1. 代碼的危害
解析惡意代碼的危害機制與防範
摘要:在當今互聯網時代,很多人還在受著網頁惡意代碼的困擾,在網站代碼編輯過程中,更會因為惡意代碼的轉載使用導致整個網頁的癱瘓。本文就「惡意代碼」的危害和防範來進行深入解析,以激發我們的安全防範意識,積極應對來自網路的安全威脅。
關鍵詞:惡意代碼Java Applet JavaScript ActiveX
一、惡意代碼綜述
惡意代碼主要包括計算機病毒(Virus)、蠕蟲(Worm)、木馬程序(Trojan Horse)、後門程序(Backdoor)、邏輯炸彈(Logic Bomb)等等。它使用SCRIPT語言編寫的一些惡意代碼利用IE的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時,網頁病毒便被悄悄激活,這些病毒一旦激活,可以利用系統的一些資源進行破壞。
隨著互聯網信息技術的不斷發展,代碼的「惡意」性質及其給用戶造成的危害已經引起普遍的關注,因此我們有必要對惡意代碼進行一番了解,讓其危害降低至最低程度。
二、惡意代碼的表現形式
(一)網頁病毒類惡意代碼
網頁病毒類惡意代碼,顧名思義就是利用軟體或系統操作平台的安全漏洞,通過嵌入在網頁上HTML標記語言內的Java Applet 應用程序、JavaScript 腳本程序、ActiveX 網路交互支持自動執行,強行修改用戶注冊表及系統配置,或非法控制用戶系統資源、盜取用戶文件、惡意刪除文件,甚至格式化硬碟的非法惡意程序。
根據目前較流行的常見網頁病毒的作用對象及表現特徵,網頁病毒可以歸納為以下兩大種類:
(1)通過Java Script、Applet、ActiveX 編輯的腳本程序修改IE 瀏覽器,表現為:
A 默認主頁(首頁)被修改;B 主頁設置被屏蔽鎖定,且設置選項無效不可修改;C 默認的IE 搜索引擎被修改;D 滑鼠右鍵菜單被添加非法網站廣告鏈接等。
(2)通過Java Script、Applet、ActiveX 編輯的腳本程序修改用戶操作系統,表現為:
A 開機出現對話框(通常都是用戶不知所雲的內容);B 系統正常啟動後,但IE 被鎖定網址自動調用打開;C 格式化硬碟;D 非法讀取或盜取用戶文件;E 鎖定禁用注冊表,編輯reg,轉自[星論文網]www.starlunwen.net 注冊表文件格式時出現打開方式錯誤。
(二)腳本類惡意代碼
腳本實際上就是程序,一般都是由應用程序提供的編輯語言。應用程序包括Java Script、VBScript、應用程序的宏和操作系統的批處理語言等。腳本在每一種應用程序中所起的作用都是不相同的,比如在網頁中可實現各種動態效果,在OFFICE 中通常是以「宏」來執行一系列命令和指令,可以實現任務執行的自動化,以提供效率,或者製造宏病毒。
(三)漏洞攻擊類代碼
是利用軟體或者操作系統的漏洞而編寫的程序,對用戶系統或者網路伺服器進行攻擊。比如黑客利用微軟IE 瀏覽器漏洞,編寫漏洞攻擊代碼對用戶進行攻擊。
三、惡意代碼的實現機制
惡意代碼的行為表現各異,破壞程序千差萬別,但基本作用機制大體相同,其整個作用過程分為6個部分:
①侵入系統。侵入系統是惡意代碼實現其惡意目的的必要條件。惡意代碼入侵的途徑很多,如:從互聯網下載的程序本身就可能含有惡意代碼;接受已經感染惡意代碼的電子郵件;從光碟或U盤往系統上安裝未經審查的軟體;黑客或者攻擊者故意將惡意代碼植入系統等。
②維持或提升現有特權。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法許可權才能完成。
③隱蔽策略。為了不讓系統發現惡意代碼已經侵入系統,惡意代碼可能會改名、刪除源文件或者修改系統的安全策略來隱藏自己。
④潛伏。惡意代碼侵入系統後,等待一定的條件,病毒具有足夠的許可權時,就發作進行破壞活動。
⑤破壞。惡意代碼的本質具有破壞性,其目的是造成信息丟失、泄密,破壞系統完整性等。
⑥重復1至5對新的目標實施攻擊過程。
四、惡意代碼的防範方法
目前,惡意代碼防範方法主要分為兩方面:基於主機的惡意代碼防範方法和基於網路的惡意代碼防範方法。
(一)基於主機的惡意代碼防範方法
