GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南
Information security technology – Guide to malware incident prevention and handling
主要内容
主要内容包括恶意软件事件的预防和处理两个方面:
- 恶意软件事件的预防2:
- 安全策略制定:组织应制定全面的恶意软件防范策略,明确各部门和人员在恶意软件预防中的职责和权限,策略应根据组织的业务需求、信息资产的重要性以及面临的威胁环境不断调整和完善。
- 人员培训与教育:对组织内的员工进行定期的安全培训,提高他们对恶意软件的认识和防范意识,包括恶意软件的传播方式、危害、识别方法以及安全的上网和使用移动设备的习惯等。例如,培训员工不随意点击来路不明的链接、不下载和安装未经授权的软件等。
- 系统和软件管理:
- 确保操作系统、应用程序和防病毒软件等及时更新,以修复已知的安全漏洞,降低被恶意软件利用的风险。
- 对网络中的软件和系统进行统一管理,限制用户安装未经许可的软件,防止恶意软件通过非正规渠道进入系统。
- 网络安全防护:
- 部署防火墙、入侵检测系统、入侵防御系统等网络安全设备,对网络流量进行监控和过滤,阻止恶意软件的入侵和传播。
- 划分网络区域,将敏感信息系统与外部网络隔离,限制外部网络对内部系统的访问权限。
- 数据备份与恢复:定期对重要数据进行备份,并将备份数据存储在安全的位置,以便在遭受恶意软件攻击后能够快速恢复数据,降低数据丢失的风险。
- 恶意软件事件的处理:
- 事件监测与发现:建立有效的恶意软件监测机制,通过部署恶意软件检测工具、分析系统日志等方式,及时发现恶意软件事件。一旦发现可疑行为,如系统性能异常下降、文件被篡改、网络流量异常等,应立即进行进一步的调查和分析2。
- 事件评估与分类:对发现的恶意软件事件进行评估,确定事件的严重程度和影响范围,根据评估结果将事件进行分类,以便采取相应的处理措施。例如,对于影响范围较小、危害较轻的事件,可以采取自行处理的方式;对于影响范围较大、危害严重的事件,则需要及时报告相关部门,并寻求专业的帮助。
- 事件响应与处理:
- 隔离受感染的系统和设备,防止恶意软件进一步传播和扩散。
- 使用专业的恶意软件清除工具对受感染的系统进行清理,恢复系统的正常运行2。
- 对事件发生的原因进行分析,总结经验教训,制定改进措施,防止类似事件的再次发生。
- 事件报告与沟通:按照组织内部的规定和相关法律法规的要求,及时向上级领导、相关部门和监管机构报告恶意软件事件,报告内容应包括事件的发生时间、地点、影响范围、处理过程等。同时,与相关方保持沟通,及时通报事件的处理进展情况。
术语和定义
1 恶意软件 malware
被专门设计用来损害或破坏系统,对保密性、完整性或可用性进行攻击的软件。
注:病毒和木马是恶意软件的例子
2 恶意软件事件 malware incident
由恶意软件引起,并造成保密性、完整性或可用性破坏的信息安全事件。
3 防病毒软件 antivirus software
监控主机和网络的程序,通过恶意软件的特征、白名单和异常行为等检测恶意软件,并能识别和清除恶意软件。
注:防病毒软件又称为反病毒软件、杀毒软件。
4 病毒 virus
在计算机程序中插人破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指令或程序代码。
5 勒索软件 ransomeware
采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并借此向用户索取赎金的恶意软件。
6 后门 backdoor
可以绕过系统的权限管理机制,接收并执行来自特定端口请求的恶意软件。
7 恶意移动代码 malicious mobile code
带有恶意意图并能够通过远程主机传播到本地主机,无需用户主动触发就可以在本地自动执行的代码。
8 间谍软件 spyware
从计算机窃取用户隐私或保密信息的恶意软件。
注:信息可能包括最频繁访问的网站或密码之类的更敏感信息的事项。
9 Rootkit 恶意软件 rootkit malware
隐藏在目标系统内部,能够以内核态或用户态权限运行,并对系统功能调用请求进行拦截和篡改,以及秘密收集目标系统信息的恶意软件。
10 默认拒绝 deny by default
防火墙或路由器的配置项,除了明确允许通过的网络数据外,在默认情况下拒绝/他所有网络数据。
11 事件响应小组 incident response team;IRT
由组织中具备适当技能且可信的成员组成的团队,负责在事件生存周其中处理事件。
注:IRT 通常被称为 CERT(计算机应急响应小组)和 CSIRT(计算机安全事件响应小组)。
暂无评论内容