《聯(lián)網(wǎng)軟件安全行為規(guī)范》編制說明

1、.PAGE ：.；編 制 說 明編制工程組二一年十二月目 錄 TOC o - h z u HYPERLINK l _Toc 目 錄 PAGEREF _Toc h HYPERLINK l _Toc 規(guī)范范圍 PAGEREF _Toc h HYPERLINK l _Toc 任務簡況 PAGEREF _Toc h HYPERLINK l _Toc .義務來源及工程組成員 PAGEREF _Toc h HYPERLINK l _Toc .主要任務過程 PAGEREF _Toc h HYPERLINK l _Toc 規(guī)范制定的目的和意義 PAGEREF _Toc h HYPERLINK l _Toc 規(guī)

2、范編制原那么 PAGEREF _Toc h HYPERLINK l _Toc 聯(lián)網(wǎng)軟件分析及規(guī)范主要內(nèi)容確實定 PAGEREF _Toc h HYPERLINK l _Toc 與國內(nèi)外規(guī)范的關(guān)系 PAGEREF _Toc h HYPERLINK l _Toc 規(guī)范性質(zhì)的建議闡明 PAGEREF _Toc h HYPERLINK l _Toc 貫徹規(guī)范的要求和措施建議 PAGEREF _Toc h 規(guī)范范圍本規(guī)范主要規(guī)定聯(lián)網(wǎng)軟件運轉(zhuǎn)機制要求、聯(lián)網(wǎng)要求、惡意行為防備、運轉(zhuǎn)平安四個方面的要求。本規(guī)范適用于運用過程中需求接入互聯(lián)網(wǎng)的各種軟件包含需求接入互聯(lián)網(wǎng)的智能手機等挪動終端軟件。任務簡況義務來源及

3、工程組成員本行業(yè)規(guī)范的制定義務列入工業(yè)和信息化部，工程序號為H。本規(guī)范由工業(yè)和信息化部提出，由中國通訊規(guī)范化協(xié)會歸口。該規(guī)范由中國軟件評測中心牽頭，國家計算機網(wǎng)絡應急技術(shù)處置協(xié)調(diào)中心、北京大學計算機科學技術(shù)研討所和中國互聯(lián)網(wǎng)協(xié)會等單位參與制定。主要任務過程接到規(guī)范編制義務后，中國軟件評測中心迅速組建了規(guī)范編制工程組，制定了任務方案，明確了任務重點和進程安排。年月月，對國內(nèi)外情況進展了調(diào)研，了解了國內(nèi)外相關(guān)的技術(shù)研討情況，以及相關(guān)的規(guī)范和規(guī)范的制定情況。同時，對大量的聯(lián)網(wǎng)軟件效力功能、運轉(zhuǎn)方式、聯(lián)網(wǎng)特點、運轉(zhuǎn)管理以及能夠呵斥的影響等方面進展了研討分析，發(fā)現(xiàn)了聯(lián)網(wǎng)軟件中存在的平安問題。年月月，在前

4、期調(diào)研的根底上，編制完成草稿。年月月，規(guī)范草案完成后，召開了專家討論會，討論會由中國軟件評測中心、國家計算機網(wǎng)絡應急技術(shù)處置協(xié)調(diào)中心、北京大學計算機科學技術(shù)研討所和中國互聯(lián)網(wǎng)協(xié)會等單位的專家和技術(shù)人員參與，提出修正意見。修正完善規(guī)范草案，構(gòu)成了征求意見稿。年月月，規(guī)范征求意見稿經(jīng)過函審的方式征求了多位業(yè)內(nèi)專家的意見，征求意見的范圍主要包括：倪光南中國工程院院士、胡小明中國信息協(xié)會 副會長、寧家駿原國家信息中心首席工程師、魏來中國挪動網(wǎng)絡平安部經(jīng)理等專家，以及北京神州綠盟科技、 HYPERLINK finance.qq/a/.htm t _blank 北京啟明星辰信息技術(shù)、聯(lián)想網(wǎng)御科技等。年月，

