惡意軟件威脅方法及防護技巧

字號:

所有組織都應該開發(fā)將提供高級別保護的防病毒解決方案。但是,甚至是在安裝了防病毒軟件后,許多組織仍然感染了病毒。本指南提出了解決惡意軟件(或 malware)問題的一種不同方法。與網(wǎng)絡安全設計一樣,Microsoft 建議設計防病毒解決方案時采用深層防護方法,以便幫助確保組織在設計時采用的安全措施將得到可能的維護。
    這樣的方法對于組織的計算機安全是極其重要的,因為不管計算機系統(tǒng)提供多少有用的功能或服務,都會有人(無論出于什么原因)將試圖找到漏洞以便惡意利用它,這是一件不幸的事。
    與在各種環(huán)境中實施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顧問和系統(tǒng)工程師協(xié)作,有助于建立保護運行這些操作系統(tǒng)的客戶端和服務器免受惡意軟件攻擊的最新的做法。本章為您提供此信息。
    本章還提供指導以幫助您在為組織設計防病毒安全解決方案時使用深層防護方法。此方法的目的是確保您了解模型的每個層以及對應于每個層的特定威脅,以便您可以在實施自己的防病毒措施時使用此信息。
    注意:Microsoft 建議在您組織的一般安全過程和策略中包括本指南中的某些步驟。在出現(xiàn)這樣的情況時,本指南會指明要求組織的安全小組進一步定義。
    如果您是在遇到惡意軟件的攻擊并進行恢復之后閱讀本指南,則提供的信息旨在幫助您防止再次發(fā)生這樣的攻擊以及更好地了解以前的攻擊是如何發(fā)生的。
    惡意軟件的威脅方法
    惡意軟件可以通過許多方法來損害組織。這些方法有時稱為"威脅方法",它們代表在設計有效的防病毒解決方案時您的環(huán)境中最需要引起注意的區(qū)域。下面的列表包括典型組織中最容易受到惡意軟件攻擊的區(qū)域:
    • 外部網(wǎng)絡。沒有在組織直接控制之下的任何網(wǎng)絡都應該認為是惡意軟件的潛在源。但是,Internet 是的惡意軟件威脅。Internet 提供的匿名和連接允許心懷惡意的個人獲得對許多目標的快速而有效訪問,以使用惡意代碼發(fā)動攻擊。
    • 來賓客戶端。隨著便攜式計算機和移動設備在企業(yè)中的使用越來越廣泛,設備經(jīng)常移入和移出其他組織的基礎結(jié)構(gòu)。如果來賓客戶端未采取有效的病毒防護措施,則它們就是組織的惡意軟件威脅。
    • 可執(zhí)行文件。具有執(zhí)行能力的任何代碼都可以用作惡意軟件。這不僅包括程序,而且還包括腳本、批處理文件和活動對象(如 Microsoft ActiveX? 控件)。
    • 文檔。隨著文字處理器和電子表格應用程序的日益強大,它們已成為惡意軟件編寫者的目標。許多應用程序內(nèi)支持的宏語言使得它們成為潛在的惡意軟件目標。
    • 電子郵件。惡意軟件編寫者可以同時利用電子郵件附件和電子郵件內(nèi)活動的超文本標記語言 (HTML) 代碼作為攻擊方法。
    • 可移動媒體。通過某種形式的可移動媒體進行的文件傳輸是組織需要作為其病毒防護的一部分解決的一個問題。其中一些更常用的可移動媒體包括:
    • CD-ROM 或 DVD-ROM 光盤。廉價的 CD 和 DVD 刻錄設備的出現(xiàn)使得所有計算機用戶(包括編寫惡意軟件的用戶)都可以容易地訪問這些媒體。
    • 軟盤驅(qū)動器和 Zip 驅(qū)動器。這些媒體不再像以前那樣流行了,原因是其容量和速度有限,但是如果惡意軟件可以物理訪問它們,則它們?nèi)匀粫盹L險。
    • USB 驅(qū)動器。這些設備具有多種形式,從經(jīng)典的鑰匙圈大小的設備到手表。如果可以將所有這些設備插入主機的通用串行總線 (USB) 端口,則這些設備都可以用于引入惡意軟件。
    • 內(nèi)存卡。數(shù)字照相機和移動設備(如 PDA 和移動電話)已經(jīng)幫助建立了數(shù)字內(nèi)存卡。卡閱讀器正日益成為計算機上的標準設備,使用戶可以更輕松地傳輸內(nèi)存卡上的數(shù)據(jù)。由于此數(shù)據(jù)是基于文件的,因此這些卡也可以將惡意軟件傳輸?shù)街鳈C系統(tǒng)上。
    惡意軟件防護方法
    在針對惡意軟件嘗試組織有效的防護之前,需要了解組織基礎結(jié)構(gòu)中存在風險的各個部分以及每個部分的風險程度。Microsoft 強烈建議您在開始設計防病毒解決方案之前,進行完整的安全風險評估。優(yōu)化解決方案設計所需的信息只能通過完成完整的安全風險評估獲得。
    有關進行安全風險評估的信息和指導,請參閱"Microsoft Solution for Securing Windows 2000 Server"(保護 Windows 2000 Server 的 Microsoft 解決方案)指南。此指南介紹了安全風險管理規(guī)則 (SRMD),您可以使用它了解您的組織所面臨風險的特性。