《联网软件安全行为规范》编制说明

1《联网软件安全行为规范》编制说明《联网软件安全行为规范》编制项目组二〇一〇年十二月2目录目录............................................................................................................................21标准范围.................................................................................................................32工作简况.................................................................................................................32.1任务来源及项目组成员.....................................................................................32.2主要工作过程.....................................................................................................33标准制订的目的和意义.........................................................................................54标准编制原则.........................................................................................................55联网软件分析及标准主要内容的确定.................................................................66与国内外标准的关系.............................................................................................67标准性质的建议说明.............................................................................................78贯彻标准的要求和措施建议.................................................................................731标准范围本标准主要规定联网软件运行机制要求、联网要求、恶意行为防范、运行安全四个方面的要求。本标准适用于使用过程中需要接入互联网的各种软件（包含需要接入互联网的智能手机等移动终端软件）。2工作简况2.1任务来源及项目组成员本行业标准的制订任务列入工业和信息化部《2009年第二批通信行业标准项目计划》，项目序号为2009H301。本标准由工业和信息化部提出，由中国通信标准化协会归口。该标准由中国软件评测中心牵头，国家计算机网络应急技术处理协调中心、北京大学计算机科学技术研究所和中国互联网协会等单位参与制订。2.2主要工作过程接到标准编制任务后，中国软件评测中心迅速组建了标准编制项目组，制订了工作计划，明确了工作重点和进程安排。2009年6月—8月，对国内外情况进行了调研，了解了国内外相关的技术研究情况，以及相关的标准和规范的制定情况。同时，对大量的联网软件服务功能、运行模式、联网特点、运行管理以及可能造成的影响等方面进行了研究分析，发现了联网软件中存在的安全问题。2009年9月—10月，在前期调研的基础上，编制完成《联网软件安全行为规范》（草稿）。2009年11月—12月，标准草案完成后，召开了专家讨论会，讨论会由中国软件评测中心、国家计算机网络应急技术处理协调中心、北京大学计算机科学技术研究所和中国互联网协会等单位的专家和技术人员参与，提出修改意见。修改完善标准草案，形成了《联网软件安全行为规范》（征求意见稿）。2010年1月—2月，标准征求意见稿通过函审的方式征求了多位业内专家的4意见，征求意见的范围主要包括：倪光南（中国工程院院士）、胡小明（中国信息协会副会长）、宁家骏（原国家信息中心首席工程师）、魏来（中国移动网络安全部经理）等专家，以及北京神州绿盟科技有限公司、北京启明星辰信息技术有限公司、联想网御科技有限公司等。2010年3月，针对专家的意见进行了研究、分析和采纳，形成《联网软件安全行为规范》（送审稿）。2010年3月25日，《联网软件安全行为规范》（送审稿）提交TC8WG3第21次会议进行审查。会后对专家提出的意见进行了研究、分析和采纳，对标准送审稿进行了修订。2010年6月11日，《联网软件安全行为规范》（送审稿）提交TC8WG3第22次会议进行了审查。会后对专家提出的意见进行了研究、分析和采纳，对标准送审稿再次进行了修订。2010年12月2日，《联网软件安全行为规范》（送审稿）提交TC8WG3第24次会议进行了审查。会后对专家提出的意见进行了研究、分析和采纳，并组织项目组成员对标准再次字斟句酌，形成《联网软件安全行为规范》（报批稿）。