恶意代码防治

XXXX有限公司恶意代码安全防范管理规定2017年12月版本控制备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第一章总则 (1)第二章机构设置及职能 (1)第三章防恶意代码管理 (2)第四章预警和应急处理措施 (4)第五章实施与检查 (5)第六章附则 (5)附件 (6)第一章总则第一条为规范XXXX有限公司计算机病毒安全防范工作的运行管理，保障计算机环境的安全，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008），结合XXXX有限公司实际，制定本规定。

第二条计算机病毒安全防范工作的基本任务是：预防、处理各种计算机病毒，提高XXXX有限公司计算机信息系统的整体安全性。

第三条恶意代码可以分成五类：病毒，木马，蠕虫，移动代码和复合型病毒。

第二章机构设置及职能第四条XXXX有限公司的防恶意代码体系应建立在多级分布网络结构基础上的，实行层层设防、集中控制、以防为主、防杀结合的安全策略。

第五条平台研发部负责进行全局防恶意代码工作的实施规划和领导，处理防恶意代码软件使用上的技术问题，对病毒疫情提出处理方案并指导相关部门实施，负责进行全局防恶意代码服务器的维护和病毒特征码及时更新，重要病毒及时通报，对主机防恶意代码软件、防恶意代码网关和邮件防恶意代码网关等截获的危险病毒或恶意代码进行及时分析、处理、记录并形成恶意代码分析报告，负责同防恶意代码厂家进行和其它必要信息的沟通和协调。

第六条系统运维部门负责监控全局防恶意代码工作的进行和日常病毒防范管理，监控防恶意代码工作在本管理制度下进行，对违反本管理制度的情况进行处理。

第七条各部门根据本管理制度的相关要求进行防恶意代码工作的落实，处理防恶意代码软件使用上的技术问题和对病毒疫情提出处理方案并实施，负责执行系统运维部门制定的病毒防范管理制度，实施对病毒疫情的处理方案，并定期向系统运维部门汇报使用情况。

第八条计算机使用人员严格按照本管理制度要求使用计算机。

清除恶意代码关于恶意代码清除现在仍不时听到关于恶意代码的问题，其实这个东西已经落伍了。

目前所说的[恶意代码]通常是指嵌入网页中的部分代码，或利用IE漏洞、或利用合法的Script进行恶作剧或恶意破坏。

一.首先还是把这些代码进行分类。

1.利用IE溢出代码进行破坏2.利用合法的脚本语句进行破坏3.通过IE5.0的漏洞利用ActiveX进行破坏常见的就是修改注册表项目及运行程序、生成文件等。

(其实平时常说的也就是这类被杀毒软件评为网页病毒的恶意代码，我们今天主要讨论的也是这类的问题)二.接着说一下防治方法1.对于第1类，只有及时打补丁，别无他法。

就目前我找到的这类代码而言，其功能都是十分有限的。

不过劝你还是及时打下补丁。

2.对于第2类，禁止脚本可能带来很多麻烦，此方法并不现实。

所以，也没有较好的方法，只能尽量不要打开陌生的页子。

3.对于第3类，防范方法很多，依次介绍一下。

a).这是最简单最实用的方法，不借助第三方软件运行regedit.exe，将注册表中的[HKEY_CLASSES_ROOT\CLSID\{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}]主键全部删除。

删除后并不影响系统运行及网页浏览。

b).如果你对注册表操作的方法有所顾忌，试试下面的方法，同样不借助第三方软件将Windows98中的Windows Script Host卸载，把Windows2K 中的Remote Registry Service服务禁用。

