工业和信息化部


关于印发《木马和僵尸网络监测与处置机制》的通知

工信部保[2009]157号


　　各省、自治区、直辖市通信管理局、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政府和公益机构域名注册管理中心、部电信研究院、中国互联网协会、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、其他相关单位：
为防范和处置木马和僵尸网络引发的网络安全隐患，净化公共互联网环境，维护我国公共互联网安全，制定《木马和僵尸网络监测与处置机制》，现印发给你们，请遵照执行。
联系人：付景广 010－66022774

二〇〇九年四月十三日


木马和僵尸网络监测与处置机制

第一条 为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为，净化网络环境，维护我国公共互联网安全，依据《中华人民共和国电信条例》、《互联网网络安全应急预案》，制定本办法。
第二条 木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。
第三条 本办法适用于对危害公共互联网安全的木马和僵尸网络控制端（以下简称木马和僵尸网络）及其使用的IP地址和恶意域名的监测和处置。
第四条 工业和信息化部指导、组织、监督全国木马和僵尸网络的监测和处置工作。工业和信息化部通信保障局（以下简称通信保障局）负责具体工作。
各省、自治区、直辖市通信管理局（以下简称通信管理局）指导、组织、监督本行政区域内木马和僵尸网络的监测和处置工作。
国家计算机网络应急技术处理协调中心（以下简称CNCERT）受通信保障局委托，负责对木马和僵尸网络的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、核实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域名。
基础电信运营企业负责对本单位网内木马和僵尸网络进行监测、核实，对CNCERT汇总通报的涉及本单位的木马和僵尸网络进行处置和反馈。
互联网域名注册管理机构负责对CNCERT通报的由自身管理的恶意域名进行处置。对于由国内互联网域名注册服务机构注册的由境外域名注册管理机构管理的域名，由CNCERT直接协调国内互联网域名注册服务机构进行处置。
第五条 基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、合同中告知用户承担的网络安全保障责任。
第六条 CNCERT、基础电信运营企业应不断提高木马和僵尸网络的监测能力。CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应建立健全本单位的处置机制，协同配合、快速处置，共同做好木马和僵尸网络的监测和处置工作。
第七条 木马和僵尸网络事件分为特别重大、重大、较大、一般共四级。
特别重大事件：涉及全国范围或省级行政区域，单个木马和僵尸网络规模超过100万个IP地址，对社会造成特别重大影响。
重大事件：涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过50万个IP地址，对社会造成重大影响。
较大事件：涉及全国范围或省级行政区域，同一时期存在一个或多个木马和僵尸网络，总规模超过10万个IP地址，对社会造成较大影响。
一般事件：涉及全国范围或省级行政区域，发生木马和僵尸网络事件，对社会造成一定影响，但未造成上述后果。
通信保障局负责对分级规范进行修订。
第八条 监测和通报：
（一）CNCERT、基础电信运营企业负责对木马和僵尸网络进行监测。
（二）基础电信运营企业按照本机制第七条对监测到的事件进行分级，特别重大、重大、较大事件应在发现后2小时内报送通信保障局，同时抄报CNCERT；一般事件应在发现后5个工作日内报送CNCERT。
报送内容包括：控制端IP地址、端口、发现时间及其使用的恶意域名。
（三）CNCERT汇总自主监测、基础电信运营企业报送和从其他渠道收集的事件，进行综合分析、分级。对于特别重大、重大、较大事件，CNCERT应在2小时内向通信保障局报告，并及时通报相关通信管理局。通信保障局认为必要时，组织有关单位和专家进行研判。事件情况及研判结果由通信保障局直接或委托CNCERT通报相关单位。对于一般事件，CNCERT应在发现后5个工作日内通报相关单位。
事件通报内容包括：
1、威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。
2、木马和僵尸网络使用的恶意域名。
3、木马和僵尸网络的规模和潜在危害。
