1. 代码的危害
解析恶意代码的危害机制与防范
摘要:在当今互联网时代,很多人还在受着网页恶意代码的困扰,在网站代码编辑过程中,更会因为恶意代码的转载使用导致整个网页的瘫痪。本文就“恶意代码”的危害和防范来进行深入解析,以激发我们的安全防范意识,积极应对来自网络的安全威胁。
关键词:恶意代码Java Applet JavaScript ActiveX
一、恶意代码综述
恶意代码主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。它使用SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。
随着互联网信息技术的不断发展,代码的“恶意”性质及其给用户造成的危害已经引起普遍的关注,因此我们有必要对恶意代码进行一番了解,让其危害降低至最低程度。
二、恶意代码的表现形式
(一)网页病毒类恶意代码
网页病毒类恶意代码,顾名思义就是利用软件或系统操作平台的安全漏洞,通过嵌入在网页上HTML标记语言内的Java Applet 应用程序、JavaScript 脚本程序、ActiveX 网络交互支持自动执行,强行修改用户注册表及系统配置,或非法控制用户系统资源、盗取用户文件、恶意删除文件,甚至格式化硬盘的非法恶意程序。
根据目前较流行的常见网页病毒的作用对象及表现特征,网页病毒可以归纳为以下两大种类:
(1)通过Java Script、Applet、ActiveX 编辑的脚本程序修改IE 浏览器,表现为:
A 默认主页(首页)被修改;B 主页设置被屏蔽锁定,且设置选项无效不可修改;C 默认的IE 搜索引擎被修改;D 鼠标右键菜单被添加非法网站广告链接等。
(2)通过Java Script、Applet、ActiveX 编辑的脚本程序修改用户操作系统,表现为:
A 开机出现对话框(通常都是用户不知所云的内容);B 系统正常启动后,但IE 被锁定网址自动调用打开;C 格式化硬盘;D 非法读取或盗取用户文件;E 锁定禁用注册表,编辑reg,转自[星论文网]www.starlunwen.net 注册表文件格式时出现打开方式错误。
(二)脚本类恶意代码
脚本实际上就是程序,一般都是由应用程序提供的编辑语言。应用程序包括Java Script、VBScript、应用程序的宏和操作系统的批处理语言等。脚本在每一种应用程序中所起的作用都是不相同的,比如在网页中可实现各种动态效果,在OFFICE 中通常是以“宏”来执行一系列命令和指令,可以实现任务执行的自动化,以提供效率,或者制造宏病毒。
(三)漏洞攻击类代码
是利用软件或者操作系统的漏洞而编写的程序,对用户系统或者网络服务器进行攻击。比如黑客利用微软IE 浏览器漏洞,编写漏洞攻击代码对用户进行攻击。
三、恶意代码的实现机制
恶意代码的行为表现各异,破坏程序千差万别,但基本作用机制大体相同,其整个作用过程分为6个部分:
①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接受已经感染恶意代码的电子邮件;从光盘或U盘往系统上安装未经审查的软件;黑客或者攻击者故意将恶意代码植入系统等。
②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
③隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
④潜伏。恶意代码侵入系统后,等待一定的条件,病毒具有足够的权限时,就发作进行破坏活动。
⑤破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
⑥重复1至5对新的目标实施攻击过程。
四、恶意代码的防范方法
目前,恶意代码防范方法主要分为两方面:基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。
(一)基于主机的恶意代码防范方法
①基于特征的扫描技术:基于主机的恶意代码防范方法是目前检测恶意代码最常用的技术。扫描程序工作之前,必须先建立恶意代码的特征文件,根据特征文件中的特征串,在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件,查找最新的恶意代码版本。这种技术广泛地应用于目前的反病毒引擎中。
②校验和:校验和是一种保护信息资源完整性的控制技术,例如Hash 值和循环冗余码等。只要文件内部有一个比特发生了变化,校验和值就会改变。未被恶意代码感染的系统首先会生成检测数据,然后周期性地使用校验和法检测文件的改变情况。
③安全操作系统对恶意代码的防范:恶意代码成功入侵的重要一环是,获得系统的控制权,使操作系统为它分配系统资源。无论哪种恶意代码,无论要达到何种恶意目的,都必须具有相应的权限。否则它将不能实现其预定的恶意目标,或者仅能够实现其部分恶意目标。
(二)基于网络的恶意代码防范方法
由于恶意代码具有相当的复杂性和行为不确定性,恶意代码的防范需要多种技术综合应用,包括恶意代码监测与预警、恶意代码传播抑制、恶意代码漏洞自动修复、恶意代码阻断等。基于网络的恶意代码防范方法包括:恶意代码检测防御和恶意代码预警。
这些主要是网页恶意代码,也就是网页病毒造成的危害。而用脚本编写的蠕虫病毒的危害就更大了,它不再是针对一台计算机,而是迅速传播,对网络上所有计算机造成危害,直至网络被拖垮最后崩溃。
五、结语
在互联网信息化高速发展的今天,任何软件在编写时或多或少都有自己的漏洞,为此我们应该做到:
1)安全设置。我们上网浏览时不能抱有侥幸心理,不关心安全设置,认为恶意代码与我无缘,对最基本的浏览器安全设置问题也不关心,从而降低了系统抵御恶意代码的免疫能力,致使系统在遭遇恶意代码时不能幸免于难。
