【文章內(nèi)容簡(jiǎn)介】 問題 惡意代碼的定義和主要類型 任何以破壞或者改變軟件原有功能為目的，在原有軟件系統(tǒng)中增加、修改的代碼，都稱為惡意代碼。在目前企業(yè)的運(yùn)作越來越依靠信息系統(tǒng)的情況下，由惡意代碼所導(dǎo)致的系統(tǒng)無法正常運(yùn)行，可能會(huì)導(dǎo)致極大的損失。惡意代碼主要包括以下 3 種類型： 病毒 病毒是指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒一旦運(yùn)行，它就 復(fù)制自身的副本，并將其加入到其他程序中去，然后新受到感染的程序又去感染其它的程序。如果不實(shí)施相應(yīng)的措施，病毒可以不斷地復(fù)制，不斷從一個(gè)程序傳播到另一個(gè)程序，從一個(gè)計(jì)算機(jī)傳播到另一個(gè)計(jì)算機(jī)。 病毒的主要特點(diǎn)是其復(fù)制自身和感染的能力，它并不一定會(huì)對(duì)計(jì)算機(jī)的系統(tǒng)和數(shù)據(jù)造成破壞，但它至少會(huì)影響系統(tǒng)的性能或者影響系統(tǒng)用戶的日常工作。 病毒通常由 3 個(gè)方面的特征： ? 自我復(fù)制 —— 病毒大多數(shù)時(shí)間隱藏在系統(tǒng)中，不斷尋找新的宿主程序，將自身的副本添加到其他程序或者操作系統(tǒng)上。 ? 激活機(jī)制 —— 病毒程序的一部分，通過某種方式來確定病 毒開始發(fā)作的日期、時(shí)間和環(huán)境。因此病毒可以隱藏許多天、幾個(gè)月甚至幾年。（通常用邏輯炸彈來描述在特定情況下爆發(fā)的病毒）。 ? 攻擊對(duì)象 —— 病毒激活后就執(zhí)行其作者預(yù)定的任務(wù)，可能是比較善意的例如發(fā)布一個(gè)笑話，也可能是刪除系統(tǒng)文件，修改或者竊取文件內(nèi)容等惡意行為，甚至是為將來的攻擊建立后門。 14 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 蠕蟲 蠕蟲可以利用 Inter 的特性在網(wǎng)絡(luò)上進(jìn)行傳播，所以許多人認(rèn)為蠕蟲是病毒的一個(gè)子類。蠕蟲駐留在內(nèi)存中，可以在不需要用戶干預(yù)的情況下通過網(wǎng)絡(luò)進(jìn)行自身的復(fù)制。近年來對(duì)網(wǎng)絡(luò)危害最大的是例如紅色代碼等蠕蟲惡意代碼。 特洛 伊木馬 特洛伊木馬是一個(gè)惡意的計(jì)算機(jī)程序，但是它偽裝成一個(gè)無害的文件和程序，例如屏幕保護(hù)程序、郵件的附件或者網(wǎng)上下載的可執(zhí)行的應(yīng)用文件。用戶在受騙的情況下執(zhí)行了木馬程序后，木馬程序可以進(jìn)行刪除文件等破壞行為，或者使得黑客可以進(jìn)入重要的系統(tǒng)。雖然特洛伊木馬并不自我復(fù)制，但是由于 Microsoft 公司的 ActiveX控件以及 Sun 公司的 Java applet 技術(shù)的廣泛使用，大大增加了木馬傳播的機(jī)會(huì)。特洛伊木馬可能會(huì)進(jìn)行以下行為： ? 竊取密碼。 ? 啟動(dòng)用戶的攝像機(jī)或者麥克風(fēng)來記錄和傳輸對(duì)話。 ? 使用遠(yuǎn)程管理工具來控制 系統(tǒng)、竊取文件或者關(guān)閉對(duì)方的系統(tǒng)。 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 15 惡意代碼傳播途徑和方式 a) 通過軟盤或盜版光盤感染網(wǎng)絡(luò)中的客戶端，然后通過網(wǎng)絡(luò)感染整個(gè)內(nèi)部網(wǎng)絡(luò)，甚至通過 Inter 傳播。 b) 通過電子郵件，客戶端在收電子郵件時(shí)，把惡意代碼帶入內(nèi)部網(wǎng)絡(luò)。 c) 用戶上網(wǎng)，通過 HTTP、 FTP 等把惡意的代碼帶入內(nèi)部網(wǎng)絡(luò)。 