7.7.1　基本准则

7.7.1　基本准则

从恶意代码对抗的角度来看,其防治策略必须具备下列准则。

(1)拒绝访问能力

来历不明的软件是恶意代码的重要载体。各种不明来历的软件,尤其是通过网络传送过来的软件,不得进入计算机系统。

(2)检测能力

恶意代码总是有机会进入系统,因此,系统中应设置检测恶意代码的机制来阻止外来恶意代码的侵犯。除了检测已知的恶意代码外,检测未知恶意代码(包括已知行为模式的未知恶意代码和未知行为模式的未知恶意代码)也是一个衡量恶意代码检测能力的重要指标。

(3)控制传播的能力

恶意代码防治的历史证明,迄今还没有一种方法能检测出所有的恶意代码,更没有一种方法能检测出所有未知恶意代码,因此,被恶意代码感染将是一个必然事件。关键是,一旦恶意代码进入系统,应该具有阻止恶意代码在系统中到处传播的能力和手段。因此,一个健全的信息系统必须要有控制恶意代码传播的能力。

(4)清除能力

如果恶意代码突破了系统的防护,即使它的传播受到了控制,但也要有相应的措施将它清除掉。对于已知恶意代码,可以使用专用恶意代码清除软件。对于未知类恶意代码,在发现后使用软件工具对它进行分析,尽快编写出清除软件。当然,如果有后备文件,也可使用它直接覆盖被感染文件。

(5)恢复能力

“在恶意代码被清除以前,就已经破坏了系统中的数据”,这是非常可怕但是又非常可能发生的事件。因此,信息系统应提供一种高效的方法来恢复这些数据,使数据损失尽量减到最少。

(6)替代操作

当发生问题时,手头没有可用的技术来解决问题,但是任务又必须继续执行下去。为了解决这种窘况,系统应该提供一种替代操作方案:在系统未恢复前用替代系统工作,等问题解决以后再转换回来。