5、針對專家的意見進展了研討、分析和采用，構(gòu)成送審稿。年月日，送審稿提交TC WG第次會議進展審查。會后對專家提出的意見進展了研討、分析和采用，對規(guī)范送審稿進展了修訂。年月日，送審稿提交TC WG第次會議進展了審查。會后對專家提出的意見進展了研討、分析和采用，對規(guī)范送審稿再次進展了修訂。年月日，送審稿提交TC WG第次會議進展了審查。會后對專家提出的意見進展了研討、分析和采用，并組織工程組成員對規(guī)范再次字斟句酌，構(gòu)成報批稿。規(guī)范送審稿經(jīng)過TC WG三次會議審核，參與審核的單位有國家計算機網(wǎng)絡應急技術(shù)處置協(xié)調(diào)中心、中國電信集團公司、中國挪動通訊集團公司、工業(yè)和信息化部電信研討院、華為技術(shù)、北京郵電大

6、學、中國科學院計算技術(shù)研討所、中國挪動通訊集團設計院、中國互聯(lián)網(wǎng)絡信息中心、中訊郵電咨詢設計院、中興通訊股份、國防科學技術(shù)大學計算機學院、北京傲盾軟件有限責任公司、北京神州綠盟科技、武漢郵電科學研討院、大唐電信科技產(chǎn)業(yè)集團、杭州華三通訊技術(shù)等。年月日，工信部科技司、通訊保證局和軟件效力業(yè)司共同組織召開了報批稿規(guī)范研討會，參會的主要是軟件廠商和相關(guān)專家，進一步對規(guī)范提出意見，參與的單位有百度公司、騰訊公司、瑞星公司、金山軟件公司、酷六網(wǎng)、酷狗音樂、啟明星辰公司、杭州中心軟件公司、中國通訊規(guī)范協(xié)會、中國軟件評測中心、國家計算機網(wǎng)絡應急技術(shù)處置協(xié)調(diào)中心、北京大學計算機科學技術(shù)研討所、中國互聯(lián)網(wǎng)協(xié)會、

7、電信研討院等單位。會議上對規(guī)范提出了一些建議。會后對軟件廠商和專家提出的建議進展了研討，對規(guī)范進展了修訂，構(gòu)成報批稿的最終版本。規(guī)范制定的目的和意義隨著互聯(lián)網(wǎng)運用的日益廣泛，各種運用軟件的運用過程中需接入互聯(lián)網(wǎng)已成為一個普遍特點。一些自在軟件，如播放軟件暴風影音、下載軟件迅雷、即時通訊軟件/MSN、平安衛(wèi)士等，擁有海量用戶資源的特點，足以左右國內(nèi)網(wǎng)絡通訊穩(wěn)定，對其影響不可小覷。目前，我國對具有海量用戶聯(lián)網(wǎng)軟件沒有準入制度，自在下載運用，無平安評測，處于無管理形狀。這些軟件運轉(zhuǎn)過程中，存在很多平安隱患，如相關(guān)效力器經(jīng)過免費的DNS解析效力完成，無規(guī)范、無日志，無法進展事后追蹤；一些聯(lián)網(wǎng)軟件在用戶

8、運用過程中提供一些強迫效力，存在流氓軟件的特征；軟件對互聯(lián)網(wǎng)資源運用機制不當?shù)?。這些平安隱患在一定條件下能夠引起公共網(wǎng)絡癱瘓，釀成平安事件，給寬廣的互聯(lián)網(wǎng)用戶呵斥不可估量的損失。最近發(fā)生的暴風影音.事件是其存在平安隱患的必然暴露。針對聯(lián)網(wǎng)軟件的平安問題，目前尚沒有相關(guān)的政策文件或規(guī)范對其進展管理和約束，處于無管理形狀，這對于國家公共根底設備將是一個嚴重的平安隱患。他們迫切需求制定相應的規(guī)范，約束和管理聯(lián)網(wǎng)自在軟件的行為，制止網(wǎng)絡濫用，降低或盡量防止平安風險，減少平安事故的發(fā)生，降低損失，營造一個安康、有序的互聯(lián)網(wǎng)運用環(huán)境。規(guī)范編制原那么科學性規(guī)范的編制建立在客觀的根底上，經(jīng)過充分的調(diào)研、科學的

