工信部?��!?009〕156號
各省�����、自治區(qū)�、直轄市通信管理局����、國家計算機網絡應急技術處理協(xié)調中心、中國互聯網絡信息中心��、政府和公益機構域名注冊管理中心、部電信研究院��、中國互聯網協(xié)會�、中國電信集團公司、中國移動通信集團公司�、中國聯合網絡通信集團有限公司、其他相關單位:
為規(guī)范通信行業(yè)互聯網網絡安全信息通報工作�����,制定《互聯網網絡安全信息通報實施辦法》����,現印發(fā)給你們,請遵照執(zhí)行����。
聯系人:付景廣 010-66022774
二○○九年四月十三日
互聯網網絡安全信息通報實施辦法
第一條 為規(guī)范通信行業(yè)互聯網網絡安全信息通報工作,促進網絡安全信息共享����,提高網絡安全預警、防范和應急水平���,依據《互聯網網絡安全應急預案》制定本辦法���。
第二條 本辦法適用于通信行業(yè)互聯網等IP網絡和系統(tǒng)的網絡安全信息通報(以下簡稱信息通報)工作�����。
第三條 工業(yè)和信息化部指導����、監(jiān)督����、檢查全國信息通報工作,工業(yè)和信息化部通信保障局(以下簡稱通信保障局)負責信息通報具體工作�。
省��、自治區(qū)����、直轄市通信管理局(以下簡稱通信管理局)指導、監(jiān)督��、檢查本行政區(qū)域內信息通報工作��。
第四條 通信管理局、基礎電信業(yè)務經營者��、跨省經營的增值電信業(yè)務經營者���、國家計算機網絡應急技術處理協(xié)調中心(以下簡稱CNCERT)����、互聯網域名注冊管理機構����、互聯網域名注冊服務機構、中國互聯網協(xié)會為信息報送單位����。
第五條 通信保障局委托CNCERT收集、匯總���、分析��、發(fā)布互聯網網絡安全信息(以下簡稱信息)��。
第六條 信息報送應遵循及時����、客觀、真實��、準確�����、完整的原則����,不得遲報、謊報����、瞞報、漏報����。
第七條 基礎電信業(yè)務經營者、跨省經營的增值電信業(yè)務經營者���、CNCERT、互聯網域名注冊管理機構�����、互聯網域名注冊服務機構應建立并完善本單位信息監(jiān)測機制,提高監(jiān)測能力��,自主監(jiān)測涉及本單位管理范圍內的信息����。
第八條 信息報送單位應制定并完善本單位信息通報機制,明確負責信息通報工作的主管領導和承擔信息通報工作的責任部門����、負責人和聯絡人,及時匯總本單位內部不同部門�、不同渠道掌握的網絡安全信息。信息報送單位應將本單位信息通報機制報通信保障局備案��。
第九條 各單位需要報送的信息項目見附件一�,通信保障局負責對項目內容進行調整。
第十條 報送的信息分為事件信息和預警信息�。
事件信息是指已經發(fā)生的網絡安全事件信息。
預警信息是指存在潛在安全威脅或隱患但尚未造成實際危害和影響的信息���,或者對事件信息分析后得出的預防性信息��。
第十一條 事件信息分為特別重大��、重大���、較大�����、一般共四級����。預警信息分為一級����、二級、三級�����、四級���,分別用紅色����、橙色���、黃色��、藍色標識�����,一級為最高級�。具體分級規(guī)范見附件二���,通信保障局負責對分級規(guī)范進行修訂���。
第十二條 信息報送單位應按照本辦法第十條、第十一條規(guī)定對信息進行分類�、分級,并根據本辦法的相應規(guī)定報送信息����。
基礎電信業(yè)務經營者集團公司負責匯總、核實�、報送省級分公司/子公司的信息。省級分公司/子公司將信息同時抄送當地通信管理局�����。
第十三條 對于特別重大�����、重大事件信息以及一級、二級預警信息�����,信息報送單位應于2小時內向通信保障局及相關通信管理局報告��,抄送CNCERT�。
對于較大事件信息以及三級預警信息,信息報送單位應當于4小時內向相關通信管理局報告����,抄送CNCERT;對于跨?����。ㄗ灾螀^(qū)����、直轄市)的較大事件信息,應同時向通信保障局報告��。