d) 一些遠(yuǎn)程撥號(hào)用戶和協(xié)作單位或合作伙伴在存取企業(yè)內(nèi)部網(wǎng)絡(luò)信息時(shí)把惡意代碼帶入內(nèi)部網(wǎng)絡(luò)。 惡意代碼防范的主要技術(shù) 目前使用最廣泛和最有效的防御惡意代碼的技術(shù)是惡意代碼特征掃描以及校驗(yàn)碼檢驗(yàn)。通常把這些技術(shù)集成到一個(gè)多功能的防惡 意代碼軟件中（通常稱之為防病毒軟件），所以現(xiàn)有的很多惡意代碼防御軟件功能非常強(qiáng)大。同時(shí)使用啟發(fā)式分析技術(shù)發(fā)現(xiàn)新惡意代碼的方法也日益流行。 a) 惡意代碼特征掃描：通過對(duì)已知惡意代碼代碼特征的精確定義，使用“簽名字符串”在系統(tǒng)中搜索已知的惡意代碼。惡意代碼特征掃描器的運(yùn)行必須依靠大量的已知惡意代碼代碼的特征庫。 b) 完整性檢查：通過檢測(cè)程序或者其他可執(zhí)行文件是否被更改來判斷這些程序是否被感染。完整性檢查只能把一些被更改的程序標(biāo)識(shí)為可能被感染，而無法確定其是否真正受到感染。完整性檢查一般基于校驗(yàn)和原理。完整性檢查首先對(duì)未 受感染的可執(zhí)行程序計(jì)算并保存其校驗(yàn)和。每次進(jìn)行完整性檢查時(shí)，再次計(jì)算校驗(yàn)和并將結(jié)果和原先存儲(chǔ)的值進(jìn)行比較?？梢允褂枚喾N類型的校驗(yàn)和。簡(jiǎn)單的校驗(yàn)和容易被破解，循環(huán)冗余校驗(yàn)效果較好，但是仍然可能被破解。加密的校驗(yàn)和提供了最好的安全性。 16 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 c) 系統(tǒng)檢測(cè)： 檢測(cè)系統(tǒng)的敏感部分，控制對(duì)這些敏感部分內(nèi)容的訪問和修改，系統(tǒng)檢測(cè)可以阻止對(duì)這些系統(tǒng)部分的攻擊。因?yàn)閻阂獯a常常利用不違反系統(tǒng)安全特性的系統(tǒng)漏洞，所以系統(tǒng)檢測(cè)需要大量的關(guān)于什么是正常的系統(tǒng)行為的信息。系統(tǒng)檢測(cè)也需要用戶對(duì)檢測(cè)的結(jié)果做確認(rèn)來確定是否真的出現(xiàn)了惡意代碼。 d) 行 為阻止：它包含了合法程序必須遵守的一系列規(guī)則。如果有程序違反了規(guī)則，則向用戶發(fā)出警告。 e) 啟發(fā)式分析：?jiǎn)l(fā)式分析掃描文件中與惡意代碼類似的可疑代碼和技術(shù)。它需要獲得惡意代碼的一般代碼特征信息。 防御惡意代碼的技術(shù)規(guī)范 在一般的使用中，主要以各種類型的防惡意代碼軟件和防惡意代碼防火墻為主的軟件體系來進(jìn)行惡意代碼的防范。一個(gè)實(shí)用可行的企業(yè)級(jí)防御惡意代碼管理規(guī)范應(yīng)該能夠在整個(gè)系統(tǒng)中實(shí)施對(duì)惡意代碼的有效防范。即惡意代碼的防御規(guī)范應(yīng)該是一個(gè)多層次的、全方位的的防范體系，它應(yīng)該包括技術(shù)和管理等多方面的要求。 防御惡意代 碼軟件體系的總體要求 a) 防御惡意代碼的軟件體系必須具有網(wǎng)關(guān)級(jí)、群件級(jí)、服務(wù)器級(jí)和客戶端的防御功能 b) 防御惡意代碼的軟件體系應(yīng)具有跨平臺(tái)的技術(shù)及解決方案 c) 必須具有完善的日志、備份和災(zāi)難恢復(fù)方案、工具和流程 d) 應(yīng)具有簡(jiǎn)易的、統(tǒng)一的、集中的、智能的和自動(dòng)化的管理手段和管理工具 e) 應(yīng)能夠集中和方便地進(jìn)行惡意代碼定義碼和掃描引擎的更新 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 17 防御惡意代碼軟件本身的具體要求 防范范圍的要求 a) 應(yīng)采用先進(jìn)的惡意代碼防護(hù)技術(shù)，能防護(hù)目前已知的所有的惡意代碼，尤其是能夠有效地 防護(hù) 各種多態(tài)惡意代碼和未知惡意代碼 的危害 。 