c).禁用脚本这样做会带来很多麻烦，所以不实用。

还有很多方法也不实用，在此不作介绍。

d).特别说明--错误方法错误解释:因为该页子修改注册表，所以可以先锁定regedit.exe来达到预防其修改注册表的目的。

错误原因:修改注册表是因为IE5的漏洞利用ActiveX修改注册表，并没有使用regedit.exe命令。

我曾经在《电脑报》、《网友世界》、《黑客防线精华本》以及某杀毒软件的官方网站上看到如此不负责的解释，真让人感到遗憾。

一、前言随着信息技术的飞速发展，网络攻击手段日益多样化，恶意代码（如病毒、木马、蠕虫等）对信息系统安全的威胁日益严重。

为保障我单位信息系统的安全稳定运行，提高应对恶意代码攻击的能力，特制定本预案。

二、预案目标1. 快速发现和隔离恶意代码感染源，降低恶意代码对信息系统的影响。

2. 及时修复漏洞，防止恶意代码再次入侵。

3. 恢复受感染系统，确保业务正常开展。

4. 加强员工安全意识，提高应对恶意代码攻击的能力。

三、预案组织与职责1. 成立应急指挥部，负责统一指挥、协调、调度和监督恶意代码应急处置工作。

2. 应急指挥部下设以下工作组：（1）技术支持组：负责恶意代码检测、分析、隔离和修复。

（2）网络监控组：负责实时监控网络流量，发现异常情况并上报。

（3）信息发布组：负责发布应急处置信息，引导员工正确应对。

（4）应急演练组：负责定期组织应急演练，提高应急处置能力。

四、应急处置流程1. 检测与报告（1）网络监控组发现异常情况后，立即上报应急指挥部。

（2）应急指挥部启动应急预案，通知技术支持组进行分析。

（3）技术支持组对恶意代码进行检测、分析，确定感染范围和影响程度。

2. 隔离与清除（1）根据分析结果，技术支持组采取隔离措施，防止恶意代码扩散。

（2）针对受感染系统，技术支持组进行恶意代码清除操作。

（3）网络监控组持续监控网络流量，确保恶意代码已清除。

3. 恢复与重建（1）技术支持组对受感染系统进行修复，确保系统正常运行。

（2）应急指挥部组织相关部门，评估损失，制定恢复计划。

（3）根据恢复计划，逐步恢复业务系统，确保业务正常开展。

4. 预防与总结（1）应急指挥部组织相关部门，分析恶意代码攻击原因，制定预防措施。

（2）技术支持组对漏洞进行修复，提高系统安全性。

（3）应急指挥部组织应急演练，提高应急处置能力。

（4）对本次应急处置进行总结，完善应急预案。

五、应急保障措施1. 加强网络安全防护，提高系统安全性。

2. 定期更新恶意代码库，提高检测、分析、清除能力。

信息安全管理制度恶意代码防治规范为了保障企业信息安全，有效防止恶意代码的威胁，需要建立完善的信息安全管理制度。

本文将介绍一套适用于企业的恶意代码防治规范，并加以详细解释。

规范一：恶意代码防范策略恶意代码防范策略是企业信息安全管理的基础。

首先，企业应建立全面的防火墙系统，及时检测和阻止恶意代码的入侵。

其次，定期升级和更新安全软件和病毒库，及时修复已知漏洞。

再次，加强员工的信息安全意识培训，提升其对恶意代码的辨识能力和防范意识。

规范二：网络安全设备规范在企业网络中，维护和管理网络安全设备是防止恶意代码侵入的重要措施。

首先，网络安全设备应定期巡检和维护，确保其正常运行。

其次，配置合理的网络访问控制策略，限制非法访问和恶意代码的传播。

再次，及时更新网络安全设备的固件和补丁，修复已知漏洞。

此外，定期备份数据和系统，以防数据丢失和系统瘫痪。

规范三：恶意代码检测与处理恶意代码检测与处理是及时发现和应对恶意代码的重要手段。

首先，企业应在关键系统中部署恶意代码检测工具，定期对系统进行全面扫描。

其次，建立应急响应机制，对发现的恶意代码立即采取处置措施，包括隔离感染源、清除病毒并修复系统。

再次，定期组织信息安全演练，提升员工应急反应和处理能力，确保及时有效的应对恶意代码威胁。

规范四：应用软件和系统安全规范应用软件和系统安全规范是防止恶意代码侵入的重要环节。

首先，企业应严格控制系统和应用软件的访问权限，限制非授权访问。

其次，及时更新和升级应用软件和系统，修复已知漏洞。

再次，禁用或限制危险的系统功能和服务，减少潜在的攻击面。

此外，企业应对关键系统进行加固和防护，确保其安全可靠。

规范五：恶意代码事件报告与处置恶意代码的事件报告与处置是实施信息安全管理的关键环节。

首先，企业应建立健全的恶意代码事件报告机制，明确责任人和报告流程。

其次，对恶意代码事件进行全面调查，找出入侵途径和感染路径，以便及时采取纠正措施。

再次，对事件后果进行评估，尽可能减少和弥补损失。

网络安全知识之防范恶意代码首先防范恶意代码在我们的网络安全等级保护工作中是有明确要求的。

在单位落实等级保护建设过程中，不得不考虑的一项安全防范措施，是保护自身系统安全，也是在落实《网络安全法》第二十一条之规定。

落到等级保护相关标准，则对应有基本要求项，而防恶意代码又是高风险判例中明确的高风险，二级以上信息系统必须考虑防恶意代码措施。

▪1）主机层无恶意代码检测和清除措施，或恶意代码库一个月以上未更新；▪2)网络层无恶意代码检测和清除施，或恶意代码库一个月以上未更新。

