基础电信企业木马和僵尸网络监测与处置系统运行效能测试评估规范.pdfVIP

基础电信企业木马和僵尸网络监测与处置系统

运行效能测试规范

2023年5月

目  录

前  言1

1目的和范围2

2参考文件2

3术语和定义2

3.1有害程序2

3.2僵尸网络3

3.3木马程序3

3.4蠕虫病毒3

3.5网络资源3

3.6流量报文3

3.7恶意样本3

4基础电信企业木马和僵尸网络监测与处置系统运行效能评估体系3

4.1系统能力3

4.1.1监测带宽指标3

4.1.2功能完备指标4

4.1.3协同联动指标7

4.2数据质量8

4.2.1及时性8

4.2.2准确性8

4.2.3完整性9

4.2.4可用性9

5基础电信企业木马和僵尸网络监测处置能力评估方法10

5.1评估方法10

5.2评估环境要求10

6基础电信企业木马和僵尸网络监测处置能力检测要点11

6.1系统能力检测要点11

6.1.1监测带宽检测要点11

6.1.2功能完备情况检测要点11

6.1.3指令协同联动能力检测要点21

6.2数据质量检测要点24

6.2.1常态化数据上报检测要点24

6.2.2指令协同数据上报检测要点28

附录A：基础电信企业木马和僵尸网络监测与处置管理平台接口规范修订说明31

I

前  言

本文件依据《基础电信企业木马和僵尸网络监测与处置系统企业侧平台建设

指南》和《基础电信企业木马和僵尸网络监测与处置管理平台接口规范》要求，

针对各省公司独立建设的木马和僵尸网络监测与处置系统，在系统能力达标情况

和数据质量两方面提出具体的评估指标项及评分规则，同时也提出了相应的检测

评估方法和要点。

本文件指导单位：工业和信息化部网络安全管理局

本文件编制单位：中国信息通信研究院、中国电信集团有限公司、中国移动

通信集团有限公司、中国联合网络通信集团有限公司

1

基础电信企业木马和僵尸网络监测与处置系统

运行效能测试规范

1目的和范围

木马和僵尸网络监测与处置系统主要分为两部分：一是基础电信企业侧平台

（下文简称“企业侧”）；二是木马和僵尸网络监测与处置系统部侧平台（下文

简称“部侧平台”）。其目的在于实现省网流量的实时采集、协议识别、威胁监

测、研判、处置和集中管理等能力，达到推进网络空间安全治理的目标。本文件

旨在评估系统运行效能（系统能力、数据质量等），以规范木马和僵尸网络监测

与处置系统技术手段的建设。

本文件依据《基础电信企业木马和僵尸网络监测与处置系统企业侧平台建设

指南》和《基础电信企业木马和僵尸网络监测与处置管理平台接口规范》及相关

规范，针对木马和僵尸网络的监测处置能力提出具体的考核要求和检测评估方法。

本文件适用于对基础电信企业木马和僵尸网络监测与处置系统建设情况的

评测评估。

2参考文件

工网安函〔2022〕303号文附件《基础电信企业木马和僵尸网络监测与处置

系统企业侧平台建设指南》

工网安函〔2022〕303号文附件《基础电信企业木马和僵尸网络监测与处置

管理平台接口规范》

3术语和定义

下列术语和定义适用于本文件。

3.1有害程序

有害程序指的是在用户不知情或未授权的情况下，在系统中安装、运行以达

到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代

码片段。