移动互联网恶意程序监测与处置机制

权威解读(移动互联网恶意程序的概念 出台《机制》的原因 《机制》的主要内容 《机制》在保护移动用户利益方面的规定 移动互联网恶意程序描述格式 机制出台后的工作打算 《机制》的编制过程)

移动互联网恶意程序监测与处置机制

第一条 为净化公共互联网网络环境，保护用户权益，维护网络安全，有效防范和处置移动互联网恶意程序，依据《中华人民共和国电信条例》、《公共互联网网络安全应急预案》，制定本机制。

第二条 移动互联网恶意程序是指运行于包括智能手机在内的具有移动通信功能的移动终端之上，存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。

第三条 本机制适用于移动互联网恶意程序及其传播服务器、控制服务器的监测和处置。

第四条 工业和信息化部指导、组织、监督全国移动互联网恶意程序的监测和处置工作。工业和信息化部通信保障局负责具体工作。

各省、自治区、直辖市通信管理局（以下简称通信管理局）指导、组织、监督本行政区域内移动互联网恶意程序的监测和处置工作。

国家计算机网络应急技术处理协调中心（以下简称CNCERT）受工业和信息化部委托，负责对移动互联网恶意程序样本进行认定命名，对移动互联网恶意程序进行监测、分析、通报，协调处置传播服务器、控制服务器和攻击源。

移动通信运营企业负责报送移动互联网恶意程序疑似样本，对CNCERT认定通报的移动互联网恶意程序进行监测、处置和反馈，为本单位所服务的用户提供信息提示和查杀技术咨询。

互联网域名注册管理机构和注册服务机构负责对CNCERT通报的由自身管理的恶意域名进行处置。

第五条 移动通信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、互联网域名注册服务机构在提供互联网接入服务、托管服务、域名注册解析等服务时，应在与用户签订的服务协议、合同中约定用户承担的网络安全保障责任。

第六条 移动通信运营企业、CNCERT应不断提高移动互联网恶意程序的样本捕获和监测处置能力，建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力,CNCERT应具备跨不同企业移动互联网的监测能力。

第七条 CNCERT、移动通信运营企业、互联网域名注册管理和服务机构应建立健全本单位的处置机制，加强协同配合，共同做好移动互联网恶意程序的监测和处置工作。

第八条 移动互联网恶意程序事件分为特别重大、重大、较大、一般共四级。

特别重大事件：单个移动互联网恶意程序造成用户通信费用损失累计超过一千万元人民币，或24小时内受感染用户规模超过十万个手机号码，对社会造成特别重大影响。

重大事件：单个移动互联网恶意程序造成用户通信费用损失累计超过五百万元人民币，或24小时内受感染用户规模超过五万个手机号码，对社会造成重大影响。

较大事件：单个移动互联网恶意程序造成用户通信费用损失累计超过一百万元人民币，或24小时内受感染用户规模超过一万个手机号码，对社会造成较大影响。

一般事件：发生移动互联网恶意程序事件，对社会造成一定影响，但未造成上述后果。

工业和信息化部负责对分级规范进行修订。

第九条 样本捕获与认定命名

（一）移动通信运营企业自主捕获或从其他渠道获得疑似恶意程序样本，应于发现后进行初步分析并提出命名建议，在3个工作日内将样本和分析结果报送CNCERT（报送格式见附件一）。

（二）CNCERT汇总自主捕获、移动通信运营企业报送和从其他渠道收集的疑似恶意程序样本，依据《移动互联网恶意程序描述格式》进行分析、认定和命名，将认定结果和处置建议在5个工作日内反馈各样本报送单位和相关通信管理局（反馈格式见附件二）。

第十条 事件监测和通报

（一）CNCERT、移动通信运营企业负责对移动互联网恶意程序进行监测。

（二）移动通信运营企业按照本机制第八条规定，对监测到的事件进行分级。特别重大、重大事件应在发现后2小时内报工业和信息化部，同时抄报相关通信管理局和CNCERT；较大事件应在发现后4小时内报送工业和信息化部，同时抄报相关通信管理局和CNCERT；一般事件应按约定电子接口方式报CNCERT汇总（较大以上事件报送格式见附件三）。