恶意代码是不需要的文件或程序，它们可能会对计算机造成损害或破坏计算机上存储的数据。

恶意代码的各种分类包括病毒、蠕虫和特洛伊木马等。

•病毒能够损坏或破坏计算机系统上的文件，并通过共享已受感染的可移动媒体、打开恶意电子邮件附件和访问恶意网页等来传播。

•蠕虫是一种可以在计算机之间自我传播的病毒。

它的功能是使用我们的计算机的所有资源，这可能会导致我们的计算机停止响应。

•特洛伊木马是隐藏病毒或潜在破坏程序的计算机程序。

有时会隐藏在免费软件中，特洛伊木马程序让用户认为他们使用的是合法软件，而该程序却在计算机上执行恶意操作，这种情况比较常见。

•恶意数据文件是不可执行的文件，例如Microsoft Word 文档、Adobe PDF、ZIP 文件或图像文件，它们利用了用于打开它的软件程序中的弱点。

攻击者经常使用恶意数据文件在受害者的系统上安装恶意软件，通常通过电子邮件、社交媒体和网站分发文件。

我们如何保护自己免受恶意代码的侵害？遵循这些安全实践可以帮助我们降低与恶意代码相关的风险：•安装和维护防病毒软件。

防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。

安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。

始终直接访问供应商网站，而不是点击广告或电子邮件链接。

由于攻击者不断地制造新病毒和其他形式的恶意代码，因此保持我们使用的防病毒软件保持最新非常重要。

不必要代码（Unwanted Code）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。

一、恶意代码的特征恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：（1）恶意的目的（2）本身是程序（3）通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。

对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。

二、非滤过性病毒非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件，远程特洛伊和谍件等等，组织内部或者外部的攻击者使用这些软件来获取口令、侦察网络通信、记录私人通信，暗地接收和传递远程主机的非授权命令，而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。

非滤过性病毒有增长的趋势，对它的防御不是一个简单的任务。

与非过滤性病毒病毒有关的概念包括：（1）谍件谍件（Spyware）与商业产品软件有关，有些商业软件产品在安装到用户机器上的时候，未经用户授权就通过Internet连接，让用户方软件与开发商软件进行通信，这部分通信软件就叫做谍件。

用户只有安装了基于主机的防火墙，通过记录网络活动，才可能发现软件产品与其开发商在进行定期通讯。

谍件作为商用软件包的一部分，多数是无害的，其目的多在于扫描系统，取得用户的私有数据。

（2）远程访问特洛伊远程访问特洛伊RAT 是安装在受害者机器上，实现非授权的网络访问的程序，比如NetBus 和SubSeven 可以伪装成其他程序，迷惑用户安装，比如伪装成可以执行的电子邮件，或者Web下载文件，或者游戏和贺卡等，也可以通过物理接近的方式直接安装。

（3）Zombies恶意代码不都是从内部进行控制的，在分布式拒绝服务攻击中，Internet的不少站点受到其他主机上zombies程序的攻击。

恶意代码防范管理制度
第一章总则
第一条为了防范和应对恶意代码对企业的网络安全造成的威胁，保障企业信息系统的安全稳定运行，制定本制度。

第二条本制度适用于企业内部恶意代码的防范、检测、处置和恢复等管理工作。

第三条企业应建立健全恶意代码防范体系，提高员工的安全意识，确保信息系统的高效和安全运行。

第二章恶意代码的定义与分类
第四条恶意代码是指任何旨在破坏、中断、篡改或以其他方式损害计算机系统正常运行的程序、脚本或其他代码。

第五条恶意代码包括但不限于病毒、蠕虫、特洛伊木马、后门程序、僵尸网络等。

第三章恶意代码防范措施
第六条企业应定期更新和升级防病毒软件，确保防病毒软件的病毒库包含最新的病毒定义。

第七条企业应定期对计算机系统进行安全检查和漏洞扫描，及时修复已知的安全漏洞。

第八条企业应加强对网络访问的控制，限制不明身份人员对网络资源的访问，防止恶意代码的传播。

第九条企业应制定并执行安全策略，禁止员工使用不明来源的软件和移动存储设备，防止恶意代码的引入。

第四章恶意代码的监测与处置
第十条企业应建立恶意代码监测机制，及时发现和报告恶意代码活动。

第十一条企业应制定恶意代码处置方案，包括隔离、清除和恢复受感染的系统等措施。

第十二条企业应定期进行恶意代码应急演练，提高应对恶意代码攻击的能力。

第五章员工培训与宣传
第十三条企业应加强对员工的安全培训，提高员工对恶意代码防范的认识和能力。

第十四条企业应积极开展恶意代码防范宣传活动，提高全体员工的安全意识。

第六章附则
第十五条本制度自发布之日起施行。

第十六条本制度的解释权归企业所有。