监测和通报流程图见附件一。
第九条 处置和反馈：
基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后，应按如下流程处理：
（一）通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除，并跟踪用户处置情况。
对于域名注册信息不真实、不准确、不完整的，互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。
（二）反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈，一般事件的处置情况应在5个工作日内向CNCERT反馈。
反馈内容包括：用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。
（三）监测单位验证处置情况。
对于CNCERT自主监测的事件，由CNCERT对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果，一般事件应在5个工作日内反馈验证结果。
对于基础电信运营企业监测到的事件由基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈验证结果，一般事件应在10个工作日内向CNCERT反馈验证结果。
（四）对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名，按如下方式处置：
对于重要信息系统单位，向通信保障局反馈用户相关情况，抄报CNCERT，由通信保障局或当地通信管理局书面通知其主管部门。
对于其他单位用户和个人用户，应依据与用户签署的服务协议、合同等进行处置。
（五）对于特别重大、重大、较大事件的处置情况，CNCERT应在接到处置单位反馈后2小时内向通信保障局和相关通信管理局反馈处置结果，一般事件处置情况由CNCERT每月汇总，按照互联网网络安全信息通报有关办法通报监测和处置情况。
处置和反馈流程见附件二。
第十条 CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应留存木马和僵尸网络相关数据或资料以备查验。数据或资料保存时间为60天。
第十一条 CNCERT、基础电信运营企业、互联网域名注册管理机构、国内域名注册服务机构应保护用户正当权益，规范处置流程，建立用户申诉机制，妥善解决用户争议。
第十二条 通信保障局通过会商制度，组织相关单位和专家研讨木马和僵尸网络相关问题及其应对策略。
第十三条 事件通报和反馈应按照统一表格以书面方式报送（报送格式见附件三）。紧急情况下，可以先电话联系，后补表格。
第十四条 对于国家举办重要活动等特殊时期，对木马和僵尸网络监测和处置工作另有要求的，从其规定。
第十五条 相关单位应将本单位木马和僵尸网络监测和处置工作主管领导，责任部门负责人、联系人、联系方式报送通信保障局，抄送CNCERT。以上信息发生变更，应在3个工作日内报送变更情况。
第十六条 CNCERT应与非经营性互联单位合作，协调非经营性互联单位处置其网内木马和僵尸网络；应与网络安全研究机构、网络安全技术支撑单位、网络安全企业、病毒厂商等单位合作，建立研究、分析机制。
本机制中非经营性互联单位指中国教育和科研计算机网、中国科技网、中国国际经济贸易网、中国长城互联网。
第十七条 对于涉嫌犯罪的木马和僵尸网络事件，应报请公安机关依法调查处理。
第十八条 通信管理局应参照本办法制定本行政区域内木马和僵尸网络监测和处置机制。
基础电信运营企业集团公司应督促本单位省级公司按照当地通信管理局要求，及时反馈木马和僵尸网络事件监测处置情况，接受当地通信管理局的监督管理。
第十九条 本办法中重要信息系统指政府部门、军队以及银行、海关、税务、电力、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统。
第二十条 本办法自2009年6月1日起实施。
附件一：监测和通报流程图（略）
附件二：处置和反馈流程图（略）
附件三：事件通报表格（略）
附件四：联系方式
（1）通信保障局
主管领导： 熊四皓 010-66069910
联 系 人： 闫宏强 010-66069895，13011881107
付景广 010-66022774，13701353949
（2）工业和信息化部24小时值班电话：010-66014249
（3）CNCERT
主管领导：云晓春 010－82990501
联 系 人：孙蔚敏 010－82990103 13911218086
温森浩 010－82990680 13810059765
CNCERT 24小时值班电话：010－82990999

