毕博-石油国际全套咨询—防御恶意代码和计算机犯罪管理规范_030328_v3_f

毕博-石油国际全套咨询—防御恶意代码和计算机犯罪管理规范_030328_v3_f内容摘要：

问题 恶意代码的定义和主要类型 任何以破坏或者改变软件原有功能为目的，在原有软件系统中增加、修改的代码，都称为恶意代码。 在目前企业的运作越来越依靠信息系统的情况下，由恶意代码所导致的系统无法正常运行，可能会导致极大的损失。 恶意代码主要包括以下 3 种类型： 病毒 病毒是指在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒一旦运行，它就 复制自身的副本，并将其加入到其他程序中去，然后新受到感染的程序又去感染其它的程序。 如果不实施相应的措施，病毒可以不断地复制，不断从一个程序传播到另一个程序，从一个计算机传播到另一个计算机。 病毒的主要特点是其复制自身和感染的能力，它并不一定会对计算机的系统和数据造成破坏，但它至少会影响系统的性能或者影响系统用户的日常工作。 病毒通常由 3 个方面的特征：  自我复制 —— 病毒大多数时间隐藏在系统中，不断寻找新的宿主程序，将自身的副本添加到其他程序或者操作系统上。  激活机制 —— 病毒程序的一部分，通过某种方式来确定病 毒开始发作的日期、时间和环境。 因此病毒可以隐藏许多天、几个月甚至几年。 （通常用逻辑炸弹来描述在特定情况下爆发的病毒）。  攻击对象 —— 病毒激活后就执行其作者预定的任务，可能是比较善意的例如发布一个笑话，也可能是删除系统文件，修改或者窃取文件内容等恶意行为，甚至是为将来的攻击建立后门。 14 防御恶意代码和计算机犯罪管理规范 蠕虫 蠕虫可以利用 Inter 的特性在网络上进行传播，所以许多人认为蠕虫是病毒的一个子类。 蠕虫驻留在内存中，可以在不需要用户干预的情况下通过网络进行自身的复制。 近年来对网络危害最大的是例如红色代码等蠕虫恶意代码。 特洛 伊木马 特洛伊木马是一个恶意的计算机程序，但是它伪装成一个无害的文件和程序，例如屏幕保护程序、邮件的附件或者网上下载的可执行的应用文件。 用户在受骗的情况下执行了木马程序后，木马程序可以进行删除文件等破坏行为，或者使得黑客可以进入重要的系统。 虽然特洛伊木马并不自我复制，但是由于 Microsoft 公司的 ActiveX控件以及 Sun 公司的 Java applet 技术的广泛使用，大大增加了木马传播的机会。 特洛伊木马可能会进行以下行为：  窃取密码。  启动用户的摄像机或者麦克风来记录和传输对话。  使用远程管理工具来控制 系统、窃取文件或者关闭对方的系统。 防御恶意代码和计算机犯罪管理规范 15 恶意代码传播途径和方式 a) 通过软盘或盗版光盘感染网络中的客户端，然后通过网络感染整个内部网络，甚至通过 Inter 传播。 b) 通过电子邮件，客户端在收电子邮件时，把恶意代码带入内部网络。 c) 用户上网，通过 HTTP、 FTP 等把恶意的代码带入内部网络。 d) 一些远程拨号用户和协作单位或合作伙伴在存取企业内部网络信息时把恶意代码带入内部网络。 恶意代码防范的主要技术 目前使用最广泛和最有效的防御恶意代码的技术是恶意代码特征扫描以及校验码检验。 通常把这些技术集成到一个多功能的防恶 意代码软件中（通常称之为防病毒软件），所以现有的很多恶意代码防御软件功能非常强大。 同时使用启发式分析技术发现新恶意代码的方法也日益流行。 a) 恶意代码特征扫描：通过对已知恶意代码代码特征的精确定义，使用“签名字符串”在系统中搜索已知的恶意代码。 恶意代码特征扫描器的运行必须依靠大量的已知恶意代码代码的特征库。 b) 完整性检查：通过检测程序或者其他可执行文件是否被更改来判断这些程序是否被感染。 完整性检查只能把一些被更改的程序标识为可能被感染，而无法确定其是否真正受到感染。 完整性检查一般基于校验和原理。 完整性检查首先对未 受感染的可执行程序计算并保存其校验和。 每次进行完整性检查时，再次计算校验和并将结果和原先存储的值进行比较。 可以使用多种类型的校验和。 简单的校验和容易被破解，循环冗余校验效果较好，但是仍然可能被破解。 加密的校验和提供了最好的安全性。 