工業和信息化部解讀《木馬和僵屍網絡監測與處置機制》及《互聯網網絡安全信息通報實施辦法》

    日前，工業和信息化部印發了《木馬和僵屍網絡監測與處置機制》、《互聯網網絡安全信息通報實施辦法》，這是工業和信息化部成立以來，首次發佈專門針對互聯網網絡安全的部門文件，引起了社會各界的廣泛關注。為了更好地理解和貫徹上述文件，工業和信息化部對相關問題進行了解讀。

    問：什麼是木馬和僵屍網絡，為什麼要對它們進行處置？

    《木馬和僵屍網絡監測與處置機制》中，木馬是指由攻擊者安裝在受害者計算機上秘密運行並用於竊取信息及遠程控制的程序。僵屍網絡是指由攻擊者通過控制服務器控制的受害計算機群。木馬和僵屍網絡通常都包括控制端和被控端兩部分。

    木馬和僵屍網絡是造成個人隱私洩露、失泄密、垃圾郵件和大規模拒絕服務攻擊的重要原因，木馬和僵屍網絡不僅危害互聯網用戶個人，更危害企業利益，甚至危害國家安全。2009年2月，一款名為“貓癬”（又名“犇牛”）的惡性木馬下載器在我國境內大肆傳播，感染了數百萬台主機。該病毒通過下載針對誅仙、魔獸世界、問道等熱門網遊、QQ以及網上銀行的盜號木馬，盜竊用戶網遊及網上銀行的帳號和密碼，對互聯網用戶個人隱私和財産造成嚴重危害。2008年12月，某商業銀行網銀系統和某著名跨國機構網站先後遭到網絡攻擊，導致網站服務擁塞甚至中斷，給企業的正常經營和聲譽帶來不利影響。事後經監測數據分析，該類事件均由僵屍網絡發起的分佈式拒絕服務攻擊造成。

    據國家計算機網絡應急技術處理協調中心（簡稱CNCERT）抽樣監測統計，2008年我國境內感染木馬控制端的IP地址為438,386個，感染木馬被控端的IP地址為565,605個，感染僵屍網絡控制端的IP地址為1,825個，感染僵屍網絡被控制端的IP地址為1,237,043個。2008年CNCERT共發現各種僵屍網絡被用來發動拒絕服務攻擊3395次、發送垃圾郵件106次、實施信息竊取操作373次。可見我國感染木馬和僵屍網絡惡意代碼的數量之大，面臨的網絡安全問題之嚴重。

    2008年6月、7月間，CNCERT監測發現我國互聯網上木馬和僵屍網絡IP地址數量劇增，工業和信息化部果斷決定組織開展木馬和僵屍網絡專項打擊行動，為確保2008年北京奧運會、殘奧會等國家重要活動期間我國互聯網的網絡安全發揮了重要作用，為國家重要信息系統用戶、廣大網民提供了一個良好的公共網絡環境。

    因此有必要建立長效機制，對木馬和僵屍網絡進行長期、有效的處置。

    問：為什麼有關電信業務經營者要在與用戶簽訂的協議中包含網絡安全保障方面的條款？

    《中華人民共和國電信條例》第五章第五十八條規定，任何組織或者個人不得有危害電信網絡安全和信息安全的行為。 感染木馬和僵屍網絡惡意代碼後，不僅對用戶自身産生危害，如個人隱私洩露、賬戶密碼丟失、系統資源被利用等，更嚴重的是一旦受感染主機被利用發動網絡攻擊、竊取他人信息等，將對公共網絡環境、他人的合法權益造成危害。因此，《木馬和僵屍網絡監測與處置機制》第五條規定，基礎電信運營企業、互聯網接入服務提供商、IDC服務提供商、互聯網域名註冊管理機構、國內互聯網域名註冊服務機構在提供互聯網接入服務、域名解析服務時，應在與用戶簽訂的服務協議、合同中告知用戶承擔的網絡安全保障責任。各方共同努力將木馬和僵屍網絡處置機制落到實處，創造和維護良好的公共網絡環境。