b) 應(yīng)能夠防御主機(jī)本身及 周邊設(shè)備。 c) 應(yīng)能夠防御各種載體的惡意代碼，例如應(yīng)用程序、文檔、電子表格、 、客戶端腳本、網(wǎng)頁動(dòng)態(tài)內(nèi)容、打包和壓縮文件等。 防范 功能要求 a) 與各種應(yīng)用系統(tǒng)（例如 office、郵件等）能透明地進(jìn)行集成，并且對(duì)這些應(yīng)用系統(tǒng)的性能影響不大。 b) 應(yīng)能夠?qū)崟r(shí)監(jiān)控打開、建立和下載文件的行為。 c) 應(yīng)能夠?qū)崟r(shí)監(jiān)控 Modem 或者網(wǎng)絡(luò)連接的信息，防止惡意代碼存儲(chǔ)到硬盤上。 d) 當(dāng)實(shí)時(shí)監(jiān)控發(fā)現(xiàn)惡意代碼時(shí)，應(yīng)立即提示用戶，并給出進(jìn)一步操作的建議。 e) 應(yīng)盡可能自動(dòng)修復(fù)受到感染或破壞的文件。 f) 如不能修復(fù)應(yīng)將這些文件隔離或者刪除，并在執(zhí)行這 些操作前提示用戶進(jìn)行確認(rèn)。 g) 開機(jī)后應(yīng)能自動(dòng)運(yùn)行。 h) 可定義并強(qiáng)制執(zhí)行定期的惡意代碼的掃描。 i) 可支持定制的、針對(duì)特定內(nèi)容的掃描。 j) 應(yīng)自動(dòng)進(jìn)行實(shí)時(shí)的系統(tǒng)監(jiān)控，包括各種惡意代碼及系統(tǒng)的異常行為。 k) 防御軟件的運(yùn)行及實(shí)時(shí)監(jiān)控對(duì)系統(tǒng)性能的影響不大。 18 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 l) 易于使用，客戶端用戶不需具備專業(yè)知識(shí)也 可以使用。 防御軟件 升級(jí)要求 a) 軟件和 惡意代碼庫的更新升級(jí)應(yīng)可以在線進(jìn)行，同時(shí)也提供傳統(tǒng)的更新和升級(jí)方式。 b) 應(yīng)支持每周的自動(dòng)更新、以及用戶主動(dòng)要求的更新。 c) 在發(fā)布了最新的更新時(shí)，特別是出現(xiàn)了新的危害大的惡意代碼時(shí)，應(yīng)能在線提示用戶進(jìn)行更新 。 其他防御能力方面的要求 a) 經(jīng)過市場(chǎng)驗(yàn)證，本身不存在安全和技術(shù)問題。 b) 極少出現(xiàn)誤報(bào)的情況。 c) 必須保證惡意代碼防護(hù)策略的強(qiáng)制定義和執(zhí)行，也就是說，管理員可以集中管理和鎖定各種惡意代碼防護(hù)策略，確保客戶端不會(huì)因?yàn)槿藶橐蛩?，如人為修改和刪除管理員定義好的惡意代碼防護(hù)策略，從而造成惡意代碼防護(hù)策略的失效、更改和破壞等。 d) 必須具有惡意代碼防護(hù)自動(dòng)化服務(wù)機(jī)制，如 包括企業(yè)網(wǎng)絡(luò)內(nèi)部一旦發(fā)現(xiàn)不能清除的惡意代碼，應(yīng)能夠快速地把惡意代碼樣本提交給廠家，廠家在收到惡意代碼樣本后應(yīng)在 3 天內(nèi)給出相應(yīng)的解決方案，同時(shí)方便迅速地送回到用戶手中，用戶在得到相應(yīng)的解決方案后能夠快速、方便地部署到自身的惡意代碼防護(hù)系統(tǒng)中去。 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 19 防御惡意代碼軟件的部署 a) 應(yīng)安裝網(wǎng)關(guān)惡意代碼防護(hù)服務(wù)器 (郵件網(wǎng)關(guān)和防火墻網(wǎng)關(guān) )。 