《信息安全技术 恶意软件事件预防和处理指南-编制说明》

《信息安全技术恶意软件事件预防和处理指南》编制说明

一、任务来源

《信息安全技术恶意软件事件预防和处理指南》是全国信息安全标准化技术委员会

2011年度信息安全专项中标准制订项目之一。属2011年度下达的国家标准制定项目。

二、研究目标

《信息安全技术恶意软件事件预防和处理指南》的制定旨在参照NISTSP800-83：Guide

toMalwareIncidentPreventionandHandling，并结合我国恶意软件事件预防和处理实践，制

定一个我国恶意软件事件预防和处理指南的标准。

三、国内外标准制定情况

3.1国际现状

早在1991年，CARO（计算机反病毒研究组织）的创始人员就制定了一套应用于反病

毒（AV）产品的计算机病毒的命名规则。如今，相对于现在的应用来说，CARO的命名规

则已经显得稍微有点过时了，但是它仍然是大多数反病毒公司曾采用过的唯一标准。2005

年10月份，美国计算机紧急反应小组(US-CERT，TheUnitedStatesComputerEmergency

ReadinessTeam)正式启动名为CME（CommonMalwareEnumeration）的项目。该项目的目

的是为每个恶意软件指定一个唯一的标识符，从而帮助用户识别系统遭受的攻击。

2005年7月，微软、赛门铁克、组合国际（CA）、McAfee及Yahoo!等厂商组成反间谍

软件联盟（Anti-SpywareCoalition，缩写为ASC）。ASC目的是共同为间谍软件的定义、解

决争议的通用程序和协同防御措施而努力，以帮助全球用户抵御日渐猖獗的网络威胁。ASC

在恶意软件的定义和标准方面与各方进行了广泛讨论和深入研究，并形成一系列的标准和指

导文档，其中主要有如下文档：

（1）反间谍软件产品测试指南；

（2）反间谍联盟风险模型描述；

（3）最佳作法：潜在有害程序评估指南；

（4）冲突辨认与解决程序。

2008年2月，赛门铁克、趋势科技、熊猫安全等电脑安全厂商和超过40位全球的安全

软件技术专家以及反恶意软件测试者集聚到了西班牙的毕尔巴鄂，正式宣布成立“反恶意软

件测试标准组织”（Anti-MalwareTestingStandardsOrganization，缩写为AMTSO）。AMTSO

的目的在于颁布全球通用的反恶意软件测试标准和准则，以及推出反恶意软件工具的审核方

针。根据其初步章程，AMTSO将具有如下职责：

（1）提供一个论坛，讨论反恶意软件测试的相关问题及相关产品；

（2）制定并公布一套客观的标准和进行反恶意软件及相关产品测试的最佳方案；

（3）促进对反恶意软件及相关产品测试的培训和方案认知；

（4）提供工具和资源以支持基于标准的测试方法；

（5）提供现有和将来的反恶意软件及相关产品的分析审查报告。

此外，哈佛大学法学院伯克曼社会与网络中心与牛津大学互联网学院联合成立了阻止不

良软件联盟（StopBadware）。S是一个致力于消除恶意软件的非盈利组织，它

成立宗旨是“互联网的守望相助”。它对用户举报的恶意软件进行了详细的分类评价，系统

的研究保证了结果的科学性和权威性。Stopbadware的工作主要包括三方面：发布恶意软件

的警告、建立传播恶意软件站点的数据库和发布针对恶意软件的研究报告。

目前国际上已制定出的恶意软件事件预防和处理方面的标准和规范主要如下：

（1）2004年1月，美国国家标准与技术协会NIST制定了SP800-61：《计算机安全事

件处理指南》，并于2008年3月发布了该标准的修订版。在该标准的第五章，专门就恶意代

码事件的处理进行了详细论述；

（2）2005年11月，美国国家标准与技术协会NIST制定了SP800-83：《恶意软件事件

预防和处理指南》。该标准重点就恶意软件分类、恶意软件事件预防和恶意软件事件响应进

行了详细描述和说明；

（3）2006年9月，美国亚利桑那州制定了P800–S860：《病毒和恶意代码防护》。该

标准的目的是建立全州病毒和恶意代码保护的要求，以保障互联网、IT控件和重要的敏感

信息的安全；

（4）2007年7月，ISO发布了ISOPS014：《恶意软件防护》。该指南针对恶意软件威

胁，就管理人员标准、技术标准和软件标准等三方面需要遵循的要求进行了简单说明；

（5）2007年9月，美国国家安全局（NSA）发布了《解决恶意代码风险指南》。本标

准分析如何减少将恶意代码进入软件和软件系统中的可能性，以减少恶意代码的产生。为便

于理解，该标准还分析了不同环境特点下和场景下恶意代码可能出现的情况；

（6）2008年3月，美国俄亥俄州制定了ITP-B.4：《IT安全策略恶意代码安全》。该规

范重点说明了防范恶意代码的威胁需要采取的安全策略和措施，从而确保信息系统和计算机

的安全；

（7）2008年3月，美国俄亥俄州发布了《恶意代码安全白皮书》，该白皮书在ITP-B.4

的基础上，对恶意代码需要采取的安全策略和措施进行了进一步的分析和说明；

（8）2008年4月，ITU发布了ITU-T-X.1207：《电信服务商解决间谍软件风险指南》。

该标准主要为电信服务商提供抵抗恶意软件威胁的实施建议和针对使用者的广泛教育，使电

信服务商能更好的应对间谍软件。

（9）2013年7月，美国国家标准与技术协会NIST制定了SP800-83r1：《恶意软件事

件预防和处理指南》。该标准重点就恶意软件分类、恶意软件事件预防和恶意软件事件响应

