江苏木马和僵尸网络监测与处置机制.pdfVIP

江苏省木马和僵尸网络监测与处置机制 第一条 为有效防范和处置木马和僵尸网络引发的网络安 全隐患，规范监测和处置行为，净化网络环境，维护江苏省公共互 联网安全，依据工业和信息化部《木马和僵尸网络监测与处置机制》、 《江苏省互联网网络安全应急预案》制定本办法。 第二条 木马是指由攻击者安装在受害者计算机上秘密运 行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过 控制服务器控制的受害计算机群。木马和僵尸网络对网络信息安全 造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规 模拒绝服务攻击的重要原因。 第三条 本办法适用于在江苏接入，并危害公共互联网安全 的木马和僵尸网络控制端和受控端 （以下简称木马和僵尸网络）所 涉及的IP地址和恶意域名的监测和处置。 第四条 江苏省通信管理局指导、组织、监督江苏省木马和 僵尸网络的监测和处置工作。江苏省通信管理局江苏省互联网应急 中心 （以下简称省互联网应急中心）负责具体工作。 省互联网应急中心负责对涉及江苏省互联网的木马和僵尸网络 的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、核 实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域 第 1 页 共 13 页 名。 基础电信运营企业、互联网接入服务提供商、IDC服务提供商和 事件涉及单位负责对本单位网内木马和僵尸网络进行监测、核实， 对省互联网应急中心通报的涉及本单位的木马和僵尸网络进行处置 和反馈。 互联网域名注册管理机构负责对省互联网应急中心通报的由自 身管理的恶意域名进行处置。对于由国内互联网域名注册服务机构 注册的由境外域名注册管理机构管理的域名，由省互联网应急中心 报CNCERT直接协调国内互联网域名注册服务机构进行处置。 第五条 江苏省基础电信运营企业、互联网接入服务提供 商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注 册服务机构在提供互联网接入服务、域名解析服务时，应在与用户 签订的服务协议、合同中告知用户承担的网络安全保障责任。 第六条 基础电信运营企业、互联网接入服务提供商、IDC 服务提供商应不断提高木马和僵尸网络的监测和处置能力。各单位 应尽快建立用户上网日志及溯源日志并按照要求做好日志留存，基 础电信运营企业应尽快针对运用GPRS、CDMA、3G等技术接入互联网 建立相关系统和设备，以应对网络安全事件处置需要。 第七条 基础电信运营企业、互联网接入服务提供商、IDC 服务提供商、互联网域名注册管理机构、国内互联网域名注册服务 机构应建立健全本单位的处置机制，协同配合、快速处置，共同做 第 2 页 共 13 页 好木马和僵尸网络的监测和处置工作。 第八条 木马和僵尸网络事件分为特别重大、重大、较大、 一般共四级。 特别重大事件：涉及全国范围或省级行政区域，单个木马和僵 尸网络规模超过100万个IP地址，对社会造成特别重大影响。 重大事件：涉及全国范围或省级行政区域，同一时期存在一个 或多个木马和僵尸网络，总规模超过50万个IP地址，对社会造成重 大影响。 较大事件：涉及全国范围或省级行政区域，同一时期存在一个 或多个木马和僵尸网络，总规模超过10万个IP地址，对社会造成较 大影响。 一般事件：涉及全国范围或省级行政区域，发生木马和僵尸网 络事件，对社会造成一定影响，但未造成上述后果。 工业和信息化部通信保障局负责对分级规范进行修订。 第九条 监测和通报： （一）省互联网应急中心、基础电信运营企业、互联网接入服 务提供商、IDC服务提供商负责对木马和僵尸网络进行监测。 （二）基础电信运营企业、互联网接入服务提供商、IDC服务提 供商按照本机制第八条对监测到的事件进行分级，特别重大、重大、 较大事件应在发现后2小时内报送省互联网应急中心；一般事件应在 发现后4个工作日内报送省互联网应急中心。 第 3 页 共 13 页 报送内容包括：控制端IP地址、