16 防御恶意代码和计算机犯罪管理规范 c) 系统检测： 检测系统的敏感部分，控制对这些敏感部分内容的访问和修改，系统检测可以阻止对这些系统部分的攻击。 因为恶意代码常常利用不违反系统安全特性的系统漏洞，所以系统检测需要大量的关于什么是正常的系统行为的信息。 系统检测也需要用户对检测的结果做确认来确定是否真的出现了恶意代码。 d) 行 为阻止：它包含了合法程序必须遵守的一系列规则。 如果有程序违反了规则，则向用户发出警告。 e) 启发式分析：启发式分析扫描文件中与恶意代码类似的可疑代码和技术。 它需要获得恶意代码的一般代码特征信息。 防御恶意代码的技术规范 在一般的使用中，主要以各种类型的防恶意代码软件和防恶意代码防火墙为主的软件体系来进行恶意代码的防范。 一个实用可行的企业级防御恶意代码管理规范应该能够在整个系统中实施对恶意代码的有效防范。 即恶意代码的防御规范应该是一个多层次的、全方位的的防范体系，它应该包括技术和管理等多方面的要求。 防御恶意代 码软件体系的总体要求 a) 防御恶意代码的软件体系必须具有网关级、群件级、服务器级和客户端的防御功能 b) 防御恶意代码的软件体系应具有跨平台的技术及解决方案 c) 必须具有完善的日志、备份和灾难恢复方案、工具和流程 d) 应具有简易的、统一的、集中的、智能的和自动化的管理手段和管理工具 e) 应能够集中和方便地进行恶意代码定义码和扫描引擎的更新 防御恶意代码和计算机犯罪管理规范 17 防御恶意代码软件本身的具体要求 防范范围的要求 a) 应采用先进的恶意代码防护技术，能防护目前已知的所有的恶意代码，尤其是能够有效地 防护 各种多态恶意代码和未知恶意代码 的危害。 b) 应能够防御主机本身及 周边设备。 c) 应能够防御各种载体的恶意代码，例如应用程序、文档、电子表格、 、客户端脚本、网页动态内容、打包和压缩文件等。 防范 功能要求 a) 与各种应用系统（例如 office、邮件等）能透明地进行集成，并且对这些应用系统的性能影响不大。 b) 应能够实时监控打开、建立和下载文件的行为。 c) 应能够实时监控 Modem 或者网络连接的信息，防止恶意代码存储到硬盘上。 d) 当实时监控发现恶意代码时，应立即提示用户，并给出进一步操作的建议。 e) 应尽可能自动修复受到感染或破坏的文件。 f) 如不能修复应将这些文件隔离或者删除，并在执行这 些操作前提示用户进行确认。 g) 开机后应能自动运行。 h) 可定义并强制执行定期的恶意代码的扫描。 i) 可支持定制的、针对特定内容的扫描。 j) 应自动进行实时的系统监控，包括各种恶意代码及系统的异常行为。 k) 防御软件的运行及实时监控对系统性能的影响不大。 18 防御恶意代码和计算机犯罪管理规范 l) 易于使用，客户端用户不需具备专业知识也 可以使用。 防御软件 升级要求 a) 软件和 恶意代码库的更新升级应可以在线进行，同时也提供传统的更新和升级方式。 b) 应支持每周的自动更新、以及用户主动要求的更新。 c) 在发布了最新的更新时，特别是出现了新的危害大的恶意代码时，应能在线提示用户进行更新。 其他防御能力方面的要求 a) 经过市场验证，本身不存在安全和技术问题。 b) 极少出现误报的情况。 c) 必须保证恶意代码防护策略的强制定义和执行，也就是说，管理员可以集中管理和锁定各种恶意代码防护策略，确保客户端不会因为人为因素，如人为修改和删除管理员定义好的恶意代码防护策略，从而造成恶意代码防护策略的失效、更改和破坏等。 d) 必须具有恶意代码防护自动化服务机制，如 包括企业网络内部一旦发现不能清除的恶意代码，应能够快速地把恶意代码样本提交给厂家，厂家在收到恶意代码样本后应在 3 天内给出相应的解决方案，同时方便迅速地送回到用户手中，用户在得到相应的解决方案后能够快速、方便地部署到自身的恶意代码防护系统中去。 防御恶意代码和计算机犯罪管理规范 19 防御恶意代码软件的部署 a) 应安装网关恶意代码防护服务器 (邮件网关和防火墙网关 )。 b) 应安装 Lotus 群件恶意代码防护服务器 (NT/2020/AIX)。 c) 应安装 NT/2020 服务器恶意代码防护软件。 d) 应安装 95/98/NT/2020 工作站恶意代码防护软件。 e) 应建立公司总部和地区公司的恶意代码防护服务器组。 f) 应建立公司总部中央升级服务器和地区公司各级升级服务器。 