《联网软件安全行为规范》编制说明.docVIP

《联网软件安全行为规范》 编 制 说 明 《联网软件安全行为规范》编制项目组 二〇一〇年十二月 目 录 目 录 2 1 标准范围 3 2 工作简况 3 2.1 任务来源及项目组成员 3 2.2 主要工作过程 3 3 标准制订的目的和意义 5 4 标准编制原则 5 5 联网软件分析及标准主要内容的确定 6 6 与国内外标准的关系 6 7 标准性质的建议说明 7 8 贯彻标准的要求和措施建议 7 标准范围 本标准主要规定联网软件运行机制要求、联网要求、恶意行为防范、运行安全四个方面的要求。本标准适用于使用过程中需要接入互联网的各种软件（包含需要接入互联网的智能手机等移动终端软件）。 工作简况 任务来源及项目组成员 本行业标准的制任务列入工业和信息化部《2009年第二批通信行业标准项目计划》，项目序号为2009H301。本标准由工业和信息化部提出，由中国通信标准化协会归口。 该标准由中国软件评测中心牵头，国家计算机网络应急技术处理协调中心、北京大学计算机科学技术研究所和中国互联网协会等单位参与制订。 主要工作过程 接到标准编制任务后，中国软件评测中心迅速组建了标准编制项目组，制订了工作计划，明确了工作重点和进程安排。 2009年6月—8月，对国内外情况进行了调研，了解了国内外相关的技术研究情况，以及相关的标准和规范的制定情况。同时，对大量的联网软件，发现了联网软件中存在的安全问题。 2009年9月—10月，在前期调研的基础上，编制完成《联网软件安全行为规范》（草稿）。 2009年11月—12月，标准草案完成后，召开了专家讨论会，讨论会由中国软件评测中心、国家计算机网络应急技术处理协调中心、北京大学计算机科学技术研究所和中国互联网协会等单位的专家和技术人员参与，提出修改意见修改完善标准草案，形成了《联网软件安全行为规范》（征求意见稿）。 2010年1月—2月，标准征求意见稿通过函审的方式征求了多位业内专家的意见，征求意见的范围主要包括：倪光南（中国工程院院士）胡小明（中国信息协会 副会长）、宁家骏（原国家信息中心首席工程师）等专家，以及北京神州绿盟科技有限公司、北京启明星辰信息技术有限公司、等。 2010年3月，针对专家的意见进行了研究、分析和采纳，形成《联网软件安全行为规范》（送审稿）2010年3月25日《联网软件安全行为规范》（送审稿）提交TC8 WG3第21次会议进行审查。对专家提出的意见进行了研究、分析和采纳，对标准送审稿进行了修订。 2010年6月11日《联网软件安全行为规范》（送审稿）提交TC8 WG3第22次会议进行了审查。对专家提出的意见进行了研究、分析和采纳，对标准送审稿再次进行了修订。 2010年月日《联网软件安全行为规范》（送审稿）提交TC8 WG3第2次会议进行了审查。对专家提出的意见进行了研究、分析和采纳，形成《联网软件安全行为规范》（稿）。标准送审稿经过TC8 WG3三次会议审核，参与审核的单位有国家计算机网络应急技术处理协调中心、中国电信集团公司、中国移动通信集团公司、工业和信息化部电信研究院、华为技术有限公司、北京邮电大学、中国科学院计算技术研究所、中国移动通信集团设计院有限公司、中国互联网络信息中心、中讯邮电咨询设计院有限公司、中兴通讯股份有限公司、国防科学技术大学计算机学院、北京傲盾软件有限责任公司、北京神州绿盟科技有限公司、武汉邮电科学研究院、大唐电信科技产业集团、杭州华三通信技术有限公司等2011年月日目的和意义 随着互联网应用的日益广泛，各种应用软件的使用过程中需接入互联网已成为一个普遍特点。一些自由软件，如播放软件暴风影音、下载软件迅雷、即时通信软件QQ/MSN、安全卫士360等，拥有海量用户资源的特点，足以左右国内网络通信稳定，对其影响不可小觑。 目前，我国对具有海量用户联网软件没有准入制度，自由下载使用，无安全评测，处于无管理状态。这些软件运行过程中，存在很多安全隐患，如相关服务器通过免费的DNS解析服务完成，无规范、无日志，无法进行事后追踪；一些联网软件在用户使用过程中提供一些强制服务，存在流氓软件的特征；软件对互联网资源使用机制不当等。这些安全隐患在一定条件下可能引起公共网络瘫痪，酿成安全事件，给广大的互联网用户造成不可估量的损失。最近发生的暴风影音5.19事件是其存在安全隐患的必然暴露。 针对联网软件的安全问题，目前尚没有相关的政策文件或标准对其进行管理和约束，处于无管理状态，这对于国家公共基础设施将是一个严重的安全隐患。我们迫切需要制订相应的标准，约束和管理联网自由软件的行为，禁止网络滥用，降低或尽量避免安全风险，减少安全事故的发生，降低损失，营造一个健康、有序的互联网应用环境。 编制原则 （1）科学性 标准的编制建立在客观的基础上，经过充分的调研、科学的分析和必要的验证，