浙江省通信管理局关于印发木马和僵尸网络监测与处置机制实施细则的通知

安全保障设施与主体工程同步建设、同步验收的相关要求。 • 验收报告、上线前风险评估
2、符合性评测和风险评估（20分） • 按照11号令第十一条、第十二条以及《指导意见》的相关要求，定期对已顶级备案的网络单元开展符合性评
测和风险评估
3、网络安全检查情况（20分） • 按照11号令第十七、十九条的要求，接受电信主管部门的网络安全检查
信息安全管理部分（3分）
1、网络信息安全机构设置和人员 2、IDC/ISP信息安全技术管理
配置（0.4）
系统建设（1.0）
3、信息安全监管 （1.6）
重大专 项任务 和监管 配合
（0.6）
移动上 网日志 留存工
作
（0.5）
新技术 新业务 评估 （0.5）
“扫黄打非”工作 通信信息诈骗治理 反恐维稳应急处置和监管配合工作
• 依据：
– 《通信网络安全防护管理办法》（工业和信息化部令第11号） – 通信网络安全防护系列标准
• 网络基础设施安全
– 合理划分网络和系统的安全域，理清网络边界，加强边界防护 – 完善域名系统安全防护措施，加强公共递归域名解析系统的域名数据应急备
份。
• 业务系统安全
– 加强网站安全防护和企业办公、维护终端的安全管理。
手段
新入网用户实名登记 • 严格按照规定对新入网用户实施实名登记。 • 为单位用户办理移动电话入网手续时，要做到移动电话与实际使用人一一对应。
未实名登记用户补登记 • 积极对之前入网的未实名老用户进行补登记，并确保2015年12月31日前全部电话用户
实名登记绿达到90%以上。
1、电话实名制登记 （0.8）
1、网络安全组织保障 (0.3)
网络安全管理部分-1.8分

什么是因特网信息服务业务因特网信息服务业务是《电信业务分类目录》中的信息服务中的一种形式，《互联网信息服务管理办法》中所指的“互联网信息服务”仅指通过因特网提供的信息服务。

从事因特网信息服务业务，需要申请经营范围为互联网信息服务的增值电信业务经营许可证（就是我们常说的ICP证）.申请从事因特网信息服务业务也就是互联网信息服务业务需要填写的材料有：说明：一个网站名称可以对应多个域名，每个域名可以对应多个IP地址，每个IP地址对以一个接入服务商，对应一种接入方式和一个服务器放置地。

注1：有害信息发现和过滤、日志留存等方面的网络信息安全技术手段的详细材料，包括功能目的、技术方案、处置流程、保障措施等，具体内容应符合《互联网信息服务管理办法》等相关规定。

对于尚未进行实质性系统建设的申请者，应提供同步配套建设信息安全技术手段的承诺，并报送建设方案和实施计划等材料。

注2：申请因特网数据中心、因特网接入服务、信息服务业务（不含固定网电话信息服务）和互联网信息服务的应提供配合开展公共网络环境治理工作的承诺。

具体内容应符合《通信网络安全防护管理办法》、《互联网网络安全信息通报实施办法》、《木马和僵尸网络监测与处置机制》、《公共互联网网络安全应急预案》、《域名系统安全专项应急预案》和通信网络安全防护系列标准。

依法经营电信业务承诺书XX省通信管理局：我公司在获得信息服务业务经营许可证以后，在从事电信业务经营活动中，将遵守如下承诺：一、我们将严格遵守有关电信法律、法规和政策，严格按照已批准的业务服务范围，从事合法的电信业务经营活动；二、保证提供的电信服务业务符合国家信息安全的要求，严格执行国家安全管理部门和电信主管部门的安全保密管理规定；我公司承诺在开展信息服务业务时，将依照原信息产业部颁布的《增值电信业务网络信息安全保障基本要求》(YDN126-2007)完善公司的网络与信息安全保障措施，制定相应的信息安全管理制度，建立网络与信息安全应急流程，落实信息安全责任。

