工业和信息化部解读《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施办法》

　日前，工业和信息化部印发了《木马和僵尸网络监测与处置机制》、《互联网网络安全信息通报实施办法》，这是工业和信息化部成立以来，首次发布专门针对互联网网络安全的部门文件，引起了社会各界的广泛关注。为了更好地理解和贯彻上述文件，工业和信息化部对相关问题进行了解读。

　　问：什么是木马和僵尸网络，为什么要对它们进行处置？

　　《木马和僵尸网络监测与处置机制》中，木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络通常都包括控制端和被控端两部分。

　　木马和僵尸网络是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因，木马和僵尸网络不仅危害互联网用户个人，更危害企业利益，甚至危害国家安全。2009年2月，一款名为“猫癣”（又名“犇牛”）的恶性木马下载器在我国境内大肆传播，感染了数百万台主机。该病毒通过下载针对诛仙、魔兽世界、问道等热门网游、QQ以及网上银行的盗号木马，盗窃用户网游及网上银行的帐号和密码，对互联网用户个人隐私和财产造成严重危害。2008年12月，某商业银行网银系统和某著名跨国机构网站先后遭到网络攻击，导致网站服务拥塞甚至中断，给企业的正常经营和声誉带来不利影响。事后经监测数据分析，该类事件均由僵尸网络发起的分布式拒绝服务攻击造成。

　　据国家计算机网络应急技术处理协调中心（简称CNCERT）抽样监测统计，2008年我国境内感染木马控制端的IP地址为438,386个，感染木马被控端的IP地址为565,605个，感染僵尸网络控制端的IP地址为1,825个，感染僵尸网络被控制端的IP地址为1,237,043个。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染木马和僵尸网络恶意代码的数量之大，面临的网络安全问题之严重。

　　2008年6月、7月间，CNCERT监测发现我国互联网上木马和僵尸网络IP地址数量剧增，工业和信息化部果断决定组织开展木马和僵尸网络专项打击行动，为确保2008年北京奥运会、残奥会等国家重要活动期间我国互联网的网络安全发挥了重要作用，为国家重要信息系统用户、广大网民提供了一个良好的公共网络环境。

　　因此有必要建立长效机制，对木马和僵尸网络进行长期、有效的处置。

　　问：为什么有关电信业务经营者要在与用户签订的协议中包含网络安全保障方面的条款？

　　《中华人民共和国电信条例》第五章第五十八条规定，任何组织或者个人不得有危害电信网络安全和信息安全的行为。

　　感染木马和僵尸网络恶意代码后，不仅对用户自身产生危害，如个人隐私泄露、账户密码丢失、系统资源被利用等，更严重的是一旦受感染主机被利用发动网络攻击、窃取他人信息等，将对公共网络环境、他人的合法权益造成危害。因此，《木马和僵尸网络监测与处置机制》第五条规定，基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、合同中告知用户承担的网络安全保障责任。各方共同努力将木马和僵尸网络处置机制落到实处，创造和维护良好的公共网络环境。

　　问：互联网用户应该如何配合木马和僵尸网络的处置工作？如果对处置工作有异议，如何解决？

　　一是互联网用户应提高网络安全意识，积极配合电信业务经营者或域名服务提供者，签署服务协议或合同；二是按照协议或合同的要求，积极配合、及时清除计算机上存在的木马和僵尸网络恶意代码；三是不断提高网络安全技术防范水平，做好预防工作，防止自身的计算机感染木马和僵尸网络恶意代码。

　　《木马和僵尸网络监测与处置机制》第十条、十一条规定，CNCERT、基础电信运营企业、互联网域名注册管理机构、国内域名注册服务机构应保护用户正当权益，规范处置流程，建立用户申诉机制，同时留存木马和僵尸网络相关数据或资料以备查验，数据或资料保存时间为60天。因此，如果互联网用户对木马和僵尸网络的处置工作有异议，可以通过以上单位建立的用户申诉机制进行解决。

　　问：什么样的情况下，移交公安机关处理？

　　多数情况下，感染木马和僵尸网络恶意代码的用户也是受害者，这类用户应积极配合有关部门清除恶意代码。但对于涉嫌犯罪的木马和僵尸网络事件，将报请公安机关依法调查处理。

　　问：为什么要与非经营性互联单位协作？

　　互联网是没有边界的，非经营性互联单位网内的木马和僵尸网络也会对整个互联网的网络安全造成威胁，同样可以对经营性互联单位网内的用户发起恶意攻击等，因此，《木马和僵尸网络监测与处置机制》第十六条规定，CNCERT应与非经营性互联单位合作，协调非经营性互联单位处置其网内木马和僵尸网络。

　　问：《互联网网络安全信息通报实施办法》解决了哪些问题？

　　《互联网网络安全信息通报实施办法》主要解决信息通报工作中“谁来报信息”、“报什么信息”、“怎么报信息”、“我能得到什么信息”的问题。

　　“谁来报信息”，《互联网网络安全信息通报实施办法》中规定信息报送单位包括：通信管理局、基础电信业务经营者、跨省经营的增值电信业务经营者、国家计算机网络应急技术处理协调中心（以下简称CNCERT）、互联网域名注册管理机构、互联网域名注册服务机构、中国互联网协会。同时为了拓展网络安全信息获取渠道，规定CNCERT应与网络安全研究机构、网络安全技术支撑单位、非经营性互联单位、网络安全企业、国际网络安全组织等广泛合作。只有信息来源多才能更全面地掌握网络安全整体状况，才能对网络安全形势有更准确的判断，对网络安全工作起到更好的指导作用。

　　“报什么信息”，由于不同单位的网络安全工作有不同的侧重点，因此《互联网网络安全信息通报实施办法》针对每个单位的特点规定了报送信息的内容，具体信息报送项目在附件中列出。

　　“怎么报信息”，信息报送单位按照《互联网网络安全信息通报实施办法》规定的事件分类分级标准，以及相应的报送时间和报送单位的要求，及时报送信息。

　　“我能得到什么信息”，《互联网网络安全信息通报实施办法》中突出强调了“信息共享”，对信息通报进行了明确的规定。信息报送单位不仅仅只是报送信息，更能从中获得更多有价值的网络安全信息，这将帮助信息报送单位进一步做好本单位的网络安全工作。

　　问：两个部门文件起草的过程是怎样的？

　　在这两个文件的制定过程中，我们全面总结了木马和僵尸网络处置、信息通报相关工作的经验，多次与相关单位、人员沟通，召开专题研讨会，走访了多家网络安全企业，成立了相关单位和专家组成的起草工作组，形成征求意见稿后，征求了工业和信息化部政策法规司、电信管理局、通信发展司、信息安全协调司等部内相关司局，各省通信管理局、基础电信运营企业、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政务和公益机构域名注册管理中心、部电信研究院、中国互联网协会、多个网络安全厂商和主要互联网服务提供商的意见，并进行修改完善，最终完成了文件的制定工作