9、分析和必要的驗證，使規(guī)范的內(nèi)容科學、合理，符合國家相關(guān)規(guī)范的根本要求，滿足聯(lián)網(wǎng)軟件平安行為自律的要求。適用性根據(jù)聯(lián)網(wǎng)軟件的詳細特點，以軟件接入互聯(lián)網(wǎng)能夠產(chǎn)生的要挾和風險為出發(fā)點和研討中心，制定其平安行為規(guī)范，保證規(guī)范具有很好的適用性和可操作性，廣泛適用于不同運用的聯(lián)網(wǎng)軟件。聯(lián)網(wǎng)軟件分析及規(guī)范主要內(nèi)容確實定對大量的聯(lián)網(wǎng)軟件從效力功能、運轉(zhuǎn)方式、聯(lián)網(wǎng)特點、運轉(zhuǎn)管理以及能夠呵斥的影響等方面進展了研討分析，發(fā)現(xiàn)了很多問題，如：運轉(zhuǎn)過程中存在用戶無法干涉的行為，如開機自動運轉(zhuǎn)，封鎖后仍有部分進程未封鎖，用戶不能調(diào)理軟件占有的資源，強迫更新，沒有相關(guān)提示信息等；聯(lián)網(wǎng)機制存在問題，沒有最大網(wǎng)絡銜接數(shù)和銜接頻

10、次的限制，效力器端沒有設置最大銜接數(shù)和單個用戶的并發(fā)數(shù)；異常情況下沒有處置措施，如網(wǎng)絡堵塞、多次銜接失敗，軟件沒有應對措施；存在惡意行為，如強迫安裝、修正本地設置、搜集用戶信息和推送廣告等；軟件或相關(guān)效力網(wǎng)站存在平安破綻，軟件商未進展平安檢測；支持軟件運轉(zhuǎn)的根底設備存在平安隱患，如DNS效力器存在平安破綻；軟件廠商未制定平安事件應急處置措施。對發(fā)現(xiàn)的平安問題進展歸納和分析，有針對性的提出防護措施，對聯(lián)網(wǎng)軟件從運轉(zhuǎn)機制要求、聯(lián)網(wǎng)要求、惡意行為防備和運轉(zhuǎn)平安四個方面進展規(guī)范和要求。對聯(lián)網(wǎng)軟件的啟動封鎖、運轉(zhuǎn)和更新機制等進展平安要求，對軟件的資源控制、異常處置和平安控制進展平安要求，對軟件的安裝卸載

11、和運轉(zhuǎn)行為進展限制，以及對軟件廠商的平安保證措施進展規(guī)范。與國內(nèi)外規(guī)范的關(guān)系國內(nèi)外尚未出臺專門針對聯(lián)網(wǎng)軟件平安行為的規(guī)范和規(guī)范。年月日公安部發(fā)布，此管理方法規(guī)定了任何單位和個人不得利用國際聯(lián)網(wǎng)危害國家平安、泄露國家，不得進犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動；不得利用國際聯(lián)網(wǎng)制造、復制、查閱和傳播不良信息；不得從事危害計算機信息網(wǎng)絡平安的活動；不得違反法律規(guī)定，利用國際聯(lián)網(wǎng)進犯用戶的通訊自在和通訊。此管理方法僅針對單位和個人利用互聯(lián)網(wǎng)的行為做出了一些規(guī)定，沒有針對聯(lián)網(wǎng)軟件的詳細行為做出要求。但聯(lián)網(wǎng)軟件的行為可歸結(jié)為運營單位或個人的行為，因此，聯(lián)網(wǎng)軟件的平安行為規(guī)范應該以不違反此管理方法中的規(guī)定為前提。年月，中國互聯(lián)網(wǎng)協(xié)會公布了，對軟件強迫安裝、難以卸載、閱讀器劫持、廣告彈出、惡意搜集用戶信息、惡意卸載、惡意捆綁、其他進犯用戶知情權(quán)和選擇權(quán)的惡意行為等八種景象進展了定義和闡明。此細那么主要闡明了軟件對用戶的惡意行為，沒有闡明軟件對國家公共網(wǎng)絡平安所產(chǎn)生的影響。對的制定具有參考意義。規(guī)范性質(zhì)的建議闡明建議將該規(guī)范作為引薦性行業(yè)規(guī)范發(fā)布實施。貫徹規(guī)范的要求和措施建議由于目前尚沒有相