什么是恶意代码?
恶意代码(Malicious Code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。
恶意代码的种类
病毒(Virus):很小的应用程序或一串代码,能够影响主机应用。两大特点:繁殖(propagation)和破坏(destruction)。繁殖功能定义了病毒在系统间扩散的方式,其破坏力则体现在病毒负载中。
特洛伊木马(Trojan Horses):可以伪装成他类的程序。看起来像是正常程序,一旦被执行,将进行某些隐蔽的操作。比如一个模拟登录接口的软件,它可以捕获毫无戒心的用户的口令。可使用HIDS检查文件长度的变化。
Rootkit(Root工具):是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。
逻辑炸弹(Logic Bombs):可以由某类事件触发执行,例如某一时刻(一个时间炸弹),或者是某些运算的结果。软件执行的结果可以千差万别,从发送无害的消息到系统彻底崩溃。
蠕虫(Worm): 像病毒那样可以扩散,但蠕虫可以自我复制,不需要借助其他宿主。
僵尸网络(Botnets):是由C&C服务器以及僵尸牧人控制的僵尸网络。
间谍软件(Spyware ):间谍软件就是能偷偷安装在受害者电脑上并收集受害者的敏感信息的软件。
广告软件( Adware):自动生成(呈现)广告的软件。
高风险判定指引中的要求
▶ 网络层
对应要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
判例内容:主机和网络层均无任何恶意代码检测和清除措施的,可判定为高风险。
▶ 主机层
对应要求:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
判例内容:Windows操作系统未安装防恶意代码软件,并进行统一管理,无法防止来自外部的恶意攻击或系统漏洞带来的危害,可判定为高风险。
▶ 外来接入设备
对应要求:应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。
判例内容:外来计算机或存储设备本身可能已被感染病毒或木马,未对其接入系统前进行恶意代码检查,可能导致系统感染病毒或木马,对信息系统极大的危害,可判定为高风险。
启明星辰安全解决方案
▶ 在互联网接入区部署防毒墙或者使用下一代防火墙开启防病毒功能模块,从网络层面实现对恶意代码的检测和过滤;
▶ 在安全运维区部署部署终端威胁防御(EDR)服务器端,在内、外服务器区的服务器上部署服务器客户端,在办公区的PC终端上部署PC客户端,从主机层面实现对恶意代码的检测和查杀;
▶ 在安全运维区部署部署天珣终端管理服务器端,在办公区的PC终端上部署天珣终端管理PC客户端,实现PC终端对外来接入设备恶意代码检查和拦截;
▶ 在外网服务器区部署Web防火墙,能够有效实现网页挂马防护、webshell防护等;
▶ 在外网服务器区部署邮件安全管理系统,能够有效识别和拦截携带恶意代码的邮件,阻止恶意代码利用邮件传播从而渗透到内部网络;
▶ 在核心交换区部署APT检测设备,实时对一些未知的恶意代码进行实时的检测和分析,有效发现潜在安全威胁并及时告警,并利用与防火墙等网关设备形成安全联动,阻止恶意代码的进一步扩散。
方案收益
降低安全风险:从网络层面、主机层面、管理层面等多个维度实现了对恶意代码的纵深检测和协同防护,抑制或阻止恶意代码带来的安全威胁;
安全合规:满足了《中华人民共和国网络安全法》第二十一条中“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”中对计算机病毒防范要求,从而规避法律方面的风险;
避免高风险项:有效避免测评高风险项的出现,从而满足等保2.0中针对恶意代码防范的安全合规要求。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
