事件通报内容包括:
1、威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。
2、木马和僵尸网络使用的恶意域名。
3、木马和僵尸网络的规模和潜在危害。
监测和通报流程图见附件一。
第九条 处置和反馈:
基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后,应按如下流程处理:
(一)通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除,并跟踪用户处置情况。
对于域名注册信息不真实、不准确、不完整的,互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。
(二)反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈,一般事件的处置情况应在5个工作日内向CNCERT反馈。
反馈内容包括:用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。
(三)监测单位验证处置情况。
对于CNCERT自主监测的事件,由CNCERT对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果,一般事件应在5个工作日内反馈验证结果。
对于基础电信运营企业监测到的事件由基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈验证结果,一般事件应在10个工作日内向CNCERT反馈验证结果。
(四)对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名,按如下方式处置:
对于重要信息系统单位,向通信保障局反馈用户相关情况,抄报CNCERT,由通信保障局或当地通信管理局书面通知其主管部门。
对于其他单位用户和个人用户,应依据与用户签署的服务协议、合同等进行处置。
(五)对于特别重大、重大、较大事件的处置情况,CNCERT应在接到处置单位反馈后2小时内向通信保障局和相关通信管理局反馈处置结果,一般事件处置情况由CNCERT每月汇总,按照互联网网络安全信息通报有关办法通报监测和处置情况。
处置和反馈流程见附件二。
第十条 CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应留存木马和僵尸网络相关数据或资料以备查验。数据或资料保存时间为60天。
