工作机制

工作机制

 

秘书处

       反网络病毒联盟的日常工作由秘书处负责,主要包括:

       起草和制订联盟工作文件;

       受理申请吸纳成员扩大联盟;

       管理网络病毒事件信息举报受理中心的工作;

       协调联盟成员联络与交流;

       组织联盟年会、专题研讨、专项行动、反网络病毒调查等活动;

       负责联盟宣传活动。

 

联盟成员

       联盟成员应积极收集和发布网络病毒威胁信息,及时举报违反联盟章程和自律公约的个人和团体。具体工作包括:

       上报网络病毒样本信息和网络病毒事件信息,详细参看附件5.3网络病毒安全事件报送信息分类;

       配合秘书处对网络病毒事件进行处理;

       对于确定事件,向网站或服务器属主发送告警通知整改;

       对联盟发布的网络病毒事件,应积极参与应对;

       其他工作请参考下述不同成员单位的处置建议。

 

互联网运营机构成员

       应积极抵制网络病毒的传播、使用等不良行为,拒绝为上述行为提供网络接入服务;

       一旦发现本单位签约客户从事上述不良活动,应立即通知用户停止相关活动或根据国家有关法律、法规、行政命令或服务合同采取抵制措施。

 

互联网服务机构成员

       应确保自有产品和服务安全可靠,积极抵制网络病毒制造、销售、传播,黑客技术培训等相关交易和交流活动,拒绝为上述活动IP提供信息发布、软件下载和内容链接等服务;

       一旦发现本单位签约本单位签约客户从事上述不良活动,应立即通知用户停止相关活动或根据国家有关法律、法规、行政命令或客户服务合同采取抵制措施。

 

搜索引擎服务提供商成员

       搜索引擎服务提供商(包括网络资源搜索及下载服务提供商)应在搜索结果中主动警示或屏蔽联盟确认的、传播网络病毒的恶意网站信息,以抵制网络病毒,维护用户利益。

 

网络安全服务和研究机构成员

       自主创新、研发反网络病毒的新技术、新手段,为用户提供防护网络病毒的手段、工具,以及反网络病毒和网络安全防护的技术支持、信息咨询等服务;

       配合联盟秘书处共建、共享网络病毒样本库;

       对联盟发布的网络病毒样本,积极研发针对性的防范、查杀工具软件;

       升级相关产品特征库,并升级到相关安全产品协助用户进行防护。

 

重要应用系统运行部门

       应保障自身的网络安全,减少网络病毒对内对外传播的机会;

       配合其他互联网安全管理部门处理本系统的网络病毒事件。

 

个人

       应保障自身的电脑安全,避免感染网络病毒;

       配合互联网安全管理部门处理涉及本人的网络病毒事件。

 

网络病毒举报受理中心

       秘书处成立网络病毒举报受理中心(以下简称“受理中心”),为反网络病毒联盟提供相关技术支持和服务,通过联盟网站、电子邮件等渠道受理网络病毒事件投诉、发布网络病毒威胁信息、协调开展网络病毒处理等工作。

 

受理中心职责:

       接收网络病毒样本和事件信息举报,建设网络病毒信息库;

       对疑难事件协调联盟成员有关单位进行分析与核查;

       对事件信息进行统计和分析,发布相关数据报告;

       协同联盟成员通过自律方式加强网络病毒防范和处置;

       对于确定事件,协调联盟成员单位进行处理;

       对联盟成员单位的反网络病毒工作进行舆论监督;

       对危害严重的网络病毒样本、网络病毒威胁黑名单进行公示;

       统计、分析、公布网络病毒样本和网络病毒事件发生发展趋势;

       接受被举报单位关于事件处理的申诉;

       开展相关技术培训、咨询等工作;

       接受秘书处的监督、协调和管理。

 

受理中心支持系统:

       为公众用户提供网络病毒样本和事件信息举报入口

       为机构用户提供批量事件举报接口

       提供预警公告、统计分析报告

       提供网络病毒防范、查杀工具下载

       提供反网络病毒知识;

       网络病毒事件处理申诉;

       网络病毒威胁黑名单曝光台。

 

基本工作流程:

       网络病毒事件处理流程

       略

 

       网络病毒样本处理流程

       略

 

被举报个人和单位        

       针对联盟成员或社会举报的网络病毒和其它网络安全信息,被举报个人和单位应积极核实,并采取有效的处置措施;对于查证核实确无网络病毒事件发生的,可向受理中心提出申诉。

 

附件

网络病毒定义及分类

       根据《中华人民共和国计算机信息系统安全保护条例》和《计算机病毒防治管理办法》,计算机病毒的权威定义是 “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

       网络病毒,指通过互联网传播的,被利用来实施网络攻击、网络欺诈、非法远程控制和网络信息窃取等入侵、破坏活动的计算机病毒。常见的网络病毒的传播方式分为2种:主动传播和被动传播。

       蠕虫(Worm):蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。

       特洛伊木马(Trojan Horse):简称木马,是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马和其它木马六类。

       僵尸程序(Bot):是用于构建僵尸网络以形成大规模攻击平台的恶意代码。僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。

       漏洞攻击代码:利用网络应用或服务的设计缺陷或不当配置实施网络攻击、破坏等恶意行为的恶意程序代码。

       后门程序:能够绕过网络应用或服务的安全性控制而获取对程序或系统的访问权的程序代码。

 

网络病毒事件分类 

       对网络病毒安全事件分类是有效开展网络病毒安全事件举报、应急处置、调查处理和评估备案等信息安全应急响应工作的重要依据。网络病毒安全事件分类的参考要素包括安全事件行为、安全事件客体、安全事件主体等。根据分类参考要素,安全事件可分为网络病毒事件、网络病毒攻击事件、网络传输系统病毒事件等一层分类,在此基础上,又可细分成若干个第二层、三层分类。以网络或系统异常为例,如下表所示:

 

第一层分类

第二层分类

第三层分类

网络病毒感染事件

蠕虫事件

新增蠕虫感染主机

木马事件

新增被植入木马主机

新增木马控制端主机

网页挂马事件

新增被挂马服务器主机

新增被网马感染客户端主机

僵尸网络事件

新增僵尸主机

新增僵尸控制端主机

网络病毒传播事件

网络病毒传播事件

蠕虫攻击尝试

网马被访问

邮件传播病毒

IM传播病毒

彩信传播病毒  

网络病毒攻击事件

网络病毒攻击事件

拒绝服务攻击

后门漏洞攻击

 

 


         盗号木马:用于窃取用户电子邮箱、网络游戏等账号的木马。

     网银木马:用于窃取用户网银、证券等账号的木马。

     窃密木马:用于窃取用户主机中敏感文件或数据的木马。

     远程控制木马:以不正当手段获得主机管理员权限,并能够通过网络操控用户主机的木马。

     流量劫持木马:用于劫持用户网络浏览的流量到攻击者指定站点的木马。