这类用户应积极配合有关部¨清除恶意代码。但对于涉嫌犯罪的木
马和 僵 尸网络 事件 ，将报 请公安 机关依 法调查 处理 。
４与非经营性互联 单位协作
互联网是没有边界的，非经营性互联单位网内的木马和僵 尸 网络也会对整个互联网的网络安全造成威胁，同样可 以对经营性
互 联单 位 网 内的用 户发 起 恶 意攻 击 等 ，因此 ， 木 马 和僵 尸 网络 《 监 测与处 置机 制》 第十六 条规 定 ，Ｃ Ｅ Ｔ应 与非 经 营性 互联 单 ＮＣ Ｒ 位合作 ，协调 非经 营性 互 联单位 处 置 其网 内木 马 和僵 尸网络 。
些 问题
《 互联网网络安全信 息通报实施办法》主要解决信 息通报工 作 中“ 谁来报信息” “ 、 报什么信息” 怎么报信息” 我能得到什 、“ 、“
么 信息”的问题 。 “ 来 报信 息 ” 互联 网网络 安 全 信 息 通报 实 施 办 法 》 中规 谁 ，《
２ ０ 年 １ 月，某商业银行网银系统和某著名跨 国机 构网站先后 ０８ ２ 遭到网络攻击，导致网站服务拥塞甚至中断，给企业的正常经营 和声誉带来不利影响。事后经监测数据分析，该类事件均由僵尸 网络发起的分布式拒绝服务攻击造成 据 国家 计算 机 网络 应 急 技 术 处 理 协调 中心 （ 以下 简 称
Ｃ ＮＣＥ Ｔ Ｒ ）抽 样监 测 统 ｉ，２０ 年 我 国境 内感 染 木 马 控制 端 的 Ｔ ０８ Ｉ 址 为 ４ ８ ８ 个，感 染 木 马 被 控端 的 Ｉ 址 为 ５５ ０ 个 ， Ｐ地 ３， ６ ３ Ｐ地 ６， ５ ６ 感 染僵 尸网络控 制端 的 Ｉ 址 为 １ ２ 个，感 染僵 尸 网络 被控 制 Ｐ地 ，５ ８ 端 的 Ｉ 址为 １ ３，４ Ｐ地 ， ７ ３个。２ ０ 年 Ｃ Ｅ Ｔ共 发 现 各种 僵 尸 ２ ０ ０８ ＮＣ Ｒ

公共互联网网络安全威胁监测与处置办法第一条为加强和规范公共互联网网络安全威胁监测与处置工作，消除安全隐患，制止攻击行为，避免危害发生，降低安全风险，维护网络秩序和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责，制定本办法。

第二条本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件，包括：（一）被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息，包括木马和僵尸网络控制端，钓鱼网站，钓鱼电子邮件、短信/彩信、即时通信等；（二）被用于实施网络攻击的恶意程序，包括木马、病毒、僵尸程序、移动恶意程序等；（三）网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等；（四）网络服务和产品已被非法入侵、非法控制的网络安全事件，包括主机受控、数据泄露、网页篡改等；（五）其他威胁网络安全或存在安全隐患的情形。

第三条工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。

各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。

工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。

第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。

第五条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作，明确责任部门、责任人和联系人，加强相关技术手段建设，不断提高网络安全威胁监测与处置的及时性、准确性和有效性。

第六条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后，属于本单位自身问题的，应当立即进行处置，涉及其他主体的，应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。

浙江银监局办公室关于印发《浙江银行业电子政务传输系统管理实施细则》的通知正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 浙江银监局办公室关于印发《浙江银行业电子政务传输系统管理实施细则》的通知机关各处室，各政策性银行浙江省分行（营业部），各国有商业银行浙江省分行（营业部、工行私人银行部杭州分部），浙商银行、各股份制商业银行杭州分行（招行小企业信贷中心杭州分中心），邮储银行浙江省分行、杭州市分行各金融资产管理公司杭州办事处（浙江省分公司），各城市商业银行、各城市商业银行杭州分行，省农信联社、杭州辖内各农村中小金融机构，各外资银行杭州分行，各信托公司、财务公司、金融租赁公司：为进一步改进我局与辖内各银行业金融机构间的文件传输方式，提高办文办会效率，我局决定建设浙江银行业电子政务传输系统。

现将《浙江银行业电子政务传输系统管理实施细则》（以下简称《实施细则》）印发给你们，并将有关要求通知如下，请一并贯彻执行。

一、加强领导，确保正常运行。

各使用单位要按照我局有关要求和《实施细则》的有关规定，加强领导，明确责任，落实到人，操作人员应熟悉浙江银行业电子政务传输系统的工作流程，熟练掌握操作方法，确保系统正常运转。

