移動網際網路惡意程式監測與處置機制

移動網際網路惡意程式監測與處置機制

為淨化公共網際網路網路環境，保護使用者權益，維護網路安全，有效防範和處置移動網際網路惡意程式，依據《中華人民共和國電信條例》、《公共網際網路網路安全應急預案》，制定本機制。

頒佈單位：工業和資訊化部

文       號：暫無資訊

頒佈時間：2011-12-09

實施時間：2012-01-01

時 效  性：失效

效力級別：部門規範性檔案

第一條 為淨化公共網際網路網路環境，保護使用者權益，維護網路安全，有效防範和處置移動網際網路惡意程式，依據《中華人民共和國電信條例》、《公共網際網路網路安全應急預案》，制定本機制。

第二條 移動網際網路惡意程式是指運行於包括智慧手機在內的具有行動通訊功能的移動終端之上，存在竊聽使用者通話、竊取使用者資訊、破壞使用者資料、擅自使用付費業務、傳送垃圾資訊、推送廣告或欺詐資訊、影響移動終端執行、危害網際網路網路安全等惡意行為的計算機程式。

第三條 本機制適用於移動網際網路惡意程式及其傳播伺服器、控制伺服器的監測和處置。

第四條 工業和資訊化部指導、組織、監督全國移動網際網路惡意程式的監測和處置工作。工業和資訊化部通訊保障局負責具體工作。

各省、自治區、直轄市通訊管理局(以下簡稱通訊管理局)指導、組織、監督本行政區域內移動網際網路惡意程式的監測和處置工作。

國家計算機網路應急技術處理協調中心(以下簡稱CNCERT)受工業和資訊化部委託，負責對移動網際網路惡意程式樣本進行認定命名，對移動網際網路惡意程式進行監測、分析、通報，協調處置傳播伺服器、控制伺服器和攻擊源。

行動通訊運營企業負責報送移動網際網路惡意程式疑似樣本，對CNCERT認定通報的移動網際網路惡意程式進行監測、處置和反饋，為本單位所服務的使用者提供資訊提示和查殺技術諮詢。

網際網路域名註冊管理機構和註冊服務機構負責對CNCERT通報的由自身管理的惡意域名進行處置。

第五條 行動通訊運營企業、網際網路接入服務提供商、IDC服務提供商、網際網路域名註冊管理機構、網際網路域名註冊服務機構在提供網際網路接入服務、託管服務、域名註冊解析等服務時，應在與使用者簽訂的服務協議、合同中約定使用者承擔的網路安全保障責任。

第六條 行動通訊運營企業、CNCERT應不斷提高移動網際網路惡意程式的樣本捕獲和監測處置能力，建設完善相關技術平臺。行動通訊運營企業應具備覆蓋本企業網內的監測處置能力，CNCERT應具備跨不同企業移動網際網路的監測能力。

第七條 CNCERT、行動通訊運營企業、網際網路域名註冊管理和服務機構應建立健全本單位的處置機制，加強協同配合，共同做好移動網際網路惡意程式的監測和處置工作。

第八條 移動網際網路惡意程式事件分為特別重大、重大、較大、一般共四級。

特別重大事件：單個移動網際網路惡意程式造成使用者通訊費用損失累計超過一千萬元人民幣，或24小時內受感染使用者規模超過十萬個手機號碼，對社會造成特別重大影響。

重大事件：單個移動網際網路惡意程式造成使用者通訊費用損失累計超過五百萬元人民幣，或24小時內受感染使用者規模超過五萬個手機號碼，對社會造成重大影響。

較大事件：單個移動網際網路惡意程式造成使用者通訊費用損失累計超過一百萬元人民幣，或24小時內受感染使用者規模超過一萬個手機號碼，對社會造成較大影響。

一般事件：發生移動網際網路惡意程式事件，對社會造成一定影響，但未造成上述後果。

工業和資訊化部負責對分級規範進行修訂。

第九條 樣本捕獲與認定命名

(一)行動通訊運營企業自主捕獲或從其他渠道獲得疑似惡意程式樣本，應於發現後進行初步分析並提出命名建議，在3個工作日內將樣本和分析結果報送CNCERT(報送格式見附件一)。

(二)CNCERT彙總自主捕獲、行動通訊運營企業報送和從其他渠道收集的疑似惡意程式樣本，依據《移動網際網路惡意程式描述格式》進行分析、認定和命名，將認定結果和處置建議在5個工作日內反饋各樣本報送單位和相關通訊管理局(反饋格式見附件二)。

