一、恶意程序与恶意程序的概述
1、定义
恶意程序(rogue program)在国家标准GB/T 20986-2023中的定义是:指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件(malware incident)指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。
注意:恶意程序事件是网络安全事件的一种。网络安全事件(cybersecurity incident)是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
欲具体了解网络安全事件概念的请进入。
恶意软件(malware)应是恶意程序的特例。中国互联网协会曾在2006年11月正式公布“恶意软件”最终定义是指:在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。具有下列特征之一的软件可以被认为是恶意软件:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他行为。具体详见下表1-1的释义。
表 1-1:恶意软件的八大行为特征
2、类型
在国家标准GB/T 20986-2023中,定义了10类恶意程序事件,包括:包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件。它们的含义具体详见下表-12。由恶意程序事件的分类,事实上可以知道恶意程序的分类类型。
表 1-2:10类恶意程序事件的含义
注意,上表中同时给出了恶意程序事件的代码。我们知道,在GB/T 20986-2023标准中规定了网络安全事件的代码,其中恶意程序事件的代码编号为01,后缀3位具体事件的代码,每个恶意程序事件的代码共5位。
3、、等级级别
我们知道,在国家标准GB/T 20986-2023中规定了网络安全事件的等级,分为四级:一般事件(四级)、较大事件(三级)、重大事件(二级)和特别重大事件(一级)。那么,下表1-3给出了恶意程序事件对应的等级级别的划分。
表 1-3:恶意程序事件的等级级别划分
二、恶意程序与恶意程序事件的防治
1、国家标准技术要求
根据国家标准,防范恶意程序的技术要求核心是建立纵深防御体系。相关规定主要集中在 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》这一基础性标准中,其它多项标准则从产品、检测、设计等不同层面提供了具体的技术规范。
其一是基线要求。GB/T 22239-2019标准为不同安全等级的信息系统规定了基线要求。防范恶意程序的核心技术措施可归纳为:边界防护、主机防护、检测响应、集中管控四个方面,具体详见下表2-1-1的描述。
表 2-1-1:GB/T 22239-2019标准关于防范恶意程序的措施
欲详细了解GB/T 22239-2019标准的请进入。
在GB/T 22239-2019标准中,等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
欲详细了解网络安全保护等级确定的请进入。
其二是防护产品的技术能力和检测方法要求。除了前述基本要求,一系列国家标准对安全防护产品(即网络安全专用产品)的技术能力和检测方法做出了具体规定。下表2-1-2列出了相关网络安全专用产品的国家标准及简述。
表 2-1-2:相关网络安全专用产品的国家标准及简述
欲详细了解国家网络安全专用产品目录的请进入。
要将上述标准要求落地,建议遵循“防护-检测-响应-恢复”框架,具体详见下表2-1-3的描述。
表 2-1-3:恶意程序防治的合规实践框架
另外,我国通信行业标准(YD)对移动互联网的恶意程序的监测与处置制定了相关标准,以对移动互联网恶意程序的防治提出了相关要求。下表2-1-4列出了相关通信行业标准及其简述,以供通信人了解。
表 2-1-4:移动互联网恶意程序的防治的相关通信行业标准介绍
2、国家法规要求
首先是法律要求。网恶意程序防范的国家法律要求主要体现在三大法:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》。关键是2025年新修订的《中华人民共和国网络安全法》,其中有多个相关的直接条款,包括:第二十三条、二十四条、第二十七条、二十八条、第六十三条等。同时,还建立了恶意程序等网络安全事件的监测预警与应急处置机制。下表2-2-1是《网络安全法》对网络运营者、产品/服务提供者、关键信息基础设施运营者等主体规定明确的义务和责任。
表 2-2-1:《中华人民共和国网络安全法》对网络安全行为主体规定的义务和责任