标准送审稿经过TC8WG3三次会议审核，参与审核的单位有国家计算机网络应急技术处理协调中心、中国电信集团公司、中国移动通信集团公司、工业和信息化部电信研究院、华为技术有限公司、北京邮电大学、中国科学院计算技术研究所、中国移动通信集团设计院有限公司、中国互联网络信息中心、中讯邮电咨询设计院有限公司、中兴通讯股份有限公司、国防科学技术大学计算机学院、北京傲盾软件有限责任公司、北京神州绿盟科技有限公司、武汉邮电科学研究院、大唐电信科技产业集团、杭州华三通信技术有限公司等。2011年1月28日，工信部科技司、通信保障局和软件服务业司共同组织召开了《联网软件安全行为规范》（报批稿）标准研讨会，参会的主要是软件厂商和相关专家，进一步对标准提出意见，参加的单位有百度公司、腾讯公司、瑞星公司、金山软件公司、酷六网、酷狗音乐、启明星辰公司、杭州核心软件公司、中国通信标准协会、中国软件评测中心、国家计算机网络应急技术处理协调中心、北京大学计算机科学技术研究所、中国互联网协会、电信研究院等单位。会议上对标准提出了一些建议。会后对软件厂商和专家提出的建议进行了研究，对标准5进行了修订，形成《联网软件安全行为规范》（报批稿）的最终版本。3标准制订的目的和意义随着互联网应用的日益广泛，各种应用软件的使用过程中需接入互联网已成为一个普遍特点。一些自由软件，如播放软件暴风影音、下载软件迅雷、即时通信软件QQ/MSN、安全卫士360等，拥有海量用户资源的特点，足以左右国内网络通信稳定，对其影响不可小觑。目前，我国对具有海量用户联网软件没有准入制度，自由下载使用，无安全评测，处于无管理状态。这些软件运行过程中，存在很多安全隐患，如相关服务器通过免费的DNS解析服务完成，无规范、无日志，无法进行事后追踪；一些联网软件在用户使用过程中提供一些强制服务，存在流氓软件的特征；软件对互联网资源使用机制不当等。这些安全隐患在一定条件下可能引起公共网络瘫痪，酿成安全事件，给广大的互联网用户造成不可估量的损失。最近发生的暴风影音5.19事件是其存在安全隐患的必然暴露。针对联网软件的安全问题，目前尚没有相关的政策文件或标准对其进行管理和约束，处于无管理状态，这对于国家公共基础设施将是一个严重的安全隐患。我们迫切需要制订相应的标准，约束和管理联网自由软件的行为，禁止网络滥用，降低或尽量避免安全风险，减少安全事故的发生，降低损失，营造一个健康、有序的互联网应用环境。4标准编制原则（1）科学性标准的编制建立在客观的基础上，经过充分的调研、科学的分析和必要的验证，使标准的内容科学、合理，符合国家相关标准的基本要求，满足联网软件安全行为自律的要求。（2）适用性根据联网软件的具体特点，以软件接入互联网可能产生的威胁和风险为出发点和研究核心，制订其安全行为规范，保证标准具有很好的适用性和可操作性，广泛适用于不同应用的联网软件。65联网软件分析及标准主要内容的确定对大量的联网软件从服务功能、运行模式、联网特点、运行管理以及可能造成的影响等方面进行了研究分析，发现了很多问题，如：•运行过程中存在用户无法干预的行为，如开机自动运行，关闭后仍有部分进程未关闭，用户不能调节软件占有的资源，强制更新，没有相关提示信息等；•联网机制存在问题，没有最大网络连接数和连接频次的限制，服务器端没有设置最大连接数和单个用户的并发数；•异常情况下没有处理措施，如网络堵塞、多次连接失败，软件没有应对措施；•存在恶意行为，如强制安装、修改本地设置、收集用户信息和推送广告等；•软件或相关服务网站存在安全漏洞，软件商未进行安全检测；•支持软件运行的基础设施存在安全隐患，如DNS服务器存在安全漏洞；•软件厂商未制定安全事件应急处理措施。对发现的安全问题进行归纳和分析，有针对性的提出防护措施，对联网软件从运行机制要求、联网要求、恶意行为防范和运行安全四个方面进行规范和要求。对联网软件的启动关闭、运行和更新机制等进行安全要求，对软件的资源控制、异常处理和安全控制进行安全要求，对软件的安装卸载和运行行为进行限制，以及对软件厂商的安全保障措施进行规范。6与国内外标准的关系国内外尚未出台专门针对联网软件安全行为的标准和规范。1997年12月30日公安部发布《计算机信息网络国际联网安全保护管理办法》，此管理办法规定了任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动；不得利用国际联网制作、复制、查阅和传播不良信息；不得从事危害计算机信息网络安全的活动；不得违反法律规定，利用国际联网侵犯用户的7通信自由和通信秘密。此管理办法仅针对单位和个人利用互联网的行为做出了一些规定，没有针对联网软件的具体行为做出要求。但联网软件的行为可归结为运营单位或个人的行为，因此，联网软件的安全行为规范应该以不违反此管理办法中的规定为前提。2007年6月，中国互联网协会公布了《“恶意软件定义”细则》，对软件强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权和选择权的恶意行为等八种现象进行了定义和说明。此细则主要说明了软件对用户的恶意行为，没有说明软件对国家公共网络安全所产生的影响。对《联网软件安全行为规范》的制订具有参考意义。7标准性质的建议说明建议将该标准作为推荐性行业标准发布实施。8贯彻标准的要求和措施建议由于目前尚没有相关的政策文件或标准对联网软件进行管理和约束，且联网软件种类多、用户庞大，软件厂商规模和技术也参差不齐，标准的贯彻具有一定难度。目前情况下，行业自律是加强联网软件安全运行的有效形式。该标准出台后，软件厂商应该按照标准要求进行整改，并由第三方测评机构对其进行测评和监督。通过多方努力，提高联网软件的安全性，保障公共网络安全和广大用户的利益，营造健康、有序的互联网应用环境。