2024年4月14日发(作者:)
龙源期刊网
等级保护中的恶意代码防范
作者:王家龄
来源:《无线互联科技》2013年第03期
摘要;恶意代码泛指对信息系统和网络有不良影响的程序或代码。本文通过对等
级保护中恶意代码防范内容的分析,进一步提出恶意代码中等级保护的策略。
关键词:等级保护;恶意代码防范
根据恶意代码的功能,可分为病毒、蠕虫、木马、恶意脚本、恶意插件等类别。
恶意代码能够破坏信息系统的稳定性、可用性、数据的保密性和完整性等,因此等级保护
标准把恶意代码防范作为一个重要部分阐述。恶意代码防范工作主要包括恶意代码检测、
恶意代码清除、恶意代码库的更新、恶意代码检测产品的升级、恶意代码检测产品差异性
保持等。
1、等级保护中恶意代码防范的基本要求
恶意代码防范主要涉及信息系统的网络、主机和应用三个层面。
1.1 网络恶意代码防范
绝大多数的恶意代码是从网络上感染本地主机的,因此,网络边界防范是整个防
龙源期刊网
范工作的重点,是整个防范工作的“第一道门槛”。如果恶意代码进入内网,将直接威胁
内网主机及应用程序的安全。防范控制点设在网络边界处。防范需对所有的数据包进行拆
包检查,这样会影响网络数据传输效率,故其要求的实施条件比较高。在不同等级信息系
统中的要求也不同,如表1所示。
1.2 主机恶意代码防范
主机恶意代码防范在防范要求中占据着基础地位。~方面是因为网防范的实施条
件要求较高;另—方面因网络边界防护并不是万能的,它无法检测所有的恶意代码。因各
等级信息系统都必需在本地主机进行恶意代码防范,
主机恶意代码防范有以下三条要求:(1)应安装防恶意代码软件,并及时更新防
恶意代码软件版本和恶意代码库;(2)主机防恶意代码产品应具有与网络防恶意代码产
品不同的恶意代码库;(3)应支持防恶意代码软件的统一管理。
不同等级信息系统的恶意代码防范要求如表2所示。
1.3 应用程序的恶意代码防范
在等级保护基本要求中,对应用程序的恶意代码防范没有提出具体的要求。结合
日常使用应用程序时在安全方面出现的问题,应用程序的恶意代码防范应要求在应用程序
使用前应先对应用程序进行漏洞检测、黑白盒测试等,确保应用程序中不存在可被恶意代
码利用的漏洞、不存在编程人员插入的恶意代码或留下的后门。
龙源期刊网
2、恶意代码防范的工作要点
在等级保护安全测评工作中,具体的测评项和测评方法在测评标准中已经有较详
细的规定。根据实际工作经验,我们提出防范恶意代码要取得显著成效,应注意的工作要
点。
2.1 风险评估应全面考虑系统的脆弱性和风险性
风险评估应全面衡量信息系统在应用和数据方面的脆弱性,预估这些脆弱性衍生
出安全风险的概率;然后结合系统已部署的安全措施对风险的影响进行全面分析
2.2 注重全网防护,防止安全短板
对系统的恶意代码防护部署要做到多层次、多角度,确保在所有恶意代码入口对
恶意代码进行检测、阻止、清除。因此,在部署恶意代码防范系统时要做到覆盖全部终端
和网络边界,防止由于ARP或冲击波这样的恶意代码感染系统内部分主机而导致整个网
络不可用。
2.3 在全网范围内部署统一的安全管理策略
在等保中,低级别安全域的威胁可能会影响到高级别安全域。为避免出现这种风
险,可以在逻辑隔离区边界配置访问控制策略,限制通过网络对高级别安全域的访问;还
可以将网内不同级别安全域的配置统一为最高级别安全域的恶意代码防范要求,防止低级
别安全域中因防范策略过低感染恶意代码后对基础架构造成威胁。
龙源期刊网
2.4 应注重对网络安全状况的监控和多种保护能力的协作
这主要是从管理和运维的角度对等保提出的要求。要求人员能随时监控系统安全
状况,了解本网内信息系统发恶意代码入侵事件,做到风险可视、行为可控;要求系统安
全隐患进行预警、排除,对紧急情况进行应急处理。
3、结语
恶意代码防范是信息系统安全等级工作的重要部分,网络、主机和应用三个层
次。恶意代码的分析方法分为静析和动态分析。恶意代码的检测技术包括特征码扫描、虚
拟机检测、启发式扫描、完整性控制、主动防御等。在分析、检测和防范三者中,分析是
基础、检测是关键、防范是目标。提高风险意识、注重全网防护、实施统一管理、协调多
种能力,才能抵御不断演化的恶意代码的攻击。
发布者:admin,转转请注明出处:http://www.yc00.com/news/1713062407a2175334.html
评论列表(0条)