2)不浏览来历不明的网站。不要轻易去浏览一些来历不明的网站和下载相关内容。
3)软件升级,安装系统补丁。软件要及时更新版本,尤其是操作系统,一定要常“打”补丁常升级。
4)安装杀毒软件(防火墙)。安装并及时将杀毒软件(防火墙)升级至最新版本,同时开启实时监控功能并不定期杀毒,最大限度地把恶意代码拒之门外。 本文出自: http://,转自[星论文网]www.starlunwen.netwww.starlunwen.net/dianqi/120173.html
2. 如何在日常IT运维中开展信息安全工作
给你个专业的。(信息安全的运维管理)
7.2.5 系统运维管理
7.2.5.1 环境管理(G3)
本项要求包括:
a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b) 应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d) 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
7.2.5.2 资产管理(G3)
本项要求包括:
a) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;
c) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
d) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
7.2.5.3 介质管理(G3)
本项要求包括:
a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
b) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点;
GB/T 22239—2008
28
d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;
e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
7.2.5.4 设备管理(G3)
本项要求包括:
a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;
e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。
7.2.5.5 监控管理和安全管理中心(G3)
本项要求包括:
a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
7.2.5.6 网络安全管理(G3)
本项要求包括:
a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份;
f) 应保证所有与外部系统的连接均得到授权和批准;
g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
GB/T 22239—2008
29
h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
7.2.5.7 系统安全管理(G3)
本项要求包括:
a) 应根据业务需求和系统安全分析确定系统的访问控制策略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;
e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;
f) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
7.2.5.8 恶意代码防范管理(G3)
本项要求包括:
a) 应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;
d) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
7.2.5.9 密码管理(G3)
应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
7.2.5.10 变更管理(G3)
本项要求包括:
a) 应确认系统中要发生的变更,并制定变更方案;
b) 应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;
c) 应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
d) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
7.2.5.11 备份与恢复管理(G3)
本项要求包括:
a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
GB/T 22239—2008
30
b) 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
d) 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;
e) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
7.2.5.12 安全事件处置(G3)
本项要求包括:
a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;
d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