国家档案局


档案专业技术人员继续教育暂行规定



（1997年10月29日发布施行）



第一条 为了促进档案专业技术人员的继续教育，提高档案专业技术人员的素质，以适应档案事业发展的需要，根据《中华人民共和国科学技术进步法》、《中华人民共和国教育法》、《中华人民共和国档案法》、《全国专业技术人员继续教育暂行规定》和国家有关规定，结合档案部门实际，制定本办法。

第二条 档案专业技术人员继续教育（以下简称继续教育）是档案专业技术人员队伍建设的重要内容。继续教育应以邓小平理论为指导，面向现代化，面向世界，面向未来，联系科学技术和档案事业发展的实际需要，主动、有效地为提高档案干部队伍整体素质服务。

第三条 继续教育的任务，是使档案专业技术人员的知识及技能不断得到增新、补充、扩展和提高，完善知识结构，提高创造能力和专业技术水平。不同层次档案专业技术人员的培养目标是：

高级档案专业技术人员应能跟踪国内外档案学理论研究的最新动向，了解和掌握本专业及相关学科的最新知识，成为本专业的学术带头人。

中级档案专业技术人员主要应结合本职工作学习新理论、新知识、新技术、新方法，培养并提高解决技术或管理问题的综合能力，成为本专业的技术业务骨干。

初级档案专业技术人员主要应结合本职工作，充实基础理论和专业知识，进行基本技术的训练，提高岗位工作能力，掌握技术或管理工作的方法。

第四条 继续教育对象，是各级档案部门及企业事业单位从事档案专业技术工作的以中青年档案专业技术骨干为重点的在职档案专业技术人员。

第五条 参加和接受继续教育是档案专业技术人员应有的权利和义务。档案专业技术人员所在单位要保证有关人员参加继续教育的时间、经费和其它必要条件。档案专业技术人员在学习期间享受国家和本单位规定的工资、保险、福利待遇。档案专业技术人员每年脱产参加继续教育的学习时间不少于40学时。

档案专业技术人员要遵守继续教育的有关规定，自觉服从所在单位统一安排，积极参加各类继续教育培训主动，接受有关部门的检查与考核。在接受继续教育后，要更好地为本单位服务。

第六条 继续教育的内容，根据不同层次档案专业技术人员的培养目标、知识结构和实际需要确定。其原则是结合本职工作以当代科学技术发展的新理论、新知识、新技术、新方法为重点。学习内容应具有超前性、针对性、实用性和先进性。

第七条 继续教育坚持理论联系实际，按需施教，讲求实效的原则，统筹安排，突出重点。继续教育应紧密结合档案行业的职业道德教育、档案学理论研究、档案科学技术研究、档案管理现代化、档案法制建设、档案基础建设工作实践等，采取培训班、进修班、研修班、学术讲座、学术会议、业务考察和有计划、有组织、有考核的自学等多种方式组织实施。

第八条 国家档案局档案干部培训中心，省级档案干部培训机构（基地）是实施继续教育的主要基地。档案行政管理部门要组织和协调各种社会办学力量，充分利用现有的办学设施，调动各方面积极性，逐步建立和完善继续教育实施网络。

第九条 继续教育的教师按照专兼职结合，以兼职为主的原则，由具有较高水平和丰富实践经验的档案专业技术人员和科技、经济等领域的专业人员担任。

第十条 继续教育经费按照国家有关规定，多渠道、多途径筹集解决。有条件的档案行政管理部门可以建立继续教育基金。

第十一条 继续教育实行统一规划，分级管理，分块实施。

第十二条 国家档案局负责全国档案专业技术人员继续教育的宏观管理，制定规划、法规、组织教学示范活动，进行综合协调、政策指导。

第十三条 各省、自治区、直辖市档案局和中央、国家机关档案部门负责本地区、本部门继续教育的管理工作，制定继续教育规划、计划并组织实施。

第十四条 档案行政管理部门要加强对继续教育内容的教学指导。根据档案学科和档案事业发展的趋向，以及对档案专业人员素质的要求，编制科目指南，确定继续教育导向性内容。

第十五条 档案系统实行继续教育登记、考核制度。各级档案部门及企事业单位要建立继续教育档案，连续记载档案专业人员接受继续教育情况，考核结果作为对专业技术人员晋级、晋升和专业技术职务聘任的重要依据。

第十六条 档案系统实行继续教育奖励制度。对认真执行本规定，在继续教育工作中做出显著成绩的单位和个人，应给予表彰和奖励。

第十七条 加强继续教育的理论研究和宣传工作，不断改善继续教育的社会环境。

第十八条 本规定由国家档案局负责解释。省级档案行政管理部门可以依照本规定的原则精神，结合实际情况，制定本地区、本部门档案专业人员继续教育的具体办法。

第十九条 本规定自发布之日起施行。