（三）CNCERT汇总自主监测、移动通信运营企业报送和从其他渠道收集的移动互联网恶意程序事件，对事件情况开展综合分析、分级。特别重大、重大事件应在发现后2小时内报工业和信息化部，同时抄报相关通信管理局；较大事件应在发现后4小时内报送工业和信息化部，同时抄报相关通信管理局。工业和信息化部认为必要时，组织有关单位和专家进行研判。事件情况及研判结果由工业和信息化部直接或委托CNCERT通报相关单位。一般事件由CNCERT每月汇总，按照互联网网络安全信息通报办法规定通报监测情况（较大以上事件通报格式见附件四）。

第十一条 事件处置和反馈

CNCERT、移动通信运营企业、互联网域名注册管理和服务机构应按如下要求进行处置：

（一）移动通信运营企业通过自有的移动互联网恶意程序监测处置平台采取处置措施。对于特别重大、重大和较大事件，向本单位所服务的用户提供信息提示和查杀技术咨询。

（二）互联网域名注册管理机构和注册服务机构对移动互联网恶意程序控制服务器和传播服务器使用的恶意域名进行处置。

（三）CNCERT对境外注册的恶意域名进行协调处置。

（四）反馈事件的处置情况。特别重大、重大事件的处置情况应在接到事件通报后2小时内向CNCERT反馈；较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈；一般事件的处置情况应按月度汇总后以电子表格形式向CNCERT反馈（较大以上事件反馈格式见附件五）。

（五）CNCERT验证处置情况。特别重大、重大事件应在接到处置单位反馈后2小时内向工业和信息化部、相关通信管理局和处置单位反馈验证结果；较大事件应在接到处置单位反馈后4小时内向工业和信息化部、相关通信管理局和处置单位反馈验证结果；一般事件无需验证。

第十二条 CNCERT、移动通信运营企业、互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或资料以备查验。数据或资料保存时间为60天。

第十三条 CNCERT、移动通信运营企业、互联网域名注册管理机构和注册服务机构应保护用户正当权益，加强用户信息保护，规范处置流程，建立用户投诉机制，妥善解决用户争议。

第十四条 工业和信息化部建立会商制度，组织相关单位和专家研讨移动互联网恶意程序相关问题及应对策略。

第十五条 较大以上事件通报和反馈应按照统一表格以书面方式报送，紧急情况下，可以先通过电话、电子邮件等方式联系，后补书面材料。

第十六条 对于国家举办重要活动等特殊时期，对移动互联网恶意程序监测和处置工作另有要求的，从其规定。

第十七条 相关单位应将本单位移动互联网恶意程序监测和处置工作主管领导和责任部门负责人、联系人、联系方式报送工业和信息化部，抄送CNCERT。以上信息发生变更，应在3个工作日内报送变更情况。

第十八条 对于涉嫌制作、传播恶意程序或利用恶意程序牟利的移动互联网服务提供商及其他合作伙伴等，移动通信运营企业应依据双方签订的合同，对其进行处理，并报当地通信管理局依法处罚。对于涉嫌犯罪的事件，应报请公安机关依法调查处理。

第十九条 各单位开展信息报送应遵循及时、客观、准确、完整的原则，不得迟报、谎报、瞒报和漏报。工业和信息化部定期对各单位信息报送情况进行通报。

第二十条 各通信管理局应依据本机制落实本行政区域内相关工作。

第二十一条 本机制自2012年1月1日起执行。

权威解读

近日，工业和信息化部印发了《移动互联网恶意程序监测与处置机制》（以下简称《机制》），这是工业和信息化部首次出台移动互联网网络安全管理方面的规范性文件，引起了业界的广泛关注。为了解《机制》出台的背景和主要内容，记者采访了工业和信息化部通信保障局负责人。

移动互联网恶意程序的概念

移动互联网恶意程序是指运行在包括智能手机在内的具有移动通信功能的移动终端上，存在窃听用户电话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。

移动互联网恶意程序的内涵比手机病毒广的多，如手机吸费软件不属于手机病毒，但属于移动互联网恶意程序。

出台《机制》的原因

近年来，移动互联网快速发展，它方便用户时时处处在线，极大地丰富了用户的业务体验，促进了产业发展转型，但也带来日益突出的网络安全问题。一方面，互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓延。据中国反网络病毒联盟（ANVA）统计，截至2011年10月，国内累计发现移动互联网恶意程序4500余种，并呈加速增长趋势。2011年5月初，大量被“毒媒”恶意软件控制的移动终端向江苏某运营商业务网站发起拒绝服务攻击，造成该网站一度瘫痪。另一方面，移动互联网终端和业务与用户个人利益的关联度更高，恶意吸费、用户信息窃取、诱骗欺诈等恶意行为的影响和危害十分突出。据国家计算机网络应急技术处理协调中心（CNCERT）抽样监测显示，感染“手机骷髅”恶意程序的手机被控制大量发送彩信，诱骗其他手机用户下载，造成被感染手机产生大量通信费用。用户手机一旦被植入“X卧底”恶意软件，手机通话内容、短信、联系人等信息都会被窃取。

