中国电信浙江公司、中国移动浙江公司、中国联通浙江分公司、铁通浙江公司，国家计算机网络应急技术处理协调中心浙江分中心，省内互联网接入服务提供商，省内IDC服务提供商，省内域名注册服务机构，其他相关单位：

为切实做好防范和处置木马和僵尸网络引发的网络安全隐患工作，特制定《浙江省木马和僵尸网络监测与处置机制实施细则》。现印发给你们，请遵照执行。

 

 

                            浙江省通信行业协会

                             2013年8月29日

 

 

 

 

 

浙江省木马和僵尸网络监测与处置

机制实施细则

 

第一条   为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为，净化网络环境，维护我省公共互联网安全，依据《中华人民共和国电信条例》、《木马和僵尸网络监测和处置机制》、《浙江省互联网网络安全应急预案》，制定本细则。

第二条   木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算集群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。

第三条   本细则适用于对危害公共互联网安全的木马和僵尸网络控制端（以下简称木马和僵尸网络）及其使用的IP地址和恶意域名的监测和处置。

第四条   浙江省通信行业协会（以下简称省通信管理局）指导、组织、监督全省木马和僵尸网络的监测和处置工作。

国家计算机网络应急技术处理协调中心浙江分中心（以下简称CNCERT@ZJ）受省通信管理局委托，负责对木马和僵尸网络的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、核实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域名。

省内基础电信运营企业负责对本单位网内木马和僵尸网络进行监测、核实，对CNCERT@ZJ汇总通报的涉及本单位的木马和僵尸网络进行处置和反馈。

省内互联网域名注册服务机构负责对CNCERT@ZJ通报的由本机构注册的恶意域名进行处置。

第五条   省内基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、合同中告知用户承担的网络安全保障责任。

第六条   CNCERT@ZJ、省内基础电信运营企业应不断提高木马和僵尸网络的监测能力。CNCERT@ZJ、省内基础电信运营企业、互联网域名注册服务机构应建立健全本单位的处置机制，协同配合、快速处置，共同做好木马和僵尸网络的监测和处置工作。

第七条   木马和僵尸网络事件分为特别重大、重大、较大、一般共四级。

特别重大事件：涉及全国范围或省级行政区域，单个木马和僵尸网络规模超过100万个IP地址，对社会造成特别重大影响。

重大事件：涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过50万个IP地址，对社会造成重大影响。

较大事件：涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过10万个IP地址，对社会造成较大影响。

一般事件：涉及全国范围或省级行政区域，发生木马和僵尸网络事件，对社会造成一定影响，但未造成上述后果。

第八条   监测和通报：

（一）  CNCERT@ZJ、省内基础电信运营企业负责对木马和僵尸网络进行监测。

（二）  省内基础电信运营企业按照本细则第七条对监测到的事件进行分级，特别重大、重大、较大事件应在发现后2小时内报送省通信管理局，同时抄送CNCERT@ZJ；一般事件应在发现后5个工作日内报送省通信管理局，同时抄送CNCERT@ZJ。

报送内容包括：控制端IP地址、端口、发现时间及其使用的恶意域名。

（三）  CNCERT@ZJ汇总自主监测、省内基础电信运营企业报送和从其他渠道收集的事件，进行综合分析、分级。对于特别重大、重大、较大事件，CNCERT@ZJ应在2小时内向省通信管理局报告。省通信管理局认为必要时，组织有关单位和专家进行研判。事件情况及研判结果由省通信管理局直接或委托CNCERT@ZJ通报相关单位。对于一般事件，CNCERT@ZJ应在发现后5个工作日内报送省通信管理局并通报相关单位。

事件通报内容包括：

1、 威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属省内基础电信运营企业。

2、 木马和僵尸网络使用的恶意域名。

3、 木马和僵尸网络的规模和潜在危害。

监测和通报流程图见附件一。

第九条   处置与反馈：

省内基础电信运营企业、互联网域名注册服务机构接到省通信管理局或CNCERT@ZJ木马和僵尸网络事件通报后，应按如下流程处理：

（一）  通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除，并跟踪用户处置情况。

对于域名注册信息不真实、不准确、不完整的，互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。

（二）  反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT@ZJ反馈，一般事件的处置情况应在5个工作日内向CNCERT@ZJ反馈。

反馈内容包括：用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。

（三）  监测单位验证处置情况。

对于CNCERT@ZJ自主监测的事件，由CNCERT@ZJ对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果，一般事件应在5个工作日内反馈验证结果。

对于省内基础电信运营企业监测到的事件由省内基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT@ZJ事件通报后6小时内向CNCERT@ZJ反馈验证结果，一般事件应在10个工作日内向CNCERT@ZJ反馈验证结果。

（四）  对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名，按如下方式处置：

对于重要信息系统单位，向省通信管理局反馈用户相关情况，抄送CNCERT@ZJ，由省通信管理局书面通知其主管部门。

对于其他单位用户和个人用户，应依据与用户签署的服务协议、合同等进行处置。

（五）  对于特别重大、重大、较大事件的处置情况，CNCERT@ZJ应在接到处置单位反馈后2小时内向省通信管理局反馈处置结果；一般事件处置情况由CNCERT@ZJ每月汇总，向省通信管理局报告监测和处置情况。

处置和反馈流程图见附件二。

第十条   CNCERT@ZJ、省内基础电信运营企业、互联网域名注册服务机构应留存木马和僵尸网络相关数据或资料以备查验。数据或资料保存时间为60天。

第十一条    CNCERT@ZJ、省内基础电信运营企业、互联网域名注册服务机构应保护用户正当权益，加强用户信息保护，规范处置流程，建立用户投诉机制，妥善解决用户争议。

第十二条    省通信管理局通过会商制度，组织相关单位和专家研讨木马和僵尸网络相关问题及其应对策略。

第十三条    事件通报和反馈应按照统一表格以书面方式报送（报送格式见附件三）。紧急情况下，可以先通过电话、电子邮件等方式联系，后补书面材料。

第十四条    对于国家举办重要活动等特殊时期，对木马和僵尸网络监测和处置工作另有要求的，从其规定。

第十五条    相关单位应将本单位木马和僵尸网络监测和处置工作主管领导，责任部门负责人、联系人、联系方式报送省通信管理局，抄送CNCERT@ZJ。以上信息发生变更，应在3个工作日内向省通信管理局报送变更情况，抄送CNCERT@ZJ。

第十六条    对于涉嫌犯罪的木马和僵尸网络事件，应报请公安机关依法调查处理。

第十七条    本细则中重要信息系统指政府部门、军队以及银行、海关、税务、电力、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统。

第十八条    本细则自发文之日起实施。

 

附件1：监测和通报流程图 附件1 点击下载.docx

附件2：处置和反馈流程图 附件2 点击下载.docx