b) 應(yīng)安裝 Lotus 群件惡意代碼防護(hù)服務(wù)器 (NT/2020/AIX)。 c) 應(yīng)安裝 NT/2020 服務(wù)器惡意代碼防護(hù)軟件。 d) 應(yīng)安裝 95/98/NT/2020 工作站惡意代碼防護(hù)軟件。 e) 應(yīng)建立公司總部和地區(qū)公司的惡意代碼防護(hù)服務(wù)器組。 f) 應(yīng)建立公司總部中央升級(jí)服務(wù)器和地區(qū)公司各級(jí)升級(jí)服務(wù)器。 g) 應(yīng)實(shí)施地區(qū)公司和 公司總部之間的聯(lián)調(diào)，保證地區(qū)公司可以自動(dòng)到公司總部升級(jí)惡意代碼定義碼和掃描引擎。實(shí)現(xiàn)公司總部集中升級(jí)、地區(qū)公司負(fù)責(zé)日常技術(shù)維護(hù)的管理構(gòu)架。 防御惡意代碼軟件的安裝 a) 安裝前必須進(jìn)行惡意代碼清除。 b) 安裝操作系統(tǒng)安全補(bǔ)丁。 c) 安裝應(yīng)用軟件安全補(bǔ)丁。 d) 安裝防御惡意代碼軟件升級(jí)和相關(guān)補(bǔ)丁。 e) 更新惡意代碼庫。 防御惡意代碼的其他技術(shù)要求和配置 a) 應(yīng)關(guān)閉服務(wù)器和 PC 上不必要的服務(wù)。 20 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 b) 應(yīng)關(guān)閉 Email 和 Web 服務(wù)器上不必要的服務(wù)。 c) 應(yīng)嚴(yán)格限制服務(wù)器的管理員權(quán)限，對(duì)于服務(wù)器的管理權(quán)限應(yīng)僅限制在最必要的人員內(nèi)部。 d) 應(yīng)嚴(yán)格限 制對(duì)于服務(wù)器文件的增加和修改的權(quán)限。 e) 應(yīng)配置防火墻，過濾一些不必要的內(nèi)容類型在網(wǎng)絡(luò)上傳輸。 f) 應(yīng)運(yùn)行入侵檢測(cè)系統(tǒng)來檢測(cè)惡意代碼導(dǎo)致的異常網(wǎng)絡(luò)行為。 防御惡意代碼管理規(guī)范 防御惡意代碼的員工職責(zé)和行為 防御惡意代碼技術(shù)管理人員職責(zé) 防御惡意代碼管理人員 的 職責(zé) a) 應(yīng)每月評(píng)價(jià)地區(qū)公司的惡意代碼發(fā)生和防護(hù)情況 b) 公司總部的技術(shù)人員應(yīng)根據(jù)地區(qū)公司的惡意代碼發(fā)生和防范情況評(píng)估出整個(gè)公司的惡意代碼發(fā)生和防范水平 c) 公司總部的技術(shù)人員應(yīng)根據(jù)惡意代碼的發(fā)生和防護(hù)現(xiàn)狀，應(yīng)制定改進(jìn)的措施，并加以推廣實(shí)施 d) 應(yīng)向地區(qū)公司推廣防御惡意代碼的 各項(xiàng)規(guī)范 e) 應(yīng)監(jiān)督規(guī)范的執(zhí)行 f) 應(yīng)管理防御惡意代碼軟件和惡意代碼定義的升級(jí)服務(wù)器 g) 作為與惡意代碼防御工具供應(yīng)商的主要聯(lián)絡(luò)接口，應(yīng)負(fù)責(zé)惡意代碼防御軟件和惡意代碼庫的升級(jí) h) 管理人員自身必須遵守下文中的員工日常行為規(guī)范 防御惡意代碼和計(jì)算機(jī)犯 罪管理規(guī)范 21 防御惡意代碼的技術(shù)人員的職責(zé)： a) 應(yīng)精通惡意代碼的相關(guān)防范措施和熟悉公司相關(guān)規(guī)范，并為非技術(shù)員工提供安全技術(shù)支持，幫助和監(jiān)督非技術(shù)員工理解和執(zhí)行防范惡意代碼的規(guī)范 b) 應(yīng)了解常見的惡意代碼的信息和種類，在需要的情況下可以憑借常識(shí)初步判斷惡意代碼的產(chǎn)生 c) 