需要强调的是,结合《网络安全法》,与《数据安全法》和《个人信息保护法》的联动要求,需要特别关注以下几点:数据泄露与恶意程序关联、重要数据处理者义务、跨境数据传输限制、等等,具体详见下表2-2-2的解释。
表 2-2-2:三法关于网络安全防范的联动
欲详细了解《中华人民共和国网络安全法》内容的请进入。
其次是确立的安全防护机制。依据我国相关法规和国家标准的要求,我国建立了相关包括恶意程序事件在内的网络安全防护机制。其一是《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号),确立了计算机信息系统安全保护机制(主要是防护计算机病毒)。其二是《通信网络安全防护管理办法》(中华人民共和国工业和信息化部令第11号),确立了通信网络单元的分级保护制度、符合性评测制度、安全风险评估制度、通信网络安全防护检查制度等。同时建立了电信网和互联网安全防护体系及其标准。其三是《公共互联网网络安全威胁监测与处置办法》(工信部网安 [2017] 202号),确立了网络安全威胁监测与处置机制,用以加强和规范公共互联网网络安全威胁监测与处置工作,消除安全隐患,制止攻击行为,避免危害发生,降低安全风险,维护网络秩序和公共利益,保护公民、法人和其他组织的合法权益。这里所指安全威胁重点是指相关恶意程序事件,具体详见下表2-2-3所列的5种表现。
表 2-2-3:公共互联网网络安全威胁的5种表现
要强调的是,《公共互联网网络安全威胁监测与处置办法》的颁布实施,它同时代替了《木马和僵尸网络监测与处置机制》(工信部保 [2009] 157号)和《移动互联网恶意程序监测与处置机制》(工信部保 [2011] 545号)。显然,这两种类型的监测与处置工作统一纳入到公共互联网网络安全威胁监测与处置机制管理。
欲详细了解上述相关机制管理要求的请进入:国务院令147号;工业和信息化部令第11号;工信部网安 [2017] 202号
三、相关类型的恶意程序简介
1、计算机病毒
计算机病毒(computer virus)就是一种特殊(恶意)的计算机程序。因为这种恶意的程序能像微生物学所称的病毒一样,在计算机系统中繁殖、生存和传播,并像微生物病毒对动植物体带来疾病那样,这种特殊的计算机程序可以对计算机系统资源造成严重的破坏,所以人们就借用了这个微生物学名词,来形象地描述这种特殊的计算机程序。在1994年2月28日颁布的《中华人民共和国计算机信息系统安全保护条例》中是这样定义计算机病毒的:“计算机病毒是指在计算机程序中编制或者插入的破坏计算机功能或者毁坏数据,影响计算机使用,且能自我复制的一组计算机指令或者程序代码。”
欲详细了解计算机病毒介绍的请进入。
另外,手机病毒(mobile telephone virus)是在移动通信终端上具有传染性、破坏性的恶意程序,其可利用发送短信、彩信、电子邮件、浏览网站、下载铃声、蓝牙等方式进行传播,会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件、泄露个人信息、自动拨打电话、发短(彩)信等进行恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。YD/T 2439-2012《移动互联网恶意程序描述格式》定义了手机病毒的八大危害,具体详见下表3-1的阐述(包括其定义、特征等)。
表 3-1:手机病毒的八大危害
2、网络蠕虫
网络蠕虫(network worms)是一种能够自我复制的恶意程序,它主要通过寻找系统漏洞(如Windows系统漏洞、网络服务器漏洞等)进行传播。与一般病毒不同的是,蠕虫不需要人工干预,他能够利用漏洞主动进行攻击,具有较强的独立性。感染蠕虫的计算机会出现系统运行缓慢、文件丢失、文件被破坏或出现新文件的情况。由于蠕虫可以通过系统漏洞、网络文件、电子邮件等各种途径进行传播,且攻击不受宿主程序牵制,所以蠕虫的传播速度比传统病毒快得多。
欲详细了解网络蠕虫介绍的请进入。
3、僵尸网络
僵尸网络(Botnet)是指黑客采用一种或多种传播手段,将大量主机感染僵尸程序病毒,被感染的主机通过控制协议接收黑客的指令,从而在黑客和被感染主机之间所形成的可一对多控制的网络 。僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
欲详细了解僵尸网络介绍的请进入。
下表3-n从多个不同维度概括了网络病毒、网络蠕虫、僵尸网络三者的异同。三者均属于恶意程序中的不同种类,它们既有显著区别,又存在交叉与协作。简单来说,可以这样理解:病毒像需要“搭车”的破坏者,蠕虫像会“自我繁殖”的入侵者,而僵尸网络则像一个被统一遥控的“机器人大军”。后两者(蠕虫和僵尸网络)的破坏规模通常远大于前者。
表 3-n:网络病毒、网络蠕虫、僵尸网络三者异同
欲进一步了解网络安全漏洞介绍的请进入。
