《信息安全技術惡意軟件事件預防和處理指南》

1、PAGE 信息安全技術 惡意軟件事件預防和處理指南工作組討論稿編制說明中國科學院研究生國家計算機網(wǎng)絡入侵防范中心2016.6.03信息安全技術 惡意軟件事件預防和處理指南編制說明一、任務來源信息安全技術 惡意軟件事件預防和處理指南是全國信息安全標準化技術委員會2011年度信息安全專項中標準制訂項目之一。屬2011年度下達的國家標準制定項目。二、研究目標信息安全技術 惡意軟件事件預防和處理指南的制定旨在參照NIST SP800-83：Guide to Malware Incident Prevention and Handling，并結合我國惡意軟件事件預防和處理實踐，制定一個我國惡意軟件事件預

2、防和處理指南的標準。三、國內(nèi)外標準制定情況3.1 國際現(xiàn)狀早在1991年，CARO（計算機反病毒研究組織）的創(chuàng)始人員就制定了一套應用于反病毒（AV）產(chǎn)品的計算機病毒的命名規(guī)則。如今，相對于現(xiàn)在的應用來說，CARO的命名規(guī)則已經(jīng)顯得稍微有點過時了，但是它仍然是大多數(shù)反病毒公司曾采用過的唯一標準。2005年10月份，美國計算機緊急反應小組(US-CERT，The United States Computer Emergency Readiness Team)正式啟動名為CME（Common Malware Enumeration）的項目。該項目的目的是為每個惡意軟件指定一個唯一的標識符，從而幫助用

3、戶識別系統(tǒng)遭受的攻擊。2005年7月，微軟、賽門鐵克、組合國際（CA）、McAfee及Yahoo!等廠商組成反間諜軟件聯(lián)盟（Anti-Spyware Coalition，縮寫為ASC）。ASC目的是共同為間諜軟件的定義、解決爭議的通用程序和協(xié)同防御措施而努力，以幫助全球用戶抵御日漸猖獗的網(wǎng)絡威脅。ASC在惡意軟件的定義和標準方面與各方進行了廣泛討論和深入研究，并形成一系列的標準和指導文檔，其中主要有如下文檔：（1）反間諜軟件產(chǎn)品測試指南；（2）反間諜聯(lián)盟風險模型描述；（3）最佳作法：潛在有害程序評估指南；（4）沖突辨認與解決程序。2008年2月，賽門鐵克、趨勢科技、熊貓安全等電腦安全廠商和超過

4、40位全球的安全軟件技術專家以及反惡意軟件測試者集聚到了西班牙的畢爾巴鄂，正式宣布成立“反惡意軟件測試標準組織”（Anti-Malware Testing Standards Organization，縮寫為AMTSO）。AMTSO的目的在于頒布全球通用的反惡意軟件測試標準和準則，以及推出反惡意軟件工具的審核方針。根據(jù)其初步章程，AMTSO將具有如下職責： （1）提供一個論壇，討論反惡意軟件測試的相關問題及相關產(chǎn)品； （2）制定并公布一套客觀的標準和進行反惡意軟件及相關產(chǎn)品測試的最佳方案；（3）促進對反惡意軟件及相關產(chǎn)品測試的培訓和方案認知； （4）提供工具和資源以支持基于標準的測試方法；（5

5、）提供現(xiàn)有和將來的反惡意軟件及相關產(chǎn)品的分析審查報告。此外，哈佛大學法學院伯克曼社會與網(wǎng)絡中心與牛津大學互聯(lián)網(wǎng)學院聯(lián)合成立了阻止不良軟件聯(lián)盟（StopBadware）。S是一個致力于消除惡意軟件的非盈利組織，它成立宗旨是“互聯(lián)網(wǎng)的守望相助”。它對用戶舉報的惡意軟件進行了詳細的分類評價，系統(tǒng)的研究保證了結果的科學性和權威性。Stopbadware的工作主要包括三方面：發(fā)布惡意軟件的警告、建立傳播惡意軟件站點的數(shù)據(jù)庫和發(fā)布針對惡意軟件的研究報告。目前國際上已制定出的惡意軟件事件預防和處理方面的標準和規(guī)范主要如下：（1）2004年1月，美國國家標準與技術協(xié)會NIST制定了