各使用单位要加强维护管理工作，及时更新系统操作人员及短信接收人员信息变动情况，保证信息传递的畅通。

二、积极准备，切实做好推进工作。

一是做好各项准备工作。

各使用单位要按我局10月9日会议确定的进度抓好各项工作，尽快落实相关办公设备，明确固定人员和场所，积极做好系统软件安装工作，并做到专人专责，确保此次系统建设的整体进度。

二是积极开展系统实际应用。

除不能通过电子传输的涉密公文外，普通的公文、会议通知和报名、信息材料等均通过该系统传递，系统正式运行后我局原则上不再接收纸质文件（除行政许可申请类文件仍需坚持电子、纸质并行外）。

网络安全事件应急预案1 总则1.1 编制目的建立健全本市网络安全事件应急工作机制，提高应对突发网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序，保障城市安全运行。

1.2 编制依据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《突发事件应急预案管理办法》、《国家网络安全事件应急预案》、《XX市实施<中华人民共和国突发事件应对法>办法》、《XX市突发公共事件总体应急预案》和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986—2007）等,编制本预案。

1.3 适用范围本预案适用于本市行政区域内发生的网络安全事件，以及发生在其他地区且有可能影响XX城市安全运行的网络安全事件的预防和处置工作。

其中，有关基础电信网络的通信保障和通信恢复等应急处置工作，适用《XX市通信保障应急预案》;有关信息内容安全事件、涉密网络和系统的网络安全事件的应对，另行制定预案。

1.4 工作原则坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

2 组织体系2.1 领导机构市委网络安全和信息化委员会（以下称“市委网信委”）负责统筹协调组织本市网络安全保障工作，对处置本市网络安全事件实施统一指挥。

2.2 应急联动机构市应急联动中心设在市公安局，作为本市突发事件应急联动先期处置的职能机构和指挥平台，履行应急联动处置较大和一般突发事件、组织联动单位对特别重大或重大突发事件进行先期处置等职责。

各联动单位在其职责范围内，负责突发事件应急联动先期处置工作。

2.3 市应急处置指挥部发生特别重大、重大网络安全事件发生，职能部门报市领导决定后，将市委网信委转为市网络安全事件应急处置指挥部（以下简称“市应急处置指挥部”），统一指挥本市网络安全事件处置工作。

重庆移动僵木蠕检测方案书目录1.总体描述 (3)1.1背景概述 (3)1.2项目来源 (3)1.3建设目标 (4)1.3.1系统现有功能： (4)1.3.2 2015年建设新增需求： (4)1.3.3 本方案增值功能 (5)1.4质量目标 (5)2.框架设计 (6)2.1总体架构设计 (7)2.2本地架构设计 (7)2.3云端架构设计 (8)2.3.1 CNCERT云联动 (8)2.3.2僵木蠕检测云联动 (8)2.3.3未知威胁检测云联动 (9)3.方案投入 (10)4.相关设备技术说明 (10)4.1僵木蠕检测设备 (10)4.1.1僵木蠕检测设备硬件 (10)4.1.2僵木蠕检测设备软件功能 (11)4.2光选汇聚分流器技术说明 (13)1.总体描述1.1背景概述网络恶意代码（包括僵尸网络、木马、病毒、蠕虫）给网络系统带来了极大的危害，尤其是僵尸网络、木马和蠕虫。

僵尸网络会对安全中心的通信服务质量产生影响，是DDOS攻击发生的主要原因；木马攻击不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为远程操控的工具；早期的蠕虫仅仅是恶意代码的传播手段，但新型的蠕虫（如飞客蠕虫等）已经具备了攻击特征，成为网络系统的安全隐患。