g) 应实施地区公司和 公司总部之间的联调，保证地区公司可以自动到公司总部升级恶意代码定义码和扫描引擎。 实现公司总部集中升级、地区公司负责日常技术维护的管理构架。 防御恶意代码软件的安装 a) 安装前必须进行恶意代码清除。 b) 安装操作系统安全补丁。 c) 安装应用软件安全补丁。 d) 安装防御恶意代码软件升级和相关补丁。 e) 更新恶意代码库。 防御恶意代码的其他技术要求和配置 a) 应关闭服务器和 PC 上不必要的服务。 20 防御恶意代码和计算机犯罪管理规范 b) 应关闭 Email 和 Web 服务器上不必要的服务。 c) 应严格限制服务器的管理员权限，对于服务器的管理权限应仅限制在最必要的人员内部。 d) 应严格限 制对于服务器文件的增加和修改的权限。 e) 应配置防火墙，过滤一些不必要的内容类型在网络上传输。 f) 应运行入侵检测系统来检测恶意代码导致的异常网络行为。 防御恶意代码管理规范 防御恶意代码的员工职责和行为 防御恶意代码技术管理人员职责 防御恶意代码管理人员 的 职责 a) 应每月评价地区公司的恶意代码发生和防护情况 b) 公司总部的技术人员应根据地区公司的恶意代码发生和防范情况评估出整个公司的恶意代码发生和防范水平 c) 公司总部的技术人员应根据恶意代码的发生和防护现状，应制定改进的措施，并加以推广实施 d) 应向地区公司推广防御恶意代码的 各项规范 e) 应监督规范的执行 f) 应管理防御恶意代码软件和恶意代码定义的升级服务器 g) 作为与恶意代码防御工具供应商的主要联络接口，应负责恶意代码防御软件和恶意代码库的升级 h) 管理人员自身必须遵守下文中的员工日常行为规范 防御恶意代码和计算机犯 罪管理规范 21 防御恶意代码的技术人员的职责： a) 应精通恶意代码的相关防范措施和熟悉公司相关规范，并为非技术员工提供安全技术支持，帮助和监督非技术员工理解和执行防范恶意代码的规范 b) 应了解常见的恶意代码的信息和种类，在需要的情况下可以凭借常识初步判断恶意代码的产生 c) 应负责在管辖范围内的计算机上安装防御恶意代码的软件 d) 应 对管辖范围内的所有计算机上安装的防御恶意代码的软件进行适当的配置 e) 应对负责范围内 所有 的计算机的操作系统和应用软件进行适当的安全配置 f) 对于管辖范围内的系统和网络，应每周到相关网站上查看相关系统和网络的最新发现的漏洞和相关的补丁信息 g) 一旦出现了系统或网络的相关补丁或更新（主动查找或者软件自动提示），应立即在相关设备上进行安装 h) 一旦出现系统或网络的相关补丁或更新（主动查找或者由软件自动提示），应立即敦促、帮助并确认非技术员工进行安装 i) 应每周到相关网站上查看最新发布的恶意代码定义库 j) 每周定期的，或者一旦不定期的出现 了新的恶意代码定义库（主动查找或者软件自动提示），立即在服务器和网络上进行安装，并敦促和确认非技术员工在各自的计算机上进行安装 k) 必须敦促并确认非技术人员每周备份重要数据 l) 应在负责范围内的网络、服务器及用户的 PC 上进行相应配置，每周自动进行服务器和网络安全扫描，并确保扫描完成 22 防御恶意代码和计算机犯罪管理规范 m) 如果地区公司的技术人员无法完成以上的防御恶意代码的安全行为，则应联络公司总部的相应支持人员，由其提供支持服务 n) 如果公司总部的技术人员无法完成以上的防御恶意代码的安全行为，则应联络防御软件供应商，由其提供支持服务 o) 一旦发现可能由恶意代码导 致的异常的系统行为，必须立即启动恶意代码紧急应对措施 p) 应每天查看系统的监控报告，一旦发现可能由恶意代码导致的异常情况必须立即启动紧急应对措施 q) 一旦发生可能由恶意代码导致的重大系统安全问题，必须立即启动紧急应对措施 r) 应提高安全意识，警惕外部攻击者的网络以外的欺骗行为，防止由于轻信导致的 社交心理工程 （ social engineering）攻击 s) 总结出现的问题、解决的方法和经验，并归纳形成文档，作为以后恶意代码防护维护管理的参考。 t) 同时必须遵守下文的员工日常行为规范 防御恶意代码员工日常行为 规范 a) 必须确保使用的 计算机上安装了防御恶意代码的软件 b) 必须确保安装的防御恶意代码的软件进行了适当的配置 c) 必须确保。