對于一般事件信息,信息報送單位應按月及時匯總�����,于次月5個工作日內報送CNCERT���,抄送相關通信管理局;對于四級預警信息����,信息報送單位應當于發(fā)現或得知預警信息后5個工作日內報送CNCERT,抄送相關通信管理局��。
第十四條 事件信息報送的內容應包括:
(一)事件發(fā)生單位概況�;
(二)事件發(fā)生時間;
(三)事件簡要經過��;
(四)初步估計的危害和影響�;
(五)已采取的措施;
(六)其他應當報告的情況���。
第十五條 預警信息報送的內容應包括:
(一)信息基本情況描述�����;
(二)可能產生的危害及程度��;
(三)可能影響的用戶及范圍����;
(四)截至信息報送時,已知曉該信息的單位/人員范圍�����;
(五)建議應采取的應對措施及建議����。
第十六條 事件發(fā)生后出現新情況的,信息報送單位應當及時補報��。
CNCERT在接到預警信息后�,應立即組織對預警信息進行跟蹤、分析�,有重要情況應及時向通信保障局報告。
第十七條 通信保障局根據信息性質���、內容����、緊急程度等,必要時組織相關單位�����、專家對信息進行研判����。
第十八條 各單位應以書面形式報送信息���,并加蓋單位公章���。緊急情況可以先電話聯系,后補書面報告�。
第十九條 對于特別重大、重大��、較大事件信息以及一級�����、二級�����、三級預警信息,由通信保障局審核后����,根據有關規(guī)定直接或委托CNCERT及時通告相關單位、人員或互聯網用戶��,并抄送各通信管理局���。
對于一般事件信息��,由CNCERT負責匯總�、分析全部信息��,于次月10個工作日內將當月信息向通信保障局報送�,向相關單位、人員通告�,并抄送各通信管理局;對于四級預警信息�����,由CNCERT根據實際情況及時向相關單位��、人員通告�����,并抄送各通信管理局。
第二十條 事件信息通告內容主要包括:事件統(tǒng)計情況���、造成的危害�、影響程度��、態(tài)勢分析�����、典型案例�����。
預警信息通告內容主要包括:受影響的系統(tǒng)�、可能產生的危害和危害程度����、可能影響的用戶及范圍、建議應采取的應對措施及建議��。
第二十一條 信息報送單位應將本單位信息通報工作主管領導�,責任部門負責人����、聯系人��、聯系方式報送通信保障局����,抄送CNCERT。以上信息發(fā)生變更���,應在3個工作日內報送變更情況����。
第二十二條 通信保障局建立會商制度��,通報當前網絡安全情況,與相關單位和專家研討網絡安全形勢�、網絡安全問題及其應對策略等。
第二十三條 CNCERT應與網絡安全研究機構�����、網絡安全技術支撐單位���、非經營性互聯單位��、網絡安全企業(yè)�、國際網絡安全組織等廣泛合作,積極拓展網絡安全信息獲取渠道�。
第二十四條 國家網絡安全保障專項工作對信息通報工作另有規(guī)定的,從其規(guī)定��。
第二十五條 通信管理局應參照本辦法制定本行政區(qū)域信息通報管理辦法����。
第二十六條 本辦法自2009年6月1日起實施。
附件一:信息報送項目
(一)基礎電信業(yè)務經營者
1��、本單位提供互聯網接入服務的普通電信用戶�����、專線用戶�����、重要信息系統(tǒng)用戶業(yè)務發(fā)生阻斷�����、擁塞等異常情況����。
2、本單位IP基礎網絡設施��,包括互聯網國際設施�、國內互聯網設備和鏈路、IDC等發(fā)生癱瘓���、阻斷等異常情況���。
3、本單位域名解析服務系統(tǒng)發(fā)生癱瘓�、解析異常、域名劫持等異常情況����。
4、本單位網上營業(yè)廳�����、門戶網站�����、移動WAP類業(yè)務,或與互聯網相連的網絡和系統(tǒng)發(fā)生系統(tǒng)癱瘓��、阻斷���、用戶數據丟失等異常情況���。