传统的恶意代码可以通过杀毒软件、防火墙、IPS等传统安全产品进行防护，但对于变种木马、免杀木马、新型蠕虫等恶意代码，传统安全产品的防护能力有限。

近段时间国内发生了多起针对国家重点行业的黑客攻击，包括中国电信、东风集团、中国银行、中石化、中石油以及国家电网。

其中导致中国电信被窃取了超过900个管理员的帐号和密码。

这些渗透攻击手段都是通过存在漏洞的互联网访问、垃圾邮件等手段在用户内部植入的僵尸网络、木马程序以及蠕虫病毒所造成。

所以，充分考虑网络恶意代码的防护并将其纳入到建设范围，变的十分迫切和必要。

1.2项目来源今年工信部对各运营商实行考核，要求按照《木马僵尸网络监测与处里机制》(工信部保〔2009〕157号）及《工业和信息化部关于印发<基础电信企业信息安全责任管理办法（试行）的通知>》（工信部保[2009]713）、《关于做好2013年基础电信企业安全责任考核有关工作的通知》（工信保函[2013]467号）的要求，建立本企业内部的监测和处置机制。

注1：首席网络安全官主要职责包括但不限于规划企业网络与信息安全中长期发展战略、管理策略，统筹协调企业内部网络与信息安全责任落实。
注2：集团公司应及时将年度网络与信息安全资金投入总体情况报部网安局。
注3：已启动混合所有制改革的省公司应于2020年8月31日前报送改革方案。
（二）重大网络与信息安全事件
1.发生特别重大网络安全或数据安全事件的，发生一次扣100分；发生重大网络安全或数据安全事件的，发生一次扣75分；发生较大网络安全或数据安全事件的，发生一次扣50分；发生一般网络安全或数据安全事件的，发生一次扣25分（注1，注2）。
企业应完成网络安全态势感知平台的需求说明书和建设方案编制工作，具备与上级平台的指令接收和数据上报接口，在本年度完成平台建设的招投标工作并开工建设。建设方案应包括对数据源的收集，并基于网络安全态势分析进行预警。不满足以上要求，扣10分（注1、注2）。
注1：数据源收集应满足完整性，需包含资产信息、系统日志、僵木蠕、恶意程序、网络攻击、安全漏洞等数据。网络安全态势分析包括对网络攻击情况、网络异常流量情况以及恶意程序传播情况的分析，应在发现上述情况后显示告警。
注1：属地化考核指标设定标准：
①紧扣网络与信息安全重点工作，
②有力支撑属地提升监管效能，
③对于已列入部统一考核的指标，原则上不纳入属地化考核指标。
注2：对于未按要求完成配合监管工作的，管局应出具书面扣分说明及处理意见。
二、网络安全责任制
（一）制度建设、专业力量和资金投入
严格落实网络安全责任制，设置首席网络安全官、网络与信息安全专职管理部门，加强专业力量和资金投入力度。
注1：检查对象包括基础企业自有系统和合作系统，范围包括生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。

公共互联网网络安全威胁监测与处置办法第一条为加强和规范公共互联网网络安全威胁监测与处置工作，消除安全隐患，制止攻击行为，避免危害发生，降低安全风险，维护网络秩序和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责，制定本办法。

第二条本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件，包括：（一）被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息，包括木马和僵尸网络控制端，钓鱼网站，钓鱼电子邮件、短信/彩信、即时通信等；（二）被用于实施网络攻击的恶意程序，包括木马、病毒、僵尸程序、移动恶意程序等；（三）网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等；（四）网络服务和产品已被非法入侵、非法控制的网络安全事件，包括主机受控、数据泄露、网页篡改等；（五）其他威胁网络安全或存在安全隐患的情形。

第三条工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。

各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。

工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。

第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。

第五条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作，明确责任部门、责任人和联系人，加强相关技术手段建设，不断提高网络安全威胁监测与处置的及时性、准确性和有效性。

第六条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后，属于本单位自身问题的，应当立即进行处置，涉及其他主体的，应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。

工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见文章属性•【制定机关】工业和信息化部•【公布日期】2014.08.28•【文号】工信部保[2014]368号•【施行日期】2014.08.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见（工信部保〔2014〕368号2014年8月28日）各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司，国家计算机网络应急技术处理协调中心，工业和信息化部电信研究院、通信行业职业技能鉴定指导中心，中国通信企业协会、中国互联网协会，各互联网域名注册管理机构，有关单位：近年来，各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求，在加强网络基础设施建设、促进网络经济快速发展的同时，不断强化网络安全工作，网络安全保障能力明显提高。

