中國通信標準化協會研究制訂《移動互聯網網絡安全監測體系架構》、《移動互聯網網絡安全監測技術要求》、《移動互聯網惡意程序疑似樣本報送接口規範》等行業標準。
三是加強用戶網絡安全宣傳教育。如果把惡意程序比作“流行疫情”,消除疫情不能只靠政府和醫療機構,更需要病人的大力配合。智慧手機用戶養成良好的手機使用習慣十分重要,如不打開不明來源的彩信、不瀏覽不良網站、主動升級手機軟體堵塞漏洞、安裝手機惡意程序查殺工具等。工業和信息化部將充分利用各種宣傳渠道,發揮媒體、互聯網企業、中國互聯網協會等單位的作用,廣泛宣傳移動互聯網安全知識,提高用戶安全意識和防範技能。
七、《機制》的編制過程是怎樣的?
工業和信息化部于2010年委託CNCERT開展移動互聯網惡意程序治理機制研究,指導中國移動在江蘇、廣東兩地開展監測和處置試點,多次聽取試點情況彙報並實地調研,在此基礎上,制訂了《機制》(徵求意見稿)。之後,兩次徵求各地通信管理局,移動通信運營企業和中國互聯網絡信息中心等單位和專家的意見。不斷修改完善,形成《機制》發佈稿。