7.3　恶意代码防范思路

从恶意代码防范的历史和未来趋势来看,要成功防范越来越多的恶意代码,使用户免受恶意代码侵扰,需要从以下5个层次开展:检测、清除、预防、数据备份及恢复、防范策略。

(1)恶意代码的检测技术是指通过一定的技术手段判定恶意代码的一种技术。这也是传统计算机病毒、木马病毒、蠕虫病毒等恶意代码检测技术中最常用、最有效的技术之一。其典型的代表方法是特征码扫描法。另外对于移动端来说,商品上架之前对应用进行静态和动态检查,是必要的检测手段。

(2)恶意代码的消除技术是恶意代码检测技术发展的必然结果,是恶意代码传染过程的一种逆过程。也就是说,只有详细掌握了恶意代码感染过程的每一个细节,才能确定清除该恶意代码的方法。值得注意的是,随着恶意代码技术的发展,并不是每个恶意代码都能够被详细分析,因此也并不是所有恶意代码都能够成功清除。正是基于这个原因,数据备份和恢复才显得尤为重要。

(3)恶意代码的预防技术是指通过一定的技术手段防止计算机恶意代码对系统进行传染和破坏,实际上它是一种预先的特征判定技术。具体来说,恶意代码的预防是通过阻止计算机恶意代码进入系统或阻止恶意代码对磁盘的操作,尤其是写操作,以达到保护系统的目的。恶意代码的预防技术主要包括磁盘引导保护、加密可执行程序、读写控制技术和系统监控技术、系统加固技术(如打补丁)等。在蠕虫病毒泛滥的今天,系统加固方法越来越重要,处于不可替代的地位。不同系统、不同硬件的预防技术会有不同,如针对移动智能终端,需要在用户正式使用应用之前,进行权限检查,以减少被恶意代码袭击的可能性。

(4)数据备份及恢复是在清除技术无法满足需要的情况下而不得不采用的一种防范技术。随着恶意代码攻击技术越来越复杂,以及恶意代码数量的爆炸性增长,清除技术遇到了发展瓶颈。数据备份及数据恢复的思路是:一方面,在检测出某个文件被感染了恶意代码后,不去试图清除其中的恶意代码使其恢复正常,而是用事先备份的正常文件覆盖被感染后的文件;另一方面,在检测出系统或硬盘等被恶意代码感染后,直接清空硬盘或者系统,然后将已备份的数据重新导入,如通信录、聊天记录、应用数据等,也是数据备份和恢复的一种思路。数据备份及数据恢复中的数据的含义是多方面的,既指用户的数据文件,也指系统程序、关键数据(注册表)、常用应用程序等。“三分技术、七分管理、十二分数据"的说法成为现代企业信息化管理的标志性注释。这充分说明,信息、知识等数据资源已经成为继土地和资本之后最重要的财富来源。

(5)病虫害防治需要指定一定的策略,对抗恶意代码也需要有一定的方法策略,恶意代码的防范策略是管理手段,而不是技术手段。ISO 17799是关于信息安全管理体系的详细标准,它表达了一个思想,即信息安全是一个复杂的系统工程。在这个系统工程中,不能仅仅依靠技术或管理的任何一方。“三分技术,七分管理"已经成为信息安全领域的共识。在恶意代码防范领域,防范策略同样重要。一套好的管理制度和策略应该以单位实际情况为主要依据,能及时反映单位实际情况变化,具有良好的可操作性,由科学的管理条款组成。