第十條 事件監測和通報

(一)CNCERT、行動通訊運營企業負責對移動網際網路惡意程式進行監測。

(二)行動通訊運營企業按照本機制第八條規定，對監測到的事件進行分級。特別重大、重大事件應在發現後2小時內報工業和資訊化部，同時抄報相關通訊管理局和CNCERT;較大事件應在發現後4小時內報送工業和資訊化部，同時抄報相關通訊管理局和CNCERT;一般事件應按約定電子介面方式報CNCERT彙總(較大以上事件報送格式見附件三)。

(三)CNCERT彙總自主監測、行動通訊運營企業報送和從其他渠道收集的移動網際網路惡意程式事件，對事件情況開展綜合分析、分級。特別重大、重大事件應在發現後2小時內報工業和資訊化部，同時抄報相關通訊管理局;較大事件應在發現後4小時內報送工業和資訊化部，同時抄報相關通訊管理局。工業和資訊化部認為必要時，組織有關單位和專家進行研判。事件情況及研判結果由工業和資訊化部直接或委託CNCERT通報相關單位。一般事件由CNCERT每月彙總，按照網際網路網路安全資訊通報辦法規定通報監測情況(較大以上事件通報格式見附件四)。

第十一條 事件處置和反饋

CNCERT、行動通訊運營企業、網際網路域名註冊管理和服務機構應按如下要求進行處置：

(一)行動通訊運營企業通過自有的移動網際網路惡意程式監測處置平臺採取處置措施。對於特別重大、重大和較大事件，向本單位所服務的使用者提供資訊提示和查殺技術諮詢。

(二)網際網路域名註冊管理機構和註冊服務機構對移動網際網路惡意程式控制伺服器和傳播伺服器使用的惡意域名進行處置。

(三)CNCERT對境外註冊的惡意域名進行協調處置。

(四)反饋事件的處置情況。特別重大、重大事件的處置情況應在接到事件通報後2小時內向CNCERT反饋;較大事件的處置情況應在接到事件通報後4小時內向CNCERT反饋;一般事件的處置情況應按月度彙總後以電子表格形式向CNCERT反饋(較大以上事件反饋格式見附件五)。

(五)CNCERT驗證處置情況。特別重大、重大事件應在接到處置單位反饋後2小時內向工業和資訊化部、相關通訊管理局和處置單位反饋驗證結果;較大事件應在接到處置單位反饋後4小時內向工業和資訊化部、相關通訊管理局和處置單位反饋驗證結果;一般事件無需驗證。

第十二條 CNCERT、行動通訊運營企業、網際網路域名註冊管理機構和註冊服務機構應留存所監測和處置的移動網際網路惡意程式相關資料或資料以備查驗。資料或資料儲存時間為60天。

第十三條 CNCERT、行動通訊運營企業、網際網路域名註冊管理機構和註冊服務機構應保護使用者正當權益，加強使用者資訊保護，規範處置流程，建立使用者投訴機制，妥善解決使用者爭議。

第十四條 工業和資訊化部建立會商制度，組織相關單位和專家研討移動網際網路惡意程式相關問題及應對策略。

第十五條 較大以上事件通報和反饋應按照統一表格以書面方式報送，緊急情況下，可以先通過電話、電子郵件等方式聯絡，後補書面材料。

第十六條 對於國家舉辦重要活動等特殊時期，對移動網際網路惡意程式監測和處置工作另有要求的，從其規定。

第十七條 相關單位應將本單位移動網際網路惡意程式監測和處置工作主管領導和責任部門負責人、聯絡人、聯絡方式報送工業和資訊化部，抄送CNCERT。以上資訊發生變更，應在3個工作日內報送變更情況。

第十八條 對於涉嫌製作、傳播惡意程式或利用惡意程式牟利的移動網際網路服務提供商及其他合作伙伴等，行動通訊運營企業應依據雙方簽訂的合同，對其進行處理，並報當地通訊管理局依法處罰。對於涉嫌犯罪的事件，應報請公安機關依法調查處理。

第十九條 各單位開展資訊報送應遵循及時、客觀、準確、完整的原則，不得遲報、謊報、瞞報和漏報。工業和資訊化部定期對各單位資訊報送情況進行通報。

第二十條 各通訊管理局應依據本機制落實本行政區域內相關工作。

第二十一條 本機制自2012年1月1日起執行。