恶意软件风险管理策略.docxVIP

恶意软件风险管理策略 发布日期： 2006年08月18日 本页内容 HYPERLINK /zh-cn/library/cc875818.aspx \l EIAA 引言  HYPERLINK /zh-cn/library/cc875818.aspx \l EHAA 定义  HYPERLINK /zh-cn/library/cc875818.aspx \l EGAA 难题  HYPERLINK /zh-cn/library/cc875818.aspx \l EFAA 解决方案  HYPERLINK /zh-cn/library/cc875818.aspx \l EEAA 摘要  HYPERLINK /zh-cn/library/cc875818.aspx \l EDAA 附录 A： 常见信息系统资产  HYPERLINK /zh-cn/library/cc875818.aspx \l ECAA 附录 B： 常见威胁  HYPERLINK /zh-cn/library/cc875818.aspx \l EBAA 附录 C： 漏洞  HYPERLINK /zh-cn/library/cc875818.aspx \l EAAA 参考资料 引言 欢迎阅读“中型企业安全指南”专题中的这篇文章。 Microsoft 希望下列信息可帮助您创建更安全效率更高的计算环境。 摘要 随着恶意软件变得越来越先进、越来越复杂，帮助防止恶意软件威胁和攻击的软件和硬件技术也得到了长足发展。 恶意软件威胁使中型企业在攻击防御和响应技术及操作方面付出了沉重代价。 Internet 严重引发了对中型企业环境的外部威胁，而与此同时，某些最重大的威胁（如内部攻击）却仍然存在。 来自处在最受信任岗位的内部员工（如网络管理员）发起的内部攻击其潜在破坏后果最严重。 参与恶意活动的内部员工很可能带有特殊目的和目标，例如在合法访问系统的同时，植入特洛伊木马或未经授权浏览文件系统。 更常见的是，内部员工没有怀任何恶意，却在无意中将受感染的系统或设备连接到了内部网络，从而植入了恶意软件，最终使系统的完整性/机密性受到危及，或是系统性能、可用性和/或存储容量受到影响。 对内外威胁的分析已驱使许多中型企业开始调查能帮助监视网络和检测攻击的系统，包括有助于实时管理恶意软件风险的资源。 概述 本文档提供了有关帮助管理中型企业中恶意软件风险的战略的信息。 它主要分为四个部分： 简介、定义、难题和解决方案。 定义 本节阐明什么是恶意软件（以及什么不是恶意软件）、其特征和风险管理。 难题 本节描述中型企业在管理恶意软件风险上普遍面临的许多难题，包括： 常见信息系统资产 常见威胁 漏洞 教育最终用户和策略 平衡风险管理和业务需要 解决方案 本节提供有关策略、方法和战略的其他信息，包括： 物理和逻辑策略 防恶意软件和病毒的反应和预防方法 帮助减少恶意软件的战略 作为战略的一部分，本节还探讨了有助于防恶意软件威胁的恶意软件风险评估和管理。 本节还将提供有关用于帮助扫描、检测和报告恶意软件活动的监视和报告工具的信息。 本指南的读者对象 本文档主要面向中型企业的管理和 IT 人员，旨在帮助他们更好地理解恶意软件威胁、如何帮助防御这些威胁以及在受到恶意软件攻击时如何快速作出适当响应。 HYPERLINK /zh-cn/library/cc875818.aspx \l mainSection 返回页首 定义 恶意软件 (Malware) 是“malicious software”的缩写。 它是一个涵盖故意在计算机系统上执行带有恶意任务的病毒、蠕虫和特洛伊木马的集合名词。 就技术而言，恶意软件就是恶意代码。 认识各种类型的恶意软件 下面各小节描述了各种恶意软件类别。 隐蔽 特洛伊木马。 一种程序，看似有用或无害但实际上包含隐藏代码，旨在耗用或破坏其运行所处的系统。 特洛伊木马程序（也称特洛伊代码）通常通过误传程序用途和功能的电子邮件传递给用户。 当运行特洛伊木马程序时，它们便会运行一个恶意性有效负载或任务。 传染性恶意软件 蠕虫。 蠕虫利用的是能通过网络连接将自己从一台计算机自动传播到另一台计算机的自我传播恶意代码。 蠕虫能执行有害操作，如消耗网络或本地系统资源，从而可能导致拒绝服务攻击。 某些蠕虫无需用户干预便可运行并传播，而有些则需要用户来执行蠕虫代码才能传播。 蠕虫除复制外还可能会启动一个有效负载。 病毒。 病毒采用的代码目的非常明确：自我复制。 病毒通过将自己附加到主程序上来尝试在计算机之间传播。 它可能会破坏硬件、软件或数据。 当执行主程序时，病毒代码也会运行，从而感染新的主程序，有时还会启动一个额外有效负载。 获利性恶意软件 间谍软件。 这种类型的软件有时也被称作流