6、SP800-61：計算機安全事件處理指南，并于2008年3月發(fā)布了該標準的修訂版。在該標準的第五章，專門就惡意代碼事件的處理進行了詳細論述；（2）2005年11月，美國國家標準與技術協(xié)會NIST制定了SP800-83：惡意軟件事件預防和處理指南。該標準重點就惡意軟件分類、惡意軟件事件預防和惡意軟件事件響應進行了詳細描述和說明；（3）2006年9月，美國亞利桑那州制定了P800S860 ：病毒和惡意代碼防護。該標準的目的是建立全州病毒和惡意代碼保護的要求，以保障互聯(lián)網(wǎng)、IT控件和重要的敏感信息的安全；（4）2007年7月，ISO發(fā)布了ISO PS014：惡意軟件防護。該指南針對惡意軟件威脅，就管

7、理人員標準、技術標準和軟件標準等三方面需要遵循的要求進行了簡單說明；（5）2007年9月，美國國家安全局（NSA）發(fā)布了解決惡意代碼風險指南。本標準分析如何減少將惡意代碼進入軟件和軟件系統(tǒng)中的可能性，以減少惡意代碼的產(chǎn)生。為便于理解，該標準還分析了不同環(huán)境特點下和場景下惡意代碼可能出現(xiàn)的情況；（6）2008年3月，美國俄亥俄州制定了ITP-B.4：IT安全策略 惡意代碼安全。該規(guī)范重點說明了防范惡意代碼的威脅需要采取的安全策略和措施，從而確保信息系統(tǒng)和計算機的安全；（7）2008年3月，美國俄亥俄州發(fā)布了惡意代碼安全白皮書，該白皮書在ITP-B.4的基礎上，對惡意代碼需要采取的安全策略和措施進

8、行了進一步的分析和說明；（8）2008年4月，ITU發(fā)布了ITU-T-X.1207：電信服務商解決間諜軟件風險指南。該標準主要為電信服務商提供抵抗惡意軟件威脅的實施建議和針對使用者的廣泛教育，使電信服務商能更好的應對間諜軟件。（9）2013年7月，美國國家標準與技術協(xié)會NIST制定了SP800-83 r1：惡意軟件事件預防和處理指南。該標準重點就惡意軟件分類、惡意軟件事件預防和惡意軟件事件響應進行了詳細描述和說明；3.2 國內(nèi)現(xiàn)狀為了防治惡意軟件的威脅，國內(nèi)眾多安全廠商（比如說金山、瑞星、江民、奇虎等）先后推出了反惡意軟件工具。同時，為了對各廠商的反惡意軟件產(chǎn)品提供檢測和認證，1996年12月

9、，我國成立了計算機病毒防治產(chǎn)品檢驗中心。2000年8月，在計算機病毒防治產(chǎn)品檢驗中心的基礎上，我國建立了國家計算機病毒應急處理中心，該中心的主要工作任務是充分調(diào)動國內(nèi)防病毒力量，快速發(fā)現(xiàn)病毒疫情，快速發(fā)應，快速處置，防止計算機病毒對我國的計算機網(wǎng)絡和信息系統(tǒng)造成重大破壞。此外，近年來國內(nèi)也先后成立了國家互聯(lián)網(wǎng)應急中心、中國反惡意軟件聯(lián)盟、中國反流氓軟件聯(lián)盟（軟件行為用戶監(jiān)督聯(lián)盟）、互聯(lián)網(wǎng)軟件自律聯(lián)盟、網(wǎng)絡不良信息與垃圾信息舉報受理中心、中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調(diào)工作組等惡意軟件防范相關組織。在惡意軟件標準化方面，國內(nèi)也進行了一些研究，主要如下：2006年10月，中國互聯(lián)網(wǎng)協(xié)會成立反惡意軟件協(xié)

10、調(diào)工作組以共同研究惡意軟件判別標準，并于2006年11月公布了 “惡意軟件”的定義，認為惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機病毒。2007年6月中國互聯(lián)網(wǎng)協(xié)會又公布了“惡意軟件定義”細則，該細則對強制安裝，難以卸載，瀏覽器劫持，廣告彈出，惡意收集用戶信息，惡意卸載，惡意捆綁，其他侵犯用戶知情權和選擇權的惡意行為等八種現(xiàn)象進行了詳細解釋說明，認為只要涉及任意一項，便可以被認定為惡意軟件。該標準的制定對于推動行業(yè)自律、規(guī)范市場競爭、遏制惡意軟件的傳播具有一定的積極意義，但中國互聯(lián)網(wǎng)協(xié)會只是一個