①基於特徵的掃描技術:基於主機的惡意代碼防範方法是目前檢測惡意代碼最常用的技術。掃描程序工作之前,必須先建立惡意代碼的特徵文件,根據特徵文件中的特徵串,在掃描文件中進行匹配查找。用戶通過更新特徵文件更新掃描軟體,查找最新的惡意代碼版本。這種技術廣泛地應用於目前的反病毒引擎中。
②校驗和:校驗和是一種保護信息資源完整性的控制技術,例如Hash 值和循環冗餘碼等。只要文件內部有一個比特發生了變化,校驗和值就會改變。未被惡意代碼感染的系統首先會生成檢測數據,然後周期性地使用校驗和法檢測文件的改變情況。
③安全操作系統對惡意代碼的防範:惡意代碼成功入侵的重要一環是,獲得系統的控制權,使操作系統為它分配系統資源。無論哪種惡意代碼,無論要達到何種惡意目的,都必須具有相應的許可權。否則它將不能實現其預定的惡意目標,或者僅能夠實現其部分惡意目標。
(二)基於網路的惡意代碼防範方法
由於惡意代碼具有相當的復雜性和行為不確定性,惡意代碼的防範需要多種技術綜合應用,包括惡意代碼監測與預警、惡意代碼傳播抑制、惡意代碼漏洞自動修復、惡意代碼阻斷等。基於網路的惡意代碼防範方法包括:惡意代碼檢測防禦和惡意代碼預警。
這些主要是網頁惡意代碼,也就是網頁病毒造成的危害。而用腳本編寫的蠕蟲病毒的危害就更大了,它不再是針對一台計算機,而是迅速傳播,對網路上所有計算機造成危害,直至網路被拖垮最後崩潰。
五、結語
在互聯網信息化高速發展的今天,任何軟體在編寫時或多或少都有自己的漏洞,為此我們應該做到:
1)安全設置。我們上網瀏覽時不能抱有僥幸心理,不關心安全設置,認為惡意代碼與我無緣,對最基本的瀏覽器安全設置問題也不關心,從而降低了系統抵禦惡意代碼的免疫能力,致使系統在遭遇惡意代碼時不能倖免於難。
2)不瀏覽來歷不明的網站。不要輕易去瀏覽一些來歷不明的網站和下載相關內容。
3)軟體升級,安裝系統補丁。軟體要及時更新版本,尤其是操作系統,一定要常「打」補丁常升級。
4)安裝殺毒軟體(防火牆)。安裝並及時將殺毒軟體(防火牆)升級至最新版本,同時開啟實時監控功能並不定期殺毒,最大限度地把惡意代碼拒之門外。 本文出自: http://,轉自[星論文網]www.starlunwen.netwww.starlunwen.net/dianqi/120173.html
2. 如何在日常IT運維中開展信息安全工作
給你個專業的。(信息安全的運維管理)
7.2.5 系統運維管理
7.2.5.1 環境管理(G3)
本項要求包括:
a) 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;
b) 應指定部門負責機房安全,並配備機房安全管理人員,對機房的出入、伺服器的開機或關機等工作進行管理;
c) 應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定;
d) 應加強對辦公環境的保密性管理,規范辦公環境人員行為,包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態和桌面上沒有包含敏感信息的紙檔文件等。
7.2.5.2 資產管理(G3)
本項要求包括:
a) 應編制並保存與信息系統相關的資產清單,包括資產責任部門、重要程度和所處位置等內容;
b) 應建立資產安全管理制度,規定信息系統資產管理的責任人員或責任部門,並規范資產管理和使用的行為;
c) 應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施;
d) 應對信息分類與標識方法作出規定,並對信息的使用、傳輸和存儲等進行規范化管理。
7.2.5.3 介質管理(G3)
本項要求包括:
a) 應建立介質安全管理制度,對介質的存放環境、使用、維護和銷毀等方面作出規定;
b) 應確保介質存放在安全的環境中,對各類介質進行控制和保護,並實行存儲環境專人管理;
c) 應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,對介質歸檔和查詢等進行登記記錄,並根據存檔介質的目錄清單定期盤點;
GB/T 22239—2008
28