但也要看到，当前网络安全形势十分严峻复杂，境内外网络攻击活动日趋频繁，网络攻击的手法更加复杂隐蔽，新技术新业务带来的网络安全问题逐渐凸显。

新形势下电信和互联网行业网络安全工作存在的问题突出表现在：重发展、轻安全思想普遍存在，网络安全工作体制机制不健全，网络安全技术能力和手段不足，关键软硬件安全可控程度低等。

为有效应对日益严峻复杂的网络安全威胁和挑战，切实加强和改进网络安全工作，进一步提高电信和互联网行业网络安全保障能力和水平，提出以下意见。

一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神，坚持以安全保发展、以发展促安全，坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施，坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合，坚持立足行业、服务全局，以提升网络安全保障能力为主线，以完善网络安全保障体系为目标，着力提高网络基础设施和业务系统安全防护水平，增强网络安全技术能力，强化网络数据和用户信息保护，推进安全可控关键软硬件应用，为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。

① 截至2015年l2月31日，各省级基础电信企业全部电话用户实名登记率每低于90%一个百分点，扣8分 。电话用户实名登记率以工业和信息化部认可的第三方机构的抽测结果为准。 ① 截止2015年12月31日，每发现一个自办厅和合作厅未铺设高拍仪的，扣2分。 ② 未按要求建设“双照片系统”的扣8分。 要求：（1）市场部加大实名制考核力度，切实落实考核要求；加强黑卡管理、老用户实名登记、健全实 名登记“双照片”制度；
⑥ 地市级公司配备至少1名专职网络安全工作人员。 ⑦ IDC/ISP信息接入，网站备案至少配备2名专职人员。
要求：（1）设置机构，解决存在问题。 （2）在4月中旬完成人员配备，OA工作职责体现并有正式文件下发。
一、部门工作分解
集团客户部
IDC/ISP系统信息维护、备案管理
规范使用IDC/ISP信息安全技术管理系统确保系统安全稳定运行，发生系统故障对信息安全管理造成 较大影响的，一次扣5分，直至扣完为止。 要求：4月20日前提供正式印发执行的IDC/ISP信息安全管理系统使用管理办法和技术保障措施；确保 信息准确实时上报；网站备案要求达到100%。
台实现）。 要求：（1）由省电信主管部门对“发现省内用户感染已知木马和僵尸网络的能力”进行拨测验 证，对已知样本的拨测成功率应不低于10%，拨测样本和工具由部（通信保障局）统一下发；
（2）日常配合：按要求，开展发现、分析、处置及信息报送工作。
移动上网日志
① 协助移动上网日志WAP上网部分系统测试报告。 ② 保留平台季度巡检报告。
至少配备1名）。 ③ 网络管理二级部门至少配备3名专职网络安全管理人员，具体负责网络安全防护、网络安全威
胁治理、网络安全应急保障等管理工作。 ④ 在网络运行操作部门（如网管中心）至少配备3名专职网络安全技术人员。

公共互联网网络安全威胁监测与处置办法第一条为加强和规范公共互联网网络安全威胁监测与处置工作，消除安全隐患，制止攻击行为，避免危害发生，降低安全风险，维护网络秩序和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责，制定本办法。

第二条本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件，包括：矚慫润厲钐瘗睞枥庑赖賃軔朧。

（一）被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息，包括木马和僵尸网络控制端，钓鱼网站，钓鱼电子邮件、短信/彩信、即时通信等；聞創沟燴鐺險爱氇谴净祸測樅。

（二）被用于实施网络攻击的恶意程序，包括木马、病毒、僵尸程序、移动恶意程序等；（三）网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等；（四）网络服务和产品已被非法入侵、非法控制的网络安全事件，包括主机受控、数据泄露、网页篡改等；（五）其他威胁网络安全或存在安全隐患的情形。

第三条工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。

各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。

工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。

残骛楼諍锩瀨濟溆塹籟婭骒東。

第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。

第五条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作，明确责任部门、责任人和联系人，加强相关技术手段建设，不断提高网络安全威胁监测与处置的及时性、准确性和有效性。

酽锕极額閉镇桧猪訣锥顧荭钯。

第六条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后，属于本单位自身问题的，应当立即进行处置，涉及其他主体的，应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。

