互联网网络安全信息通报实施办法

Size: px

Start display at page:

Download "互联网网络安全信息通报实施办法"

费张
7 years ago
Views:

1 互联网网络安全信息通报实施办法关于印发互联网网络安全信息通报实施办法的通知 2009 年 4 月 13 日, 工业和信息化部发布关于印发互联网网络安全信息通报实施办法的通知, 通知全文如下 : 关于印发互联网网络安全信息通报实施办法的通知工信部保 [2009]156 号各省自治区直辖市通信管理局国家计算机网络应急技术处理协调中心中国互联网络信息中心政府和公益机构域名注册管理中心部电信研究院中国互联网协会中国电信集团公司中国移动通信集团公司中国联合网络通信集团有限公司其他相关单位 : 为规范通信行业互联网网络安全信息通报工作, 制定互联网网络安全信息通报实施办法, 现印发给你们, 请遵照执行联系人 : 付景广二〇〇九年四月十三日互联网网络安全信息通报实施办法第一条为规范通信行业互联网网络安全信息通报工作, 促进网络安全信息共享, 提高网络安全预警防范和应急水平, 依据互联网网络安全应急预案制定本办法第二条本办法适用于通信行业互联网等 IP 网络和系统的网络安全信息通报 ( 以下简称信息通报 ) 工作第三条工业和信息化部指导监督检查全国信息通报工作, 工业和信息化部通信保障局 ( 以下简称通信保障局 ) 负责信息通报具体工作省自治区直辖市通信管理局 ( 以下简称通信管理局 ) 指导监督检查本行政区域内信息通报工作

2 第四条通信管理局基础电信业务经营者跨省经营的增值电信业务经营者国家计算机网络应急技术处理协调中心 ( 以下简称 CNCERT) 互联网域名注册管理机构互联网域名注册服务机构中国互联网协会为信息报送单位第五条通信保障局委托 CNCERT 收集汇总分析发布互联网网络安全信息 ( 以下简称信息 ) 第六条信息报送应遵循及时客观真实准确完整的原则, 不得迟报谎报瞒报漏报第七条基础电信业务经营者跨省经营的增值电信业务经营者 CNCERT 互联网域名注册管理机构互联网域名注册服务机构应建立并完善本单位信息监测机制, 提高监测能力, 自主监测涉及本单位管理范围内的信息第八条信息报送单位应制定并完善本单位信息通报机制, 明确负责信息通报工作的主管领导和承担信息通报工作的责任部门负责人和联络人, 及时汇总本单位内部不同部门不同渠道掌握的网络安全信息信息报送单位应将本单位信息通报机制报通信保障局备案第九条各单位需要报送的信息项目见附件一, 通信保障局负责对项目内容进行调整第十条报送的信息分为事件信息和预警信息事件信息是指已经发生的网络安全事件信息预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息, 或者对事件信息分析后得出的预防性信息第十一条事件信息分为特别重大重大较大一般共四级预警信息分为一级二级三级四级, 分别用红色橙色黄色蓝色标识, 一级为最高级具体分级规范见附件二, 通信保障局负责对分级规范进行修订第十二条信息报送单位应按照本办法第十条第十一条规定对信息进行分类分级, 并根据本办法的相应规定报送信息基础电信业务经营者集团公司负责汇总核实报送省级分公司 / 子公司的信息省级分公司 / 子公司将信息同时抄送当地通信管理局

3 第十三条对于特别重大重大事件信息以及一级二级预警信息, 信息报送单位应于 2 小时内向通信保障局及相关通信管理局报告, 抄送 CNCERT 对于较大事件信息以及三级预警信息, 信息报送单位应当于 4 小时内向相关通信管理局报告, 抄送 CNCERT; 对于跨省 ( 自治区直辖市 ) 的较大事件信息, 应同时向通信保障局报告对于一般事件信息, 信息报送单位应按月及时汇总, 于次月 5 个工作日内报送 CNCERT, 抄送相关通信管理局 ; 对于四级预警信息, 信息报送单位应当于发现或得知预警信息后 5 个工作日内报送 CNCERT, 抄送相关通信管理局第十四条事件信息报送的内容应包括 : ( 一 ) 事件发生单位概况 ; ( 二 ) 事件发生时间 ; ( 三 ) 事件简要经过 ; ( 四 ) 初步估计的危害和影响 ; ( 五 ) 已采取的措施 ; ( 六 ) 其他应当报告的情况第十五条预警信息报送的内容应包括 : ( 一 ) 信息基本情况描述 ; ( 二 ) 可能产生的危害及程度 ; ( 三 ) 可能影响的用户及范围 ; ( 四 ) 截至信息报送时, 已知晓该信息的单位 / 人员范围 ; ( 五 ) 建议应采取的应对措施及建议第十六条事件发生后出现新情况的, 信息报送单位应当及时补报 CNCERT 在接到预警信息后, 应立即组织对预警信息进行跟踪分析, 有重要情况应及时向通信保障局报告第十七条通信保障局根据信息性质内容紧急程度等, 必要时组织相关单位专家对信息进行研判第十八条各单位应以书面形式报送信息, 并加盖单位公章紧急情况可以先电话联系, 后补书面报告第十九条对于特别重大重大较大事件信息以及一级二级三级预警信息, 由通信保障局审核后, 根据有关规定直接或委托 CNCERT 及时通告相关单位人员或互联网用