d) 應對存儲介質的使用過程、送出維修以及銷毀等進行嚴格的管理,對帶出工作環境的存儲介質進行內容加密和監控管理,對送出維修或銷毀的介質應首先清除介質中的敏感數據,對保密性較高的存儲介質未經批准不得自行銷毀;
e) 應根據數據備份的需要對某些介質實行異地存儲,存儲地的環境要求和管理方法應與本地相同;
f) 應對重要介質中的數據和軟體採取加密存儲,並根據所承載數據和軟體的重要程度對介質進行分類和標識管理。
7.2.5.4 設備管理(G3)
本項要求包括:
a) 應對信息系統相關的各種設備(包括備份和冗餘設備)、線路等指定專門的部門或人員定期進行維護管理;
b) 應建立基於申報、審批和專人負責的設備安全管理制度,對信息系統的各種軟硬體設備的選型、采購、發放和領用等過程進行規范化管理;
c) 應建立配套設施、軟硬體維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等;
d) 應對終端計算機、工作站、便攜機、系統和網路等設備的操作和使用進行規范化管理,按操作規程實現主要設備(包括備份和冗餘設備)的啟動/停止、加電/斷電等操作;
e) 應確保信息處理設備必須經過審批才能帶離機房或辦公地點。
7.2.5.5 監控管理和安全管理中心(G3)
本項要求包括:
a) 應對通信線路、主機、網路設備和應用軟體的運行狀況、網路流量、用戶行為等進行監測和報警,形成記錄並妥善保存;
b) 應組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,並採取必要的應對措施;
c) 應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
7.2.5.6 網路安全管理(G3)
本項要求包括:
a) 應指定專人對網路進行管理,負責運行日誌、網路監控記錄的日常維護和報警信息分析和處理工作;
b) 應建立網路安全管理制度,對網路安全配置、日誌保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;
c) 應根據廠家提供的軟體升級版本對網路設備進行更新,並在更新前對現有的重要文件進行備份;
d) 應定期對網路系統進行漏洞掃描,對發現的網路系統安全漏洞進行及時的修補;
e) 應實現設備的最小服務配置,並對配置文件進行定期離線備份;
f) 應保證所有與外部系統的連接均得到授權和批准;
g) 應依據安全策略允許或者拒絕攜帶型和移動式設備的網路接入;
GB/T 22239—2008
29
h) 應定期檢查違反規定撥號上網或其他違反網路安全策略的行為。
7.2.5.7 系統安全管理(G3)
本項要求包括:
a) 應根據業務需求和系統安全分析確定系統的訪問控制策略;
b) 應定期進行漏洞掃描,對發現的系統安全漏洞及時進行修補;
c) 應安裝系統的最新補丁程序,在安裝系統補丁前,首先在測試環境中測試通過,並對重要文件進行備份後,方可實施系統補丁程序的安裝;
d) 應建立系統安全管理制度,對系統安全策略、安全配置、日誌管理和日常操作流程等方面作出具體規定;
e) 應指定專人對系統進行管理,劃分系統管理員角色,明確各個角色的許可權、責任和風險,許可權設定應當遵循最小授權原則;
f) 應依據操作手冊對系統進行維護,詳細記錄操作日誌,包括重要的日常操作、運行維護記錄、參數的設置和修改等內容,嚴禁進行未經授權的操作;
g) 應定期對運行日誌和審計數據進行分析,以便及時發現異常行為。
7.2.5.8 惡意代碼防範管理(G3)
本項要求包括:
a) 應提高所有用戶的防病毒意識,及時告知防病毒軟體版本,在讀取移動存儲設備上的數據以及網路上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網路系統之前也應進行病毒檢查;
b) 應指定專人對網路和主機進行惡意代碼檢測並保存檢測記錄;
c) 應對防惡意代碼軟體的授權使用、惡意代碼庫升級、定期匯報等作出明確規定;
d) 應定期檢查信息系統內各種產品的惡意代碼庫的升級情況並進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,並形成書面的報表和總結匯報。
7.2.5.9 密碼管理(G3)