日常监测和处置工作落实情况二网络安全环境治理404020考核指标重点考核内容是否对移动互联网恶意程序具备疑似样本捕获发现省内用户感染和处置的能力移动互联网恶意程序监测处置平台建设木马和僵尸网络监测处置平台建日常监测和处置工作落实是否按要求开展移动互联网恶意程序木马和僵尸网络的发现分析处置及信息报送等工作是否对木马和僵尸网络具备疑似样本捕获发现省内用户感染和处置的能力网络安全事件应急处置情况三网络安全应急考核指标重点考核内容是否及时准确向电信主管部门报告网络安全突发事件网络安全应急是否制定网络安全应急预案并与电信主管部门衔接是否在网络安全突发事件发生后采取有效适当的应急处置措施是否配合做好电信主管部门组织的网络安全应急演练组织开展本企业的网络安全应急演练是否按照电信主管部门要求为重要信息系统提供支撑保障考核指标设立依据2014年考核指标变化情况2014年考核指标解读重点问题解答问题1
二、网络安全环境 治理
1.移动互联网 恶意程序监测 处置平台建设
情况
40%
2.木马和僵尸 网络监测处置 平台建设情况
40%
3.日常监测和 处置工作落实
情况
20%
考核指标
移动互联网恶意 程序监测处置平
台建设
木马和僵尸网络 监测处置平台建
设
日常监测和处置 工作落实
重点考核内容
是否对移动互联网恶意程序具备疑似样本捕获、 发现省内用户感染和处置的能力
考核指标设立依据 2014年考核指标变化情况 2014年考核指标解读
重点问题解答
2014年考核指标变化情况
突出重点，推动难点
-安全机构设置、手段建设等指标进行了细化要求；
优化精简，突出实效
-对定级、备案、自评测和自评估等指标进行了精简和整合；

重庆移动僵木蠕检测方案书目录1.总体描述 (3)1.1背景概述 (3)1.2项目来源 (3)1.3建设目标 (4)1.3.1系统现有功能： (4)1.3.2 2015年建设新增需求： (4)1.3.3 本方案增值功能 (5)1.4质量目标 (5)2.框架设计 (6)2.1总体架构设计 (7)2.2本地架构设计 (7)2.3云端架构设计 (8)2.3.1 CNCERT云联动 (8)2.3.2僵木蠕检测云联动 (8)2.3.3未知威胁检测云联动 (9)3.方案投入 (10)4.相关设备技术说明 (10)4.1僵木蠕检测设备 (10)4.1.1僵木蠕检测设备硬件 (10)4.1.2僵木蠕检测设备软件功能 (11)4.2光选汇聚分流器技术说明 (13)1.总体描述1.1背景概述网络恶意代码（包括僵尸网络、木马、病毒、蠕虫）给网络系统带来了极大的危害，尤其是僵尸网络、木马和蠕虫。

僵尸网络会对安全中心的通信服务质量产生影响，是DDOS攻击发生的主要原因；木马攻击不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为远程操控的工具；早期的蠕虫仅仅是恶意代码的传播手段，但新型的蠕虫（如飞客蠕虫等）已经具备了攻击特征，成为网络系统的安全隐患。

传统的恶意代码可以通过杀毒软件、防火墙、IPS等传统安全产品进行防护，但对于变种木马、免杀木马、新型蠕虫等恶意代码，传统安全产品的防护能力有限。

近段时间国内发生了多起针对国家重点行业的黑客攻击，包括中国电信、东风集团、中国银行、中石化、中石油以及国家电网。

其中导致中国电信被窃取了超过900个管理员的帐号和密码。

这些渗透攻击手段都是通过存在漏洞的互联网访问、垃圾邮件等手段在用户内部植入的僵尸网络、木马程序以及蠕虫病毒所造成。

所以，充分考虑网络恶意代码的防护并将其纳入到建设范围，变的十分迫切和必要。

1.2项目来源今年工信部对各运营商实行考核，要求按照《木马僵尸网络监测与处里机制》(工信部保〔2009〕157号）及《工业和信息化部关于印发<基础电信企业信息安全责任管理办法（试行）的通知>》（工信部保[2009]713）、《关于做好2013年基础电信企业安全责任考核有关工作的通知》（工信保函[2013]467号）的要求，建立本企业内部的监测和处置机制。