5、影響互聯網業(yè)務正常運營����、影響用戶正常訪問互聯網、造成重大社會影響和經濟損失等異常情況����。
6、本單位網內漏洞等網絡安全隱患及處置情況��。
7�����、本單位網內發(fā)生拒絕服務攻擊或其他流量異常事件情況���。
8�、本單位網內木馬和僵尸網絡�、病毒等惡意代碼傳播情況。
9����、本單位網內路由系統(tǒng)出現的路由劫持情況(路由劫持指若同一IP地址前綴有多個自治系統(tǒng)為宣告者,且自治系統(tǒng)之間無隸屬關系或未得到該IP地址前綴的授權����,則判定為域間路由劫持)。
10����、本單位垃圾郵件監(jiān)測、預警和處置情況�����。
11�、獲知的由本單位提供服務的重要信息系統(tǒng)用戶內部發(fā)生的網絡安全異常情況。
12�、通過各種渠道獲得的其它信息。
(二)互聯網域名注冊管理����、服務機構
1�、本單位域名系統(tǒng)解析服務異常等情況�����,包括系統(tǒng)穩(wěn)定性�����、解析成功率����、響應時間、解析數據和數據庫等方面出現的異常情況��。
2���、網頁掛馬��、網絡仿冒����、域名劫持等網絡安全事件���。
3��、域名系統(tǒng)相關的系統(tǒng)漏洞等網絡安全風險信息及處置情況����。
4�、可疑域名或域名注冊行為等情況。
5����、通過各種渠道獲得的其它信息。
(三)增值電信業(yè)務經營者(IDC��、門戶網站�����、搜索引擎服務提供商等)
1�、IDC:
(1)IDC網絡出口鏈路中斷或擁塞。
(2)由IDC提供服務的網站或托管主機感染病毒��、木馬和僵尸惡意代碼�����,或被利用實施網絡攻擊、網絡仿冒等網絡安全事件的情況���。
(3)通過各種渠道獲得的其它信息���。
2、門戶網站���、搜索引擎服務提供商等:
(1)網絡接入鏈路中斷或擁塞�。
(2)系統(tǒng)癱瘓����、遭到入侵或控制、應用服務中斷等���。
(3)用戶數據被篡改���、丟失等。
(4)垃圾郵件發(fā)現和處置情況��。
(5)系統(tǒng)感染惡意代碼情況�。
(6)網頁篡改、網絡仿冒等情況��。
(7)通過各種渠道獲得的其它信息。
(四)中國互聯網協(xié)會
1��、垃圾郵件相關情況���。
2、互聯網用戶反映的影響互聯網業(yè)務的重要網絡安全情況��。
3���、通過各種渠道獲得的其它信息�。
(五)CNCERT
1�、本單位自主監(jiān)測到的信息。
2�����、各信息報送單位報送的信息���。
3����、通過國際����、國內合作單位等渠道獲得的信息��。
4��、通過各種渠道獲得的其他信息���。
(六)通信管理局
1、重點報送本行政區(qū)域內或與本行政區(qū)域相關的重要網絡安全信息����。
2、通過各種渠道獲得的其他信息���。
附件二: 信息分級規(guī)范
一����、預警信息分級
1���、一級(紅色)預警信息:可能導致發(fā)生特別重大網絡安全事件的信息為一級預警信息��。
2���、二級(橙色)預警信息:可能導致發(fā)生重大網絡安全事件的信息為二級預警信息��。
3����、三級(黃色)預警信息:可能導致發(fā)生較大網絡安全事件的信息為三級預警信息�。
4、四級(藍色)預警信息:可能導致發(fā)生一般網絡安全事件的信息為四級預警信息�����。
二��、事件信息分級
分類 對象 特別重大事件 重大事件 較大事件 一般事件
IP業(yè)務 互聯網接入(含寬帶�����、窄帶接入���,固定、移動或無線接入) 基礎電信業(yè)務經營者本單位全國網內100萬以上互聯網接入用戶無法正常訪問互聯網1小時以上�����。 基礎電信業(yè)務經營者本單位全國網內10萬以上互聯網接入用戶無法正常訪問互聯網1小時以上���。 基礎電信業(yè)務經營者本單位某省�、直轄市、自治區(qū)網內5萬以上互聯網接入用戶無法正常訪問互聯網1小時以上�。 基礎電信業(yè)務經營者本單位某省、直轄市����、自治區(qū)網內1~5萬互聯網接入用戶無法正常訪問互聯網1小時以上。