應(yīng)負(fù)責(zé)在管轄范圍內(nèi)的計(jì)算機(jī)上安裝防御惡意代碼的軟件 d) 應(yīng) 對(duì)管轄范圍內(nèi)的所有計(jì)算機(jī)上安裝的防御惡意代碼的軟件進(jìn)行適當(dāng)?shù)呐渲? e) 應(yīng)對(duì)負(fù)責(zé)范圍內(nèi) 所有 的計(jì)算機(jī)的操作系統(tǒng)和應(yīng)用軟件進(jìn)行適當(dāng)?shù)陌踩渲? f) 對(duì)于管轄范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)，應(yīng)每周到相關(guān)網(wǎng)站上查看相關(guān)系統(tǒng)和網(wǎng)絡(luò)的最新發(fā)現(xiàn)的漏洞和相關(guān)的補(bǔ)丁信息 g) 一旦出現(xiàn)了系統(tǒng)或網(wǎng)絡(luò)的相關(guān)補(bǔ)丁或更新（主動(dòng)查找或者軟件自動(dòng)提示），應(yīng)立即在相關(guān)設(shè)備上進(jìn)行安裝 h) 一旦出現(xiàn)系統(tǒng)或網(wǎng)絡(luò)的相關(guān)補(bǔ)丁或更新（主動(dòng)查找或者由軟件自動(dòng)提示），應(yīng)立即敦促、幫助并確認(rèn)非技術(shù)員工進(jìn)行安裝 i) 應(yīng)每周到相關(guān)網(wǎng)站上查看最新發(fā)布的惡意代碼定義庫 j) 每周定期的，或者一旦不定期的出現(xiàn) 了新的惡意代碼定義庫（主動(dòng)查找或者軟件自動(dòng)提示），立即在服務(wù)器和網(wǎng)絡(luò)上進(jìn)行安裝，并敦促和確認(rèn)非技術(shù)員工在各自的計(jì)算機(jī)上進(jìn)行安裝 k) 必須敦促并確認(rèn)非技術(shù)人員每周備份重要數(shù)據(jù) l) 應(yīng)在負(fù)責(zé)范圍內(nèi)的網(wǎng)絡(luò)、服務(wù)器及用戶的 PC 上進(jìn)行相應(yīng)配置，每周自動(dòng)進(jìn)行服務(wù)器和網(wǎng)絡(luò)安全掃描，并確保掃描完成 22 防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范 m) 如果地區(qū)公司的技術(shù)人員無法完成以上的防御惡意代碼的安全行為，則應(yīng)聯(lián)絡(luò)公司總部的相應(yīng)支持人員，由其提供支持服務(wù) n) 如果公司總部的技術(shù)人員無法完成以上的防御惡意代碼的安全行為，則應(yīng)聯(lián)絡(luò)防御軟件供應(yīng)商，由其提供支持服務(wù) o) 一旦發(fā)現(xiàn)可能由惡意代碼導(dǎo) 致的異常的系統(tǒng)行為，必須立即啟動(dòng)惡意代碼緊急應(yīng)對(duì)措施 p) 應(yīng)每天查看系統(tǒng)的監(jiān)控報(bào)告，一旦發(fā)現(xiàn)可能由惡意代碼導(dǎo)致的異常情況必須立即啟動(dòng)緊急應(yīng)對(duì)措施 q) 一旦發(fā)生可能由惡意代碼導(dǎo)致的重大系統(tǒng)安全問題，必須立即啟動(dòng)緊急應(yīng)對(duì)措施 r) 應(yīng)提高安全意識(shí)，警惕外部攻擊者的網(wǎng)絡(luò)以外的欺騙行為，防止由于輕信導(dǎo)致的 社交心理工程 （ social engineering）攻擊 s) 總結(jié)出現(xiàn)的問題、解決的方法和經(jīng)驗(yàn)，并歸納形成文檔，作為以后惡意代碼防護(hù)維護(hù)管理的參考。 t) 同時(shí)必須遵守下文的員工日常行為規(guī)范 防御惡意代碼員工日常行為 規(guī)范 a) 必須確保使用的 計(jì)算機(jī)上安裝了防御惡意代碼的軟件 b) 必須確保安裝的防御惡意代碼的軟件進(jìn)行了適當(dāng)?shù)呐渲? c) 必須確保