邮件告警 支持自定义告警策略
地图式告警，UI弹出式告警，邮件告警，声 音告警
未知
全流量回溯 攻击行为溯源 资产关联分析 事件关联分析
部署方式
支持 强。根据通信行为能够定位木马攻击路径。
支持
不支持
不支持
弱，只能检测攻击路径展示。
路径展示。
恶意代码（挂马、钓鱼邮件等）
用于检测APT攻击中的恶意代码，主要侧重 0DAY/NDAY的检测
用于检测APT攻击中的恶意代码，主要侧重 0DAY/NDAY的检测
优点：按照木马生命周期检测，采用多种木马
通信行为检测技术相互组合，能够检测木马生 优点：通过虚拟执行技术来检测0DAY和
命周期中植入、潜伏、活跃各个阶段的行为， NDAY漏洞，以及部分其他恶意代码。
• 规律域名解析 请求；
• 固定时间间隔 下内容一致的 通信行为
协议异常
• HTTP协议； • DNS协议； • 邮件类型协议
流量判断
异常访问次数
• 境外IP长时间 连接；
• 上下行流量比； • 传输总量； • 传输时间异常
• 内外网IP； • 域名访问； • URL访问
综合分析
• 数据关联分析 • 特殊筛选算法
全流量、大数据分析
通信数据全流量捕获分 析，对关键事件通信数 据进行存储，可完全回 溯事件过程。
主要特点
基于行为分析检测技术
通过对心跳信号、协议 异常、流量异常、访问 异常等行为进行分析， 识别木马通信行为。
事件、资产关联分析
铁穹对威胁事件和企业 重要资产进行关联分析， 准确定位攻击位置和意 图。
铁穹高级持续性威胁预警系统
东巽科技（南京）有限公司
Copyright © All Rights Reserved. 1

公共互联网网络安全威胁监测与处置办法第一条为加强和规范公共互联网网络安全威胁监测与处置工作，消除安全隐患，制止攻击行为，避免危害发生，降低安全风险，维护网络秩序和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责，制定本办法。

第二条本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件，包括：（一）被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息，包括木马和僵尸网络控制端，钓鱼网站，钓鱼电子邮件、短信/彩信、即时通信等；（二）被用于实施网络攻击的恶意程序，包括木马、病毒、僵尸程序、移动恶意程序等；（三）网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等；（四）网络服务和产品已被非法入侵、非法控制的网络安全事件，包括主机受控、数据泄露、网页篡改等；（五）其他威胁网络安全或存在安全隐患的情形。

第三条工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。

各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。

工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。

第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。

第五条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作，明确责任部门、责任人和联系人，加强相关技术手段建设，不断提高网络安全威胁监测与处置的及时性、准确性和有效性。

第六条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后，属于本单位自身问题的，应当立即进行处置，涉及其他主体的，应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。

互联网信息服务业务为用户提供长期服务和质量保障措施
加盖公司公章
客户服务电话
监督电话
服务时限
□5*８□7＊２4
客服座席数
客户服务负责人
联系电话(手机)
为用户提供长期服务和质量保障措施
（至少应当包括相应的管理制度、技术措施、服务要求、服务标准)
注释：服务标准可查询《电信服务规范》(信息产业部令第36号)。
接入方式
□虚拟主机□主机托管□主机租用□专线□其他
网站栏目
服务器放置地
（限中国大陆境内）
接入服务商
需前置审批的项目
□新闻
批准文号
□出版
批准文号
□教育
批准文号
□医疗保健
批准文号
□药品和医疗器械
批准文号
□文化
批准文号
□广播电影电视节目
批准文号
□BBS
批准文号
服务项目
简要描述
□网络广告
□电子邮件
□搜索引擎
八、我公司将严格执行国家制定的外商投资电信行业的政策规定，在引入外资前,按照《外商投资电信企业管理规定》办理有关手续；
九、我公司将按电信主管部门要求在取证时与发证机关签订电信业务经营许可证“特别规定事项”,并严格按照“特别规定事项”的各项规定经营相关电信业务；
十、我公司承诺根据电信业务市场监测需要，按照规定要求向电信主管部门报送相应的监测信息。
主要设备清单
设备 品牌 型号 数量
技术负责人
联系方式（手机）
互联网信息服务业务网络与信息安全保障措施加盖公司公章
信息安全负责人
联系电话（手机）
网络与信息安全保障措施
信息安全管理组织机构设置及工作职责
网络与信息安全管理人员配备情况及相应资质