7.2.5.13 应急预案管理(G3)
本项要求包括:
a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
d) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;
e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
3. 闃茶寖鎭舵剰浠g爜鍙浠ヤ粠浠ヤ笅鍝浜涙柟闈㈣繘琛
闃茶寖鎭舵剰浠g爜鍙浠ヤ粠浠ヤ笅鏂归潰杩涜岋細
1銆佽呮潃姣掕蒋浠讹細鍙浠ラ槻姝㈢數鑴戞劅鏌撶梾姣掋佹湪椹绛夋伓鎰忕▼搴忥紝浠ュ強鎷︽埅鎭舵剰缃戠珯銆
2銆佷笉闅忔剰鐐瑰嚮闄岀敓閾炬帴锛氫笉瑕佽交淇¢檶鐢熶汉鐨勯偖浠躲佹秷鎭鎴栭摼鎺ワ紝涓嶈侀殢鎰忎笅杞藉拰鎵撳紑鏈鐭ユ潵婧愮殑鏂囦欢銆
3銆佷娇鐢ㄥ畨鍏ㄥ瘑鐮侊細浣跨敤澶嶆潅鐨勫瘑鐮侊紝骞跺畾鏈熸洿鎹㈠瘑鐮侊紝鍙浠ラ槻姝㈤粦瀹㈤氳繃鐚滄祴鎴栨毚鍔涚牬瑙f柟寮忓叆渚点
4. 简述恶意代码的主要防范措施
1,平时养成良好上网习惯;
2,及时升级杀毒软件;
3,养成的良好编程习惯,防止SQL注入;
4,管理好服务器安全策略、保管好服务器密码;
5,不允许用户上传后缀名为.exe、.config、.sys等的文件。
5. 濡備綍闃茶寖璁$畻鏈虹梾姣掞紵
闃茶寖鐥呮瘨鍙婃伓鎰忎唬鐮佷富瑕佽佷粠涓変釜鏂归潰鍏ユ墜锛
1)鎬濇兂涓婇噸瑙嗕笖鏈夌姝g殑蹇冩侊紝鏄庣櫧鐥呮瘨鍙婃伓鎰忎唬鐮佹槸瀹㈣傚瓨鍦ㄧ殑锛屼絾鏄涔熸槸鍙闃插彲鎺х殑銆
2)瑕佹湁瑙勮寖鐨勭$悊鍒跺害涓旇佷弗鏍奸伒瀹堬紝灏芥渶澶у彲鑳介檷浣庤閬鍙楃梾姣掑強鎭舵剰浠g爜渚靛崇殑鍑犵巼銆
瑕佹湁鐩稿簲鐨勬妧鏈鎺鏂斤紝濡傛潃姣掕蒋浠跺強鎭舵剰杞浠舵娴嬪拰娓呴櫎鐨勫伐鍏疯蒋浠躲傛彁楂橀槻鎶ゅ強鎭㈠嶈兘鍔
锛1锛変弗鏍肩殑绠$悊锛氫弗鏍肩殑绠$悊鍖呮嫭寤虹珛鍜屽畬鍠勫畨鍏ㄧ$悊鍒跺害锛屾彁楂樼敤鎴锋妧鏈绱犺川鍜岃亴涓氶亾寰锋按骞崇瓑锛屼富瑕佺洰鐨勬槸閬垮厤璁$畻鏈烘帴瑙︺佷紶鎾鐥呮瘨銆
锛2锛夋湁鏁堢殑鎶鏈锛氱洰鍓嶈$畻鏈虹梾姣掗槻鑼冧富瑕侀噰鐢ㄧ殑鎶鏈鏈夊備笅鍑犻」銆
1锛変娇鐢ㄥ悇绉嶅弽鐥呮瘨杞浠跺苟鍙婃椂鍗囩骇鏇存柊銆
2锛夋娴嬪规槗琚鐥呮瘨鍏ヤ镜鐨勫叧閿鍖哄煙銆
3锛夌洃娴嬬郴缁熻繍琛岀姸鎬併
4锛夊瑰叧閿鏂囦欢閲囩敤鏍¢獙鍜屽畬鏁存ч獙璇佹垨鍏朵粬淇濇姢鎺鏂姐
6. 恶意代码的软件部署常见的实现方式有哪些
1、等级保护中恶意代码防范的基本要求恶意代码防范主要涉及信息系统的网络、主机和应用三个层面。1.1 网络恶意代码防范绝大多数的恶意代码是从网络上感染本地主机的,因此,网络边界防范是整个防范工作的重点,是整个防范工作的“第一道门槛”。如果恶意代码进入内网,将直接威胁内网主机及应用程序的安全。防范控制点设在网络边界处。防范需对所有的数据包进行拆包检查,这样会影响网络数据传输效率,故其要求的实施条件比较高。在不同等级信息系统中的要求也不同,如表1所示。1.2 主机恶意代码防范主机恶意代码防范在防范要求中占据着基础地位。~方面是因为网防范的实施条件要求较高;另-方面因网络边界防护并不是万能的,它无法检测所有的恶意代码。因各等级信息系统都必需在本地主机进行恶意代码防范,主机恶意代码防范有以下三条要求:(1)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;(2)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;(3)应支持防恶意代码软件的统一管理。不同等级信息系统的恶意代码防范要求如表2所示。1.3 应用程序的恶意代码防范在等级保护基本要求中,对应用程序的恶意代码防范没有提出具体的要求。结合日常使用应用程序时在安全方面出现的问题,应用程序的恶意代码防范应要求在应用程序使用前应先对应用程序进行漏洞检测、黑白盒测试等,确保应用程序中不存在可被恶意代码利用的漏洞、不存在编程人员插入的恶意代码或留下的后门。2、恶意代码防范的工作要点在等级保护安全测评工作中,具体的测评项和测评方法在测评标准中已经有较详细的规定。根据实际工作经验,我们提出防范恶意代码要取得显著成效,应注意的工作要点。2.1 风险评估应全面考虑系统的脆弱性和风险性风险评估应全面衡量信息系统在应用和数据方面的脆弱性,预估这些脆弱性衍生出安全风险的概率;然后结合系统已部署的安全措施对风险的影响进行全面分析2.2 注重全网防护,防止安全短板对系统的恶意代码防护部署要做到多层次、多角度,确保在所有恶意代码入口对恶意代码进行检测、阻止、清除。因此,在部署恶意代码防范系统时要做到覆盖全部终端和网络边界,防止由于ARP或冲击波这样的恶意代码感染系统内部分主机而导致整个网络不可用。2.3 在全网范围内部署统一的安全管理策略在等保中,低级别安全域的威胁可能会影响到高级别安全域。为避免出现这种风险,可以在逻辑隔离区边界配置访问控制策略,限制通过网络对高级别安全域的访问;还可以将网内不同级别安全域的配置统一为最高级别安全域的恶意代码防范要求,防止低级别安全域中因防范策略过低感染恶意代码后对基础架构造成威胁。2.4 应注重对网络安全状况的监控和多种保护能力的协作这主要是从管理和运维的角度对等保提出的要求。要求人员能随时监控系统安全状况,了解本网内信息系统发恶意代码入侵事件,做到风险可视、行为可控;要求系统安全隐患进行预警、排除,对紧急情况进行应急处理。3、结语恶意代码防范是信息系统安全等级工作的重要部分,网络、主机和应用三个层次。恶意代码的分析方法分为静析和动态分析。恶意代码的检测技术包括特征码扫描、虚拟机检测、启发式扫描、完整性控制、主动防御等。在分析、检测和防范三者中,分析是基础、检测是关键、防范是目标。提高风险意识、注重全网防护、实施统一管理