專線接入 N/A 基礎電信業(yè)務經營者本單位專線接入業(yè)務500端口以上阻斷1小時以上��。 基礎電信業(yè)務經營者本單位專線接入業(yè)務100端口以上阻斷1小時以上����。 基礎電信業(yè)務經營者本單位專線接入業(yè)務20端口以上阻斷1小時以上。
重要信息系統(tǒng)數據通信 N/A 造成某個全國級重要信息系統(tǒng)用戶數據通信中斷1小時以上����。 造成某個省級重要信息系統(tǒng)用戶數據通信中斷1小時以上。 造成某個地市級重要信息系統(tǒng)用戶數據通信中斷1小時以上����。
基礎IP網絡 國際互聯 50%以上國際互聯帶寬電路阻斷1小時以上。 30%以上國際互聯帶寬電路阻斷1小時以上�����。 10%以上國際互聯帶寬電路阻斷1小時以上。 國際互聯設備����、電路阻斷,但未造成上述嚴重后果����。
國內骨干網互聯 某個全網直連點1個以上互聯單位方向全阻1小時以上。 某全網直連點1個互聯單位方向網間直連(或某個交換中心)全阻1小時以上���。 交換中心1個互聯單位方向全阻1小時以上���。 直連設備�����、電路阻斷�����,但未造成上述嚴重后果��。
運營單位IP網 2個以上省網(或2個以上3.2級以上城域網)脫網或嚴重擁塞1小時以上����。 1個省網(或1個以上3.1級以上城域網)脫網或嚴重擁塞1小時以上����。 1個以上城域網(3.1級以下)脫網或嚴重擁塞1小時以上���。 IP骨干網重要節(jié)點或鏈路阻斷��,但未造成上述嚴重后果���。
IDC N/A 3.1級以上IDC全阻或嚴重擁塞1小時以上。 2級IDC全阻或嚴重擁塞1小時以上����。 其它IDC全阻或嚴重擁塞1小時以上。
域名系統(tǒng) 國際根鏡像和gTLD鏡像服務器 N/A N/A 國際根和通用頂級域名鏡像服務器解析服務癱瘓�。 N/A
國家頂級域名(.CN) 國家域名解析系統(tǒng)癱瘓,對全國互聯網用戶的域名解析服務失效����。 國家域名解析系統(tǒng)半數及以上頂級節(jié)點解析成功率低于50%或解析響應時間高于5秒;國家域名頂級節(jié)點解析數據缺失或出錯超過0.1%���;國家域名解析系統(tǒng)重點域名相關解析數據出錯�����。 國家域名解析系統(tǒng)半數以下頂級節(jié)點解析成功率低于50%或解析響應時間高于5秒��;國家域名頂級節(jié)點解析數據缺失或出錯超過0.01%����;國家域名系統(tǒng)注冊服務不可用4小時以上。 國家域名系統(tǒng)注冊服務性能下降或查詢服務不可用��。
域名注冊服務機構管理的權威域和遞歸解析服務器 1家或多家重點注冊服務機構域名解析服務癱瘓�����。 1家或多家重點注冊服務機構域名解析服務性能下降���,解析成功率低于50%或解析響應時間高于5秒,或解析數據缺失或出錯,超過1%�����。注冊服務機構域名系統(tǒng)核心數據庫丟失或非正常修改���,并影響到國家域名核心數據庫導致產生國家頂級域名重大事件���。 1家或多家注冊服務機構域名解析服務性能下降���,解析成功率低于80%或解析響應時間高于5秒,或解析數據缺失或出錯,超過0.1%���。 1家或多家注冊服務機構域名注冊系統(tǒng)服務不可用���。
基礎和增值運營企業(yè)的權威域域名解析服務器 N/A 重點域名解析權威服務器癱瘓1小時以上。 N/A N/A
基礎運營企業(yè)的遞歸服務器 N/A 為一個或多個省份提供服務的遞歸服務器癱瘓1小時以上���。 N/A N/A
基礎電信運營企業(yè)網上營業(yè)廳����、移動WAP業(yè)務����、門戶網站 系統(tǒng)癱瘓或故障,造成業(yè)務中斷1個小時以上�,或造成100萬以上用戶數據丟失、泄漏�。 系統(tǒng)癱瘓或故障����,造成業(yè)務中斷1個小時以下�,或造成10萬以上用戶數據丟失、泄漏��。 系統(tǒng)癱瘓或故障�,造成業(yè)務中斷或造成1萬以上用戶數據丟失、泄漏�����。 系統(tǒng)癱瘓或故障��,但未造成上述嚴重后果����。