    問：互聯網用戶應該如何配合木馬和僵屍網絡的處置工作？如果對處置工作有異議，如何解決？

    一是互聯網用戶應提高網絡安全意識，積極配合電信業務經營者或域名服務提供者，簽署服務協議或合同；二是按照協議或合同的要求，積極配合、及時清除計算機上存在的木馬和僵屍網絡惡意代碼；三是不斷提高網絡安全技術防範水平，做好預防工作，防止自身的計算機感染木馬和僵屍網絡惡意代碼。

    《木馬和僵屍網絡監測與處置機制》第十條、十一條規定，CNCERT、基礎電信運營企業、互聯網域名註冊管理機構、國內域名註冊服務機構應保護用戶正當權益，規範處置流程，建立用戶申訴機制，同時留存木馬和僵屍網絡相關數據或資料以備查驗，數據或資料保存時間為60天。因此，如果互聯網用戶對木馬和僵屍網絡的處置工作有異議，可以通過以上單位建立的用戶申訴機制進行解決。

    問：什麼樣的情況下，移交公安機關處理？

    多數情況下，感染木馬和僵屍網絡惡意代碼的用戶也是受害者，這類用戶應積極配合有關部門清除惡意代碼。但對於涉嫌犯罪的木馬和僵屍網絡事件，將報請公安機關依法調查處理。

    問：為什麼要與非經營性互聯單位協作？

    互聯網是沒有邊界的，非經營性互聯單位網內的木馬和僵屍網絡也會對整個互聯網的網絡安全造成威脅，同樣可以對經營性互聯單位網內的用戶發起惡意攻擊等，因此，《木馬和僵屍網絡監測與處置機制》第十六條規定，CNCERT應與非經營性互聯單位合作，協調非經營性互聯單位處置其網內木馬和僵屍網絡。

    問：《互聯網網絡安全信息通報實施辦法》解決了哪些問題？

    《互聯網網絡安全信息通報實施辦法》主要解決信息通報工作中“誰來報信息”、“報什麼信息”、“怎麼報信息”、“我能得到什麼信息”的問題。

    “誰來報信息”，《互聯網網絡安全信息通報實施辦法》中規定信息報送單位包括：通信管理局、基礎電信業務經營者、跨省經營的增值電信業務經營者、國家計算機網絡應急技術處理協調中心（以下簡稱CNCERT）、互聯網域名註冊管理機構、互聯網域名註冊服務機構、中國互聯網協會。同時為了拓展網絡安全信息獲取渠道，規定CNCERT應與網絡安全研究機構、網絡安全技術支撐單位、非經營性互聯單位、網絡安全企業、國際網絡安全組織等廣泛合作。只有信息來源多才能更全面地掌握網絡安全整體狀況，才能對網絡安全形勢有更準確的判斷，對網絡安全工作起到更好的指導作用。

    “報什麼信息”，由於不同單位的網絡安全工作有不同的側重點，因此《互聯網網絡安全信息通報實施辦法》針對每個單位的特點規定了報送信息的內容，具體信息報送項目在附件中列出。

    “怎麼報信息”，信息報送單位按照《互聯網網絡安全信息通報實施辦法》規定的事件分類分級標準，以及相應的報送時間和報送單位的要求，及時報送信息。

    “我能得到什麼信息”，《互聯網網絡安全信息通報實施辦法》中突出強調了“信息共享”，對信息通報進行了明確的規定。信息報送單位不僅僅只是報送信息，更能從中獲得更多有價值的網絡安全信息，這將幫助信息報送單位進一步做好本單位的網絡安全工作。

    問：兩個部門文件起草的過程是怎樣的？

    在這兩個文件的制定過程中，我們全面總結了木馬和僵屍網絡處置、信息通報相關工作的經驗，多次與相關單位、人員溝通，召開專題研討會，走訪了多家網絡安全企業，成立了相關單位和專家組成的起草工作組，形成徵求意見稿後，徵求了工業和信息化部政策法規司、電信管理局、通信發展司、信息安全協調司等部內相關司局，各省通信管理局、基礎電信運營企業、國家計算機網絡應急技術處理協調中心、中國互聯網絡信息中心、政務和公益機構域名註冊管理中心、部電信研究院、中國互聯網協會、多個網絡安全廠商和主要互聯網服務提供商的意見，並進行修改完善，最終完成了文件的制定工作。