應建立密碼使用管理制度,使用符合國家密碼管理規定的密碼技術和產品。
7.2.5.10 變更管理(G3)
本項要求包括:
a) 應確認系統中要發生的變更,並制定變更方案;
b) 應建立變更管理制度,系統發生變更前,向主管領導申請,變更和變更方案經過評審、審批後方可實施變更,並在實施後將變更情況向相關人員通告;
c) 應建立變更控制的申報和審批文件化程序,對變更影響進行分析並文檔化,記錄變更實施過程,並妥善保存所有文檔和記錄;
d) 應建立中止變更並從失敗變更中恢復的文件化程序,明確過程式控制制方法和人員職責,必要時對恢復過程進行演練。
7.2.5.11 備份與恢復管理(G3)
本項要求包括:
a) 應識別需要定期備份的重要業務信息、系統數據及軟體系統等;
GB/T 22239—2008
30
b) 應建立備份與恢復管理相關的安全管理制度,對備份信息的備份方式、備份頻度、存儲介質和保存期等進行規范;
c) 應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份策略須指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法;
d) 應建立控制數據備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存;
e) 應定期執行恢復程序,檢查和測試備份介質的有效性,確保可以在恢復程序規定的時間內完成備份的恢復。
7.2.5.12 安全事件處置(G3)
本項要求包括:
a) 應報告所發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點;
b) 應制定安全事件報告和處置管理制度,明確安全事件的類型,規定安全事件的現場處理、事件報告和後期恢復的管理職責;
c) 應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響,對本系統計算機安全事件進行等級劃分;
d) 應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;
e) 應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓,制定防止再次發生的補救措施,過程形成的所有文件和記錄均應妥善保存;
f) 對造成系統中斷和造成信息泄密的安全事件應採用不同的處理程序和報告程序。
7.2.5.13 應急預案管理(G3)
本項要求包括:
a) 應在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事後教育和培訓等內容;
b) 應從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障;
c) 應對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次;
d) 應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期;
e) 應規定應急預案需要定期審查和根據實際情況更新的內容,並按照執行。
3. 闃茶寖鎮舵剰浠g爜鍙浠ヤ粠浠ヤ笅鍝浜涙柟闈㈣繘琛
闃茶寖鎮舵剰浠g爜鍙浠ヤ粠浠ヤ笅鏂歸潰榪涜岋細
1銆佽呮潃姣掕蔣浠訛細鍙浠ラ槻姝㈢數鑴戞劅鏌撶棶姣掋佹湪椹絳夋伓鎰忕▼搴忥紝浠ュ強鎷︽埅鎮舵剰緗戠珯銆
2銆佷笉闅忔剰鐐瑰嚮闄岀敓閾炬帴錛氫笉瑕佽交淇¢檶鐢熶漢鐨勯偖浠躲佹秷鎮鎴栭摼鎺ワ紝涓嶈侀殢鎰忎笅杞藉拰鎵撳紑鏈鐭ユ潵婧愮殑鏂囦歡銆
3銆佷嬌鐢ㄥ畨鍏ㄥ瘑鐮侊細浣跨敤澶嶆潅鐨勫瘑鐮侊紝騫跺畾鏈熸洿鎹㈠瘑鐮侊紝鍙浠ラ槻姝㈤粦瀹㈤氳繃鐚滄祴鎴栨毚鍔涚牬瑙f柟寮忓叆渚點
4. 簡述惡意代碼的主要防範措施
1,平時養成良好上網習慣;
2,及時升級殺毒軟體;
3,養成的良好編程習慣,防止SQL注入;
4,管理好伺服器安全策略、保管好伺服器密碼;
5,不允許用戶上傳後綴名為.exe、.config、.sys等的文件。
5. 濡備綍闃茶寖璁$畻鏈虹棶姣掞紵
闃茶寖鐥呮瘨鍙婃伓鎰忎唬鐮佷富瑕佽佷粠涓変釜鏂歸潰鍏ユ墜錛