4 户, 并抄送各通信管理局对于一般事件信息, 由 CNCERT 负责汇总分析全部信息, 于次月 10 个工作日内将当月信息向通信保障局报送, 向相关单位人员通告, 并抄送各通信管理局 ; 对于四级预警信息, 由 CNCERT 根据实际情况及时向相关单位人员通告, 并抄送各通信管理局第二十条事件信息通告内容主要包括 : 事件统计情况造成的危害影响程度态势分析典型案例预警信息通告内容主要包括 : 受影响的系统可能产生的危害和危害程度可能影响的用户及范围建议应采取的应对措施及建议第二十一条信息报送单位应将本单位信息通报工作主管领导, 责任部门负责人联系人联系方式报送通信保障局, 抄送 CNCERT 以上信息发生变更, 应在 3 个工作日内报送变更情况第二十二条通信保障局建立会商制度, 通报当前网络安全情况, 与相关单位和专家研讨网络安全形势网络安全问题及其应对策略等第二十三条 CNCERT 应与网络安全研究机构网络安全技术支撑单位非经营性互联单位网络安全企业国际网络安全组织等广泛合作, 积极拓展网络安全信息获取渠道第二十四条国家网络安全保障专项工作对信息通报工作另有规定的, 从其规定第二十五条通信管理局应参照本办法制定本行政区域信息通报管理办法第二十六条本办法自 2009 年 6 月 1 日起实施附件一 : 信息报送项目 ( 一 ) 基础电信业务经营者 1 本单位提供互联网接入服务的普通电信用户专线用户重要信息系统用户业务发生阻断拥塞等异常情况 2 本单位 IP 基础网络设施, 包括互联网国际设施国内互联网设备和链路 IDC 等发生瘫痪阻断等异常情况 3 本单位域名解析服务系统发生瘫痪解析异常域名劫持等异常情况 4 本单位网上营业厅门户网站移动 WAP 类业务, 或与互联网相连的网络和系统发生系统瘫痪阻断用户数据丢失等异常情况 5 影响互联网业务正常运营影响用户正常访问互联网造成重大社会影响和经济损失

5 等异常情况 6 本单位网内漏洞等网络安全隐患及处置情况 7 本单位网内发生拒绝服务攻击或其他流量异常事件情况 8 本单位网内木马和僵尸网络病毒等恶意代码传播情况 9 本单位网内路由系统出现的路由劫持情况 ( 路由劫持指若同一 IP 地址前缀有多个自治系统为宣告者, 且自治系统之间无隶属关系或未得到该 IP 地址前缀的授权, 则判定为域间路由劫持 ) 10 本单位垃圾邮件监测预警和处置情况 11 获知的由本单位提供服务的重要信息系统用户内部发生的网络安全异常情况 12 通过各种渠道获得的其它信息 ( 二 ) 互联网域名注册管理服务机构 1 本单位域名系统解析服务异常等情况, 包括系统稳定性解析成功率响应时间解析数据和数据库等方面出现的异常情况 2 网页挂马网络仿冒域名劫持等网络安全事件 3 域名系统相关的系统漏洞等网络安全风险信息及处置情况 4 可疑域名或域名注册行为等情况 5 通过各种渠道获得的其它信息 ( 三 ) 增值电信业务经营者 (IDC 门户网站搜索引擎服务提供商等 ) 1 IDC: (1)IDC 网络出口链路中断或拥塞 (2) 由 IDC 提供服务的网站或托管主机感染病毒木马和僵尸恶意代码, 或被利用实施网络攻击网络仿冒等网络安全事件的情况 (3) 通过各种渠道获得的其它信息 2 门户网站搜索引擎服务提供商等 : (1) 网络接入链路中断或拥塞 (2) 系统瘫痪遭到入侵或控制应用服务中断等 (3) 用户数据被篡改丢失等 (4) 垃圾邮件发现和处置情况 (5) 系统感染恶意代码情况 (6) 网页篡改网络仿冒等情况 (7) 通过各种渠道获得的其它信息 ( 四 ) 中国互联网协会 1 垃圾邮件相关情况 2 互联网用户反映的影响互联网业务的重要网络安全情况 3 通过各种渠道获得的其它信息 ( 五 )CNCERT 1 本单位自主监测到的信息 2 各信息报送单位报送的信息 3 通过国际国内合作单位等渠道获得的信息 4 通过各种渠道获得的其他信息 ( 六 ) 通信管理局

