等保2.0高風險判定系列 | 惡意代碼
作者:啟明星辰
2020-08-27
什么是惡意代碼����?
惡意代碼(Malicious Code)是一種程序�,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中��,從而達到破壞被感染電腦數據�、運行具有入侵性或破壞性的程序��、破壞被感染電腦數據的安全性和完整性的目的���。
惡意代碼的種類
病毒(Virus):很小的應用程序或一串代碼�����,能夠影響主機應用���。兩大特點:繁殖(propagation)和破壞(destruction)���。繁殖功能定義了病毒在系統間擴散的方式�,其破壞力則體現在病毒負載中���。
特洛伊木馬(Trojan Horses):可以偽裝成他類的程序��?����?雌饋硐袷钦3绦?�,一旦被執行��,將進行某些隱蔽的操作����。比如一個模擬登錄接口的軟件�,它可以捕獲毫無戒心的用戶的口令���??墒褂肏IDS檢查文件長度的變化����。
Rootkit(Root工具):是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具��。
邏輯炸彈(Logic Bombs):可以由某類事件觸發執行�����,例如某一時刻(一個時間炸彈)����,或者是某些運算的結果��。軟件執行的結果可以千差萬別�����,從發送無害的消息到系統徹底崩潰�。
蠕蟲(Worm): 像病毒那樣可以擴散����,但蠕蟲可以自我復制�,不需要借助其他宿主��。
僵尸網絡(Botnets):是由C&C服務器以及僵尸牧人控制的僵尸網絡���。
間諜軟件(Spyware ):間諜軟件就是能偷偷安裝在受害者電腦上并收集受害者的敏感信息的軟件����。
廣告軟件( Adware):自動生成(呈現)廣告的軟件���。
高風險判定指引中的要求
? 網絡層
對應要求:應在關鍵網絡節點處對惡意代碼進行檢測和清除����,并維護惡意代碼防護機制的升級和更新���。
判例內容:主機和網絡層均無任何惡意代碼檢測和清除措施的�����,可判定為高風險�����。
? 主機層
對應要求:應采用主動免疫可信驗證機制及時識別入侵和病毒行為���,并將其有效阻斷�。
判例內容:Windows操作系統未安裝防惡意代碼軟件����,并進行統一管理��,無法防止來自外部的惡意攻擊或系統漏洞帶來的危害����,可判定為高風險�����。
? 外來接入設備
對應要求:應提高所有用戶的防惡意代碼意識����,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等��。
判例內容:外來計算機或存儲設備本身可能已被感染病毒或木馬��,未對其接入系統前進行惡意代碼檢查��,可能導致系統感染病毒或木馬����,對信息系統極大的危害�����,可判定為高風險����。
啟明星辰安全解決方案
? 在互聯網接入區部署防毒墻或者使用下一代防火墻開啟防病毒功能模塊���,從網絡層面實現對惡意代碼的檢測和過濾�;
? 在安全運維區部署部署終端威脅防御(EDR)服務器端����,在內�、外服務器區的服務器上部署服務器客戶端���,在辦公區的PC終端上部署PC客戶端�����,從主機層面實現對惡意代碼的檢測和查殺���;
? 在安全運維區部署部署天珣終端管理服務器端�����,在辦公區的PC終端上部署天珣終端管理PC客戶端����,實現PC終端對外來接入設備惡意代碼檢查和攔截��;
? 在外網服務器區部署Web防火墻���,能夠有效實現網頁掛馬防護���、webshell防護等��;
? 在外網服務器區部署郵件安全管理系統����,能夠有效識別和攔截攜帶惡意代碼的郵件���,阻止惡意代碼利用郵件傳播從而滲透到內部網絡���;
? 在核心交換區部署APT檢測設備����,實時對一些未知的惡意代碼進行實時的檢測和分析�����,有效發現潛在安全威脅并及時告警�����,并利用與防火墻等網關設備形成安全聯動�,阻止惡意代碼的進一步擴散���。
方案收益
降低安全風險:從網絡層面���、主機層面���、管理層面等多個維度實現了對惡意代碼的縱深檢測和協同防護�,抑制或阻止惡意代碼帶來的安全威脅����;
安全合規:滿足了《中華人民共和國網絡安全法》第二十一條中“采取防范計算機病毒和網絡攻擊�����、網絡侵入等危害網絡安全行為的技術措施”中對計算機病毒防范要求���,從而規避法律方面的風險���;
避免高風險項:有效避免測評高風險項的出現����,從而滿足等保2.0中針對惡意代碼防范的安全合規要求����。
京公網安備11010802024551號