1)鎬濇兂涓婇噸瑙嗕笖鏈夌姝g殑蹇冩侊紝鏄庣櫧鐥呮瘨鍙婃伓鎰忎唬鐮佹槸瀹㈣傚瓨鍦ㄧ殑錛屼絾鏄涔熸槸鍙闃插彲鎺х殑銆
2)瑕佹湁瑙勮寖鐨勭$悊鍒跺害涓旇佷弗鏍奸伒瀹堬紝灝芥渶澶у彲鑳介檷浣庤閬鍙楃棶姣掑強鎮舵剰浠g爜渚靛崇殑鍑犵巼銆
瑕佹湁鐩稿簲鐨勬妧鏈鎺鏂斤紝濡傛潃姣掕蔣浠跺強鎮舵剰杞浠舵嫻嬪拰娓呴櫎鐨勫伐鍏瘋蔣浠躲傛彁楂橀槻鎶ゅ強鎮㈠嶈兘鍔
錛1錛変弗鏍肩殑綆$悊錛氫弗鏍肩殑綆$悊鍖呮嫭寤虹珛鍜屽畬鍠勫畨鍏ㄧ$悊鍒跺害錛屾彁楂樼敤鎴鋒妧鏈緔犺川鍜岃亴涓氶亾寰鋒按騫崇瓑錛屼富瑕佺洰鐨勬槸閬垮厤璁$畻鏈烘帴瑙︺佷紶鎾鐥呮瘨銆
錛2錛夋湁鏁堢殑鎶鏈錛氱洰鍓嶈$畻鏈虹棶姣掗槻鑼冧富瑕侀噰鐢ㄧ殑鎶鏈鏈夊備笅鍑犻」銆
1錛変嬌鐢ㄥ悇縐嶅弽鐥呮瘨杞浠跺苟鍙婃椂鍗囩駭鏇存柊銆
2錛夋嫻嬪規槗琚鐥呮瘨鍏ヤ鏡鐨勫叧閿鍖哄煙銆
3錛夌洃嫻嬬郴緇熻繍琛岀姸鎬併
4錛夊瑰叧閿鏂囦歡閲囩敤鏍¢獙鍜屽畬鏁存ч獙璇佹垨鍏朵粬淇濇姢鎺鏂姐
6. 惡意代碼的軟體部署常見的實現方式有哪些
1、等級保護中惡意代碼防範的基本要求惡意代碼防範主要涉及信息系統的網路、主機和應用三個層面。1.1 網路惡意代碼防範絕大多數的惡意代碼是從網路上感染本地主機的,因此,網路邊界防範是整個防範工作的重點,是整個防範工作的「第一道門檻」。如果惡意代碼進入內網,將直接威脅內網主機及應用程序的安全。防範控制點設在網路邊界處。防範需對所有的數據包進行拆包檢查,這樣會影響網路數據傳輸效率,故其要求的實施條件比較高。在不同等級信息系統中的要求也不同,如表1所示。1.2 主機惡意代碼防範主機惡意代碼防範在防範要求中占據著基礎地位。~方面是因為網防範的實施條件要求較高;另-方面因網路邊界防護並不是萬能的,它無法檢測所有的惡意代碼。因各等級信息系統都必需在本地主機進行惡意代碼防範,主機惡意代碼防範有以下三條要求:(1)應安裝防惡意代碼軟體,並及時更新防惡意代碼軟體版本和惡意代碼庫;(2)主機防惡意代碼產品應具有與網路防惡意代碼產品不同的惡意代碼庫;(3)應支持防惡意代碼軟體的統一管理。不同等級信息系統的惡意代碼防範要求如表2所示。1.3 應用程序的惡意代碼防範在等級保護基本要求中,對應用程序的惡意代碼防範沒有提出具體的要求。結合日常使用應用程序時在安全方面出現的問題,應用程序的惡意代碼防範應要求在應用程序使用前應先對應用程序進行漏洞檢測、黑白盒測試等,確保應用程序中不存在可被惡意代碼利用的漏洞、不存在編程人員插入的惡意代碼或留下的後門。2、惡意代碼防範的工作要點在等級保護安全測評工作中,具體的測評項和測評方法在測評標准中已經有較詳細的規定。根據實際工作經驗,我們提出防範惡意代碼要取得顯著成效,應注意的工作要點。2.1 風險評估應全面考慮系統的脆弱性和風險性風險評估應全面衡量信息系統在應用和數據方面的脆弱性,預估這些脆弱性衍生出安全風險的概率;然後結合系統已部署的安全措施對風險的影響進行全面分析2.2 注重全網防護,防止安全短板對系統的惡意代碼防護部署要做到多層次、多角度,確保在所有惡意代碼入口對惡意代碼進行檢測、阻止、清除。因此,在部署惡意代碼防範系統時要做到覆蓋全部終端和網路邊界,防止由於ARP或沖擊波這樣的惡意代碼感染系統內部分主機而導致整個網路不可用。2.3 在全網范圍內部署統一的安全管理策略在等保中,低級別安全域的威脅可能會影響到高級別安全域。為避免出現這種風險,可以在邏輯隔離區邊界配置訪問控制策略,限制通過網路對高級別安全域的訪問;還可以將網內不同級別安全域的配置統一為最高級別安全域的惡意代碼防範要求,防止低級別安全域中因防範策略過低感染惡意代碼後對基礎架構造成威脅。2.4 應注重對網路安全狀況的監控和多種保護能力的協作這主要是從管理和運維的角度對等保提出的要求。要求人員能隨時監控系統安全狀況,了解本網內信息系統發惡意代碼入侵事件,做到風險可視、行為可控;要求系統安全隱患進行預警、排除,對緊急情況進行應急處理。3、結語惡意代碼防範是信息系統安全等級工作的重要部分,網路、主機和應用三個層次。惡意代碼的分析方法分為靜析和動態分析。惡意代碼的檢測技術包括特徵碼掃描、虛擬機檢測、啟發式掃描、完整性控制、主動防禦等。在分析、檢測和防範三者中,分析是基礎、檢測是關鍵、防範是目標。提高風險意識、注重全網防護、實施統一管理