6 1 重点报送本行政区域内或与本行政区域相关的重要网络安全信息 2 通过各种渠道获得的其他信息附件二 : 信息分级规范一预警信息分级 1 一级 ( 红色 ) 预警信息 : 可能导致发生特别重大网络安全事件的信息为一级预警信息 2 二级 ( 橙色 ) 预警信息 : 可能导致发生重大网络安全事件的信息为二级预警信息 3 三级 ( 黄色 ) 预警信息 : 可能导致发生较大网络安全事件的信息为三级预警信息 4 四级 ( 蓝色 ) 预警信息 : 可能导致发生一般网络安全事件的信息为四级预警信息二事件信息分级分类对象特别重大事件重大事件较大事件一般事件 IP 业务互联网接入基础电信业务 ( 含宽带经营者本单位基础电信业务经营者本单位全国基础电信业务经营者本单位窄带接入, 全国网内 100 固定移动万以上互联网或无线接入 ) 网内 10 万以上互某省直辖联网接入用户无法正常访问互联网 1 小时以上基础 IP 网络接入用户无法正常访问互联网 1 小时以上专线接入基础电信业务经营者本单位专线接入业务 500 端口以上阻断 1 小时以上重要信息系统数据通信国际互联 50% 以上国际互联带宽电路阻断 1 小时以上国内骨干网某个全网直连互联点 1 个以上互造成某个全国级重要信息系统用户数据通信中断 1 小时以上 30% 以上国际互联带宽电路阻断 1 小时以上某全网直连点 1 个互联单位方向市自治区网内 5 万以上互联网接入用户无法正常访问互联网 1 小时以上基础电信业务经营者本单位某省直辖市自治区网内 1~5 万互联网接入用户无法正常访问互联网 1 小时以上基础电信业务基础电信业经营者本单位务经营者本专线接入业务单位专线接 100 端口以上阻入业务 20 端断 1 小时以口以上阻断上 1 小时以上造成某个省级重要信息系统用户数据通信中断 1 小时以上 10% 以上国际互联带宽电路阻断 1 小时以上交换中心 1 个互联单位方向造成某个地市级重要信息系统用户数据通信中断 1 小时以上国际互联设备电路阻断, 但未造成上述严重后果直连设备电路阻断,

7 域名系统运营单位 IP 网联单位方向全阻 1 小时以上 2 个以上省网 ( 或 2 个以上 3.2 级以上城域网 ) 脱网或严重拥塞 1 小时以上网间直连 ( 或某个交换中心 ) 全阻 1 小时以上 1 个省网 ( 或 1 个以上 3.1 级以上城域网 ) 脱网或严重拥塞 1 小时以上 IDC 3.1 级以上 IDC 全阻或严重拥塞 1 小时以上国际根镜像和 gtld 镜像服务器全阻 1 小时以上 1 个以上城域网 (3.1 级以下 ) 脱网或严重拥塞 1 小时以上但未造成上述严重后果 IP 骨干网重要节点或链路阻断, 但未造成上述严重后果 2 级 IDC 全阻或其它 IDC 全严重拥塞 1 小阻或严重拥时以上塞 1 小时以国际根和通用顶级域名镜像服务器解析服务瘫痪国家顶级域国家域名解析名 (.CN) 系统瘫痪, 对全国互联网用户的域名解析服务失效域名注册服 1 家或多家重务机构管理点注册服务机的权威域和构域名解析服递归解析服务瘫痪务器国家域名解析系统半数及以上顶级节点解析成功率低于 50% 或解析响应时间高于 5 秒 ; 国家域名顶级节点解析数据缺失或出错超过 0.1%; 国家域名解析系统重点域名相关解析数据出错 1 家或多家重点注册服务机构域名解析服务性能下降, 解析成功率低于 50% 或解析响应时间高于 5 秒, 或解析数据缺失或出错, 超过 1% 注册服务机构域名系统国家域名解析系统半数以下顶级节点解析成功率低于 50% 或解析响应时间高于 5 秒 ; 国家域名顶级节点解析数据缺失或出错超过 0.01%; 国家域名系统注册服务不可用 4 小时以上 1 家或多家注册服务机构域名解析服务性能下降, 解析成功率低于 80% 或解析响应时间高于 5 秒, 或解析数据缺失或出错, 超过 0.1% 上国家域名系统注册服务性能下降或查询服务不可用 1 家或多家注册服务机构域名注册系统服务不可用