进行了详细描述和说明；

3.2国内现状

为了防治恶意软件的威胁，国内众多安全厂商（比如说金山、瑞星、江民、奇虎等）先

后推出了反恶意软件工具。

同时，为了对各厂商的反恶意软件产品提供检测和认证，1996年12月，我国成立了计算

机病毒防治产品检验中心。2000年8月，在计算机病毒防治产品检验中心的基础上，我国建

立了国家计算机病毒应急处理中心，该中心的主要工作任务是充分调动国内防病毒力量，快

速发现病毒疫情，快速发应，快速处置，防止计算机病毒对我国的计算机网络和信息系统造

成重大破坏。

此外，近年来国内也先后成立了国家互联网应急中心、中国反恶意软件联盟、中国反流

氓软件联盟（软件行为用户监督联盟）、互联网软件自律联盟、网络不良信息与垃圾信息举

报受理中心、中国互联网协会反恶意软件协调工作组等恶意软件防范相关组织。

在恶意软件标准化方面，国内也进行了一些研究，主要如下：

1

2006年10月，中国互联网协会成立反恶意软件协调工作组以共同研究恶意软件判别标

准，并于2006年11月公布了“恶意软件”的定义，认为恶意软件是指在未明确提示用户或

未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，

但不包含我国法律法规规定的计算机病毒。

2007年6月中国互联网协会又公布了《“恶意软件定义”细则》，该细则对强制安装，

难以卸载，浏览器劫持，广告弹出，恶意收集用户信息，恶意卸载，恶意捆绑，其他侵犯用

户知情权和选择权的恶意行为等八种现象进行了详细解释说明，认为只要涉及任意一项，便

可以被认定为恶意软件。该标准的制定对于推动行业自律、规范市场竞争、遏制恶意软件的

传播具有一定的积极意义，但中国互联网协会只是一个民间组织，权威性不高，同时，由于

其描述的恶意软件的行为过于笼统，已引起了很大的争论，导致其无法适用于现在的互联网

的管理。特别是该判定标准并不包括计算机病毒、木马、蠕虫、rootkit等恶意软件，因此该

标准的制定并不全面，需要进一步的研究和完善。

同时，中国科学院研究生院国家计算机网络入侵中心2008年承担了全国信息安全标准

化技术委员会国家标准研究项目“恶意软件防范技术相关标准研究”。该课题的研究目标

主要是对恶意软件防范技术相关标准进行基础研究，进而确立恶意软件防范技术标准体系

框架，明确今后需要制定哪些标准及各标准主要内容。

此外，我国公安部也制定和公布了一些恶意软件方面的标准，具体如下：

（1）1996年4月，公安部发布了GA135-1996：《DOS操作系统环境中计算机病毒防治

产品测试方法》，该标准对有关术语进行了定义，规定了计算机病毒防治产品的测试环境、

测试步骤、测试内容及功能测试方法，适用于国内销售的计算机病毒防治产品；

（2）2000年3月，公安部发布了GA243-2000：《计算机病毒防治产品评级准则》，该

标准规定了计算机病毒防治产品的定义、参检要求、检测及评级方法，适用于计算机病毒防

治产品的检测和评级；

（3）2006年1月，公安部发布了MSTL_JGF_04-0220101——2006：《信息安全技术网

际恶意代码控制产品检验规范》，该规范规定了网际恶意代码控制产品的安全功能要求和安

全保证要求，适应于网际恶意代码控制产品的开发及检测。

四、主要工作过程

4.1标准立项

2011年12月，《信息安全技术恶意软件事件预防和处理指南》被全国信息安全标准化

技术委员会正式立项，定性为国家推荐性标准。中国科学院研究生院国家计算机网络入侵防

范中心随即正式成立标准编制组。

4.2标准制定的主要工作过程

1)2011年12月成立了以中国科学院大学国家计算机网络入侵防范中心主任张玉清

为负责人和主笔的《信息安全技术恶意软件事件预防和处理指南》标准编写组。

2)2012年1月起，标准编制组开始研究恶意软件动态和发展趋势，研究分析恶意软

件系列标准，重点研究标准中的恶意软件事件预防和处理机制，研究、分析NISTSP800-83：

《GuidetoMalwareIncidentPreventionandHandling》。编制了《恶意软件事件预防和处理指

2

南》草案（第一稿）。

3)2016年10年18日，参加安标委WG7工作组专家审查会，《信息安全技术恶意

软件事件预防和处理指南》进行了审查。出席审查会的专家包括组长杨建军、副组长闵京华

等，以及WG7秘书王慧莅等。根据审查会专家意见进行修改（参见标准草案稿意见汇总处

理表），形成并提交《信息安全技术恶意软件事件预防和处理指南》草案（第一稿）。

4)2017年4年8日，参加安标委WG7工作组专家审查会，《信息安全技术恶意软

件事件预防和处理指南》通过了审查。出席审查会的专家包括组长杨建军、副组长闵京华等，

以及WG7秘书王慧莅等。根据审查会专家意见进行修改（参见标准草案稿意见汇总处理表），

形成并提交《信息安全技术恶意软件事件预防和处理指南》草案（第二稿）。

5)2018年4年16日，参加安标委WG7工作组专家审查会，《信息安全技术恶意

软件事件预防和处理指南》通过了审查。出席审查会的专家包括组长杨建军、副组长闵京华

等，以及WG7秘书王慧莅等。根据审查会专家意见进行修改（参见标准草案稿意见汇总处

理表），形成征求意见稿。

4.3标准的主要内容

研究恶意软件动态和发展趋势，研究分析恶意软件系列标准，重点研究标准中的恶意软

件事件预防和处理机制，研究、分析NISTSP800-83：《Gu