11、民間組織，權威性不高，同時，由于其描述的惡意軟件的行為過于籠統(tǒng)，已引起了很大的爭論，導致其無法適用于現(xiàn)在的互聯(lián)網(wǎng)的管理。特別是該判定標準并不包括計算機病毒、木馬、蠕蟲、rootkit等惡意軟件，因此該標準的制定并不全面，需要進一步的研究和完善。同時，中國科學院研究生院國家計算機網(wǎng)絡入侵中心2008年承擔了全國信息安全標準化技術委員會國家標準研究項目 “惡意軟件防范技術相關標準研究”。該課題的研究目標主要是對惡意軟件防范技術相關標準進行基礎研究，進而確立惡意軟件防范技術標準體系框架，明確今后需要制定哪些標準及各標準主要內(nèi)容。此外，我國公安部也制定和公布了一些惡意軟件方面的標準，具體如下：（1）1

12、996年4月，公安部發(fā)布了GA 135-1996：DOS操作系統(tǒng)環(huán)境中計算機病毒防治產(chǎn)品測試方法，該標準對有關術語進行了定義，規(guī)定了計算機病毒防治產(chǎn)品的測試環(huán)境、測試步驟、測試內(nèi)容及功能測試方法，適用于國內(nèi)銷售的計算機病毒防治產(chǎn)品；（2）2000年3月，公安部發(fā)布了GA 243-2000：計算機病毒防治產(chǎn)品評級準則，該標準規(guī)定了計算機病毒防治產(chǎn)品的定義、參檢要求、檢測及評級方法，適用于計算機病毒防治產(chǎn)品的檢測和評級；（3）2006年1月，公安部發(fā)布了MSTL_JGF_04-022 01012006：信息安全技術 網(wǎng)際惡意代碼控制產(chǎn)品檢驗規(guī)范，該規(guī)范規(guī)定了網(wǎng)際惡意代碼控制產(chǎn)品的安全功能要求和安全

13、保證要求，適應于網(wǎng)際惡意代碼控制產(chǎn)品的開發(fā)及檢測。四、主要工作過程4.1標準立項2011年12月，信息安全技術 惡意軟件事件預防和處理指南被全國信息安全標準化技術委員會正式立項，定性為國家推薦性標準。中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心隨即正式成立標準編制組。4.2標準制定的主要工作過程2011年12月成立了以中國科學院大學國家計算機網(wǎng)絡入侵防范中心主任張玉清為負責人和主筆的信息安全技術 惡意軟件事件預防和處理指南標準編寫組。2012年1月起，標準編制組開始研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟件系列標準，重點研究標準中的惡意軟件事件預防和處理機制，研究、分析NIST SP 800

14、-83：Guide to Malware Incident Prevention and Handling。編制了惡意軟件事件預防和處理指南草案（第一稿）。2016年10年18日，參加安標委WG7工作組專家審查會，信息安全技術 惡意軟件事件預防和處理指南進行了審查。出席審查會的專家包括組長楊建軍、副組長閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處理表），形成并提交信息安全技術 惡意軟件事件預防和處理指南草案（第一稿）。2017年4年8日，參加安標委WG7工作組專家審查會，信息安全技術 惡意軟件事件預防和處理指南通過了審查。出席審查會的專家包括組長楊建軍

15、、副組長閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處理表），形成并提交信息安全技術 惡意軟件事件預防和處理指南草案（第二稿）。2018年4年16日，參加安標委WG7工作組專家審查會，信息安全技術 惡意軟件事件預防和處理指南通過了審查。出席審查會的專家包括組長楊建軍、副組長閔京華等，以及WG7秘書王慧蒞等。根據(jù)審查會專家意見進行修改（參見標準草案稿意見匯總處理表），形成征求意見稿。4.3標準的主要內(nèi)容研究惡意軟件動態(tài)和發(fā)展趨勢，研究分析惡意軟件系列標準，重點研究標準中的惡意軟件事件預防和處理機制，研究、分析NIST SP 800-83：Guide to Malware Incident Prevention and Handling。并最終編制了惡意軟件事件預防和處理指南，內(nèi)容包括：前 言引 言1 范圍2 規(guī)范性引用