8 基础电信运营企业网上营业厅移动 WAP 业务门户网站公共互联网环境基础和增值运营企业的权威域域名解析服务器基础运营企业的递归服务器系统瘫痪或故障, 造成业务中断 1 个小时以上, 或造成 100 万以上用户数据丢失泄漏计算机病毒涉及全国范围事件蠕虫或省级行政区事件木马域的大范围病事件僵尸毒和蠕虫传播网络事件域名劫持事件网络仿冒事件网页篡改事件事件, 或单个木马和僵尸网络规模达 100 万个以上 IP, 对社会造成特别重大影响核心数据库丢失或非正常修改, 并影响到国家域名核心数据库导致产生国家顶级域名重大事件重点域名解析权威服务器瘫痪 1 小时以上为一个或多个省份提供服务的递归服务器瘫痪 1 小时以上系统瘫痪或故障, 造成业务中断 1 个小时以下, 或造成 10 万以上用户数据丢失泄漏涉及全国范围或省级行政区域的大范围病毒和蠕虫传播事件, 或同一时期存在一个或多个木马和僵尸网络总规模达 50 万个以上 IP, 对社会造成重大影响发生涉及重点域名重要信息系统网站的域名劫持仿冒篡改事件, 导致 10 万以上网站用户受系统瘫痪或故障, 造成业务中断或造成 1 万以上用户数据丢失泄漏涉及全国范围或省级行政区域的大范围病毒和蠕虫传播事件, 或同一时期存在一个或多个木马和僵尸网络总规模达 10 万个以上 IP, 对社会造成较大影响发生涉及重点域名重要信息系统网站的域名劫持仿冒篡改事件, 导致 1 万系统瘫痪或故障, 但未造成上述严重后果涉及全国范围或省级行政区域的大范围病毒和蠕虫传播事件木马和僵尸网络事件等, 对社会造成一定影响, 但未造成上述严重后果其他域名劫持网络仿冒网页篡改事件, 造成一定社会影响, 但未

9 网页挂马事发生涉及重要件信息系统网站重要门户网站的网页挂马事件, 受影响网站用户达 100 万人以上, 造成特别重大社会影响拒绝服务攻击事件后门漏洞事件非授权访问事件垃圾邮件事件及其他网络安全事件影响, 或造成重大社会影响发生涉及重要信息系统网站重要门户网站的网页挂马事件, 受影响网站用户达 10 万人以上, 造成重大社会影响发生涉及全国级重要信息系统的拒绝服务攻击, 造成重大社会影响发生涉及全国级重要信息系统的后门漏洞事件非授权访问事件垃圾邮件事件及其他网络安全事件, 造成重大社会影响以上网站用户受影响, 或造成较大社会影响发生涉及重要信息系统网站重要门户网站的网页挂马事件, 受影响网站用户达 1 万人以上, 造成较大社会影响发生涉及省级重要信息系统的拒绝服务攻击, 造成较大社会影响发生涉及省级重要信息系统的后门漏洞事件非授权访问事件垃圾邮件事件及其他网络安全事件, 造成较大社会影响造成上述严重后果其他网页挂马事件, 但未造成上述严重后果其他拒绝服务攻击, 造成一定社会影响发生的后门漏洞事件非授权访问事件垃圾邮件事件及其他网络安全事件, 造成一定社会影响注 :1 严重拥塞是指链路时延 >110ms 或丢包率超过 8% 2 本办法中重要信息系统指政府部门军队以及银行海关税务电力铁路证券保险民航等关系国计民生的重要行业使用的信息系统 3 信息分级规范中所称以上包括本数, 所称以下不包括本数

互联网网络安全信息通报实施办法第一条为规范通信行业互联网网络安全信息通报工作, 促进网络安全信息共享, 提高网络安全预警防范和应急水平, 依据互联网网络安全应急预案制定本办法第二条本办法适用于通信行业互联网等 IP 网络和系统的网络安全信息通报 ( 以下简称信息通报 ) 工作第三条工业和

互联网网络安全信息通报实施办法第一条为规范通信行业互联网网络安全信息通报工作, 促进网络安全信息共享, 提高网络安全预警防范和应急水平, 依据互联网网络安全应急预案制定本办法第二条本办法适用于通信行业互联网等 IP 网络和系统的网络安全信息通报 ( 以下简称信息通报 ) 工作第三条工业和互联网网络安全信息通报实施办法索引号 :ZJJX-05-01-201212-00003 发布机关 : 工信部文号 : 工信部保 [2009]156 号发布日期 :2009-05-05 各省自治区直辖市通信管理局国家计算机网络应急技术处理协调中心中国互联网络信息中心政府和公益机构域名注册管理中心部电信研究院中国互联网协会中国电信集团公司中国移动通信集团公司中国联合网络通信集团有限公司