工业和信息化部作为互联网行业主管部门，肩负维护公共互联网安全、保护用户利益的职责。为履行职责，遏制移动互联网恶意程序泛滥的趋势，指导移动通信运营企业、安全企业、域名服务机构、科研机构等相关方合力净化网络环境，出台本《机制》。

《机制》的主要内容

一是适用范围。《机制》适用于移动互联网恶意程序及其控制服务器、传播服务器的监测和处置。二是认定与命名。《机制》规定，依据《移动互联网恶意程序描述格式》行业标准开展移动互联网恶意程序的认定和命名工作，由各单位对恶意程序样本进行初步分析，并将信息汇总到CNCERT,由CNCERT统一认定和命名。三是监测、处置与通报。移动通信运营企业负责本企业网内恶意程序的样本捕获、监测处置和事件通报，CNCERT负责恶意程序跨网监测、汇总通报和验证企业处置结果。四是事件分级。根据移动互联网恶意程序造成的用户通信费用损失和每日受感染手机号码数量划分事件等级。五是技术能力建设。要求CNCERT具备跨不同公司网络的监测能力，移动通信运营企业应具备覆盖本企业网内的监测处置能力。

《机制》在保护移动用户利益方面的规定

一是《机制》规定，CNCERT认定恶意程序后，各单位根据认定结果各自开展监测，并对发现的恶意程序控制服务器进行处理，切断其对用户手机的远程控制，使用户免受更大侵害。二是根据监测结果，发生较大及以上等级的恶意程序事件时，要求移动通信运营企业向本单位服务的手机用户进行信息提示和查杀技术咨询。三是对于涉嫌制作、传播恶意程序或利用恶意程序牟利的移动互联网服务供应商和其他合作伙伴，要求移动通信运营企业根据协议，对其进行处理，并报政府管理机构依法处罚，以打击不法行为。

移动互联网恶意程序描述格式

开展移动互联网恶意程序监测处置工作，首先需要判断哪些是恶意程序。在实践中，很多应用程序往往不是“非黑即白”，而是存在大量灰色地带难以界定。例如，一些收费手机游戏软件，在游戏过程中，弹出确认提示，诱使用户点击，欺骗用户付费。又比如，2009年5月19日发生的多省互联网故障事件，虽然源于黑客攻击，但某视频播放软件存在不安全设计是导致事件的直接原因。该软件平时表现正常，仅在特殊条件下存在危害网络安全的行为。有了行业标准，就解决了恶意程序的判断依据问题。其次，根据《移动互联网恶意程序描述格式》统一命名标准，有利于各网络安全专业机构和企业共享信息，避免重复工作，减少技术资源浪费。

机制出台后的工作打算

一是加强技术手段建设。目前移动通信运营企业和CNCERT监测处置移动互联网恶意程序的技术手段还不完善，下一步，我部将督促指导各单位加强相关技术手段建设。

二是完善配套标准。开展移动互联网恶意程序监测处置工作，亟需配套标准支撑。工业和信息化部正在组织中国通信标准化协会研究制订《移动互联网网络安全监测体系架构》、《移动互联网网络安全监测技术要求》、《移动互联网恶意程序疑似样本报送接口规范》等行业标准。

三是加强用户网络安全宣传教育。如果把恶意程序比作“流行疫情”，消除疫情不能只靠政府和医疗机构，更需要病人的大力配合。智能手机用户养成良好的手机使用习惯十分重要，如不打开不明来源的彩信、不浏览不良网站、主动升级手机软件堵塞漏洞、安装手机恶意程序查杀工具等。工业和信息化部将充分利用各种宣传渠道，发挥媒体、互联网企业、中国互联网协会等单位的作用，广泛宣传移动互联网安全知识，提高用户安全意识和防范技能。

《机制》的编制过程

工业和信息化部于2010年委托CNCERT开展移动互联网恶意程序治理机制研究，指导中国移动在江苏、广东两地开展监测和处置试点，多次听取试点情况汇报并实地调研，在此基础上，制订了《机制》（征求意见稿）。之后，两次征求各地通信管理局，移动通信运营企业和中国互联网络信息中心等单位和专家的意见。不断修改完善，形成《机制》发布稿。