公共互聯網環(huán)境 計算機病毒事件、蠕蟲事件���、木馬事件��、僵尸網絡事件 涉及全國范圍或省級行政區(qū)域的大范圍病毒和蠕蟲傳播事件,或單個木馬和僵尸網絡規(guī)模達100萬個以上IP����,對社會造成特別重大影響���。 涉及全國范圍或省級行政區(qū)域的大范圍病毒和蠕蟲傳播事件,或同一時期存在一個或多個木馬和僵尸網絡總規(guī)模達50萬個以上IP��,對社會造成重大影響��。 涉及全國范圍或省級行政區(qū)域的大范圍病毒和蠕蟲傳播事件�,或同一時期存在一個或多個木馬和僵尸網絡總規(guī)模達10萬個以上IP,對社會造成較大影響�。 涉及全國范圍或省級行政區(qū)域的大范圍病毒和蠕蟲傳播事件、木馬和僵尸網絡事件等��,對社會造成一定影響���,但未造成上述嚴重后果���。
域名劫持事件、網絡仿冒事件�、網頁篡改事件 N/A 發(fā)生涉及重點域名、重要信息系統(tǒng)網站的域名劫持��、仿冒�、篡改事件�,導致10萬以上網站用戶受影響���,或造成重大社會影響�。 發(fā)生涉及重點域名���、重要信息系統(tǒng)網站的域名劫持��、仿冒���、篡改事件,導致1萬以上網站用戶受影響��,或造成較大社會影響�。 其他域名劫持、網絡仿冒��、網頁篡改事件�����,造成一定社會影響����,但未造成上述嚴重后果��。
網頁掛馬事件 發(fā)生涉及重要信息系統(tǒng)網站、重要門戶網站的網頁掛馬事件����,受影響網站用戶達100萬人以上,造成特別重大社會影響���。 發(fā)生涉及重要信息系統(tǒng)網站���、重要門戶網站的網頁掛馬事件,受影響網站用戶達10萬人以上�����,造成重大社會影響�����。 發(fā)生涉及重要信息系統(tǒng)網站���、重要門戶網站的網頁掛馬事件�����,受影響網站用戶達1萬人以上����,造成較大社會影響。 其他網頁掛馬事件����,但未造成上述嚴重后果。
拒絕服務攻擊事件 N/A 發(fā)生涉及全國級重要信息系統(tǒng)的拒絕服務攻擊���,造成重大社會影響���。 發(fā)生涉及省級重要信息系統(tǒng)的拒絕服務攻擊,造成較大社會影響�。 其他拒絕服務攻擊,造成一定社會影響����。
后門漏洞事件、非授權訪問事件���、垃圾郵件事件及其他網絡安全事件 N/A 發(fā)生涉及全國級重要信息系統(tǒng)的后門漏洞事件����、非授權訪問事件、垃圾郵件事件及其他網絡安全事件����,造成重大社會影響�。 發(fā)生涉及省級重要信息系統(tǒng)的后門漏洞事件、非授權訪問事件����、垃圾郵件事件及其他網絡安全事件,造成較大社會影響���。 發(fā)生的后門漏洞事件����、非授權訪問事件����、垃圾郵件事件及其他網絡安全事件,造成一定社會影響����。
〔注〕:1、嚴重擁塞是指鏈路時延>110ms或丟包率超過8%�。
2���、本辦法中重要信息系統(tǒng)指政府部門、軍隊以及銀行�����、海關�����、稅務�、電力、鐵路���、證券����、保險���、民航等關系國計民生的重要行業(yè)使用的信息系統(tǒng)�。
3���、“信息分級規(guī)范”中所稱“以上”包括本數����,所稱“以下”不包括本數。
附件三:聯系方式
(1)通信保障局
主管領導: 熊四皓 010-66069910
聯 系 人: 閆宏強 010-66069895�,13011881107
付景廣 010-66022774,13701353949
(2)工業(yè)和信息化部24小時值班電話:010-66014249
(3)CNCERT
主管領導: 云曉春 010-82990501
聯系人: 孫蔚敏 010-82990103 13911218086
何世平 010-82990286 13810058717
CNCERT 24小時值班電話: 010-82990999
郵件: yteam@cert.org.cn
