一、引 言

    在信息系统常遇到的安全事件中，由恶意代码带来的威胁最为常见，且信息系统的应用中众多的途径都可能引入恶意代码给组织带来安全风险。从近年的计算机病毒疫情统计报告中可看出，计算机病毒并没有因为安全技术的部署逐渐完善而消亡，反有愈演愈烈之势。恶意代码，尤其是以窃取机密信息为目的的特洛伊木马类病毒增长极快，是当前摆在信息系统管理者面前的挑战，恶意代码的防范也是等级保护体系中安全建设的重要部分。因此，研究如何在等级保护环境下科学有效部署恶意代码防范体系，对于信息系统的安全建设具有重要的意义。

    二、恶意代码的威胁现状

    1. 大量已部署防病毒系统的组织未能脱离恶意代码带来的困扰

    恶意代码对信息系统的危害已是一个古老的话题，虽然许多单位早已部署了恶意代码防护系统，但恶意代码的威胁并没有因此而远离。为摆脱恶意代码给信息系统带来的安全威胁，人们不断加大人力成本和IT投资，购买更多的恶意代码防范系统，从网段到网端，或摒弃原有的恶意代码防范系统更换新产品。但信息系统管理者却发现，恶意代码仍像达摩克利斯之剑一样悬在信息系统应用之上，随时可给信息系统带来威胁。分析其原因是多方面的，一是在技术方面，很多单位并未能科学的使用恶意代码防护系统，使之难以达到最好效果；二是管理方面的问题导致恶意代码防护系统的部署不够完善，未能做到多层次、多角度的部署防范措施，存在安全短板；或是终端用户的安全意识仍欠缺，经常因为自己的过失引入恶意代码。

    2. 各种安全威胁均与恶意代码有着千丝万缕的联系

    在许多安全事件中，很多安全威胁均与恶意代码有关。例如，垃圾邮件发送者通常会使用恶意代码来完成垃圾邮件群发。近年来，黑客趋向于使用模块化恶意代码来代替传统的攻击方式对信息系统进行攻击。为突破强大的防御手段（如IDS/IPS和防火墙），攻击者采用了更隐秘的攻击技术，最为明显的例子是通过分阶段下载程序的恶意代码，该类恶意代码的威胁手段是在受感染的计算机上下载并安装其它种类的恶意代码，这种方法使攻击者可将可下载的恶意代码根据自己的攻击目的更改为任何其它威胁类型（如构建僵尸网络、垃圾邮件中继、安装流氓软件或窃密用特洛伊木马）。因此，做好恶意代码的防范对于组织的信息系统而言可防范大量的安全威胁。

    3. 逻辑隔离的安全域并不能完全杜绝恶意代码的威胁

    在等级保护环境下，人们通常会根据安全域的划分来对不同等级的安全域部署相应等级的防护措施。但是恶意代码的威胁具有其特殊性，应谨慎的考虑到低级别安全域的信息系统感染恶意代码可能对高级别安全域带来的辐射风险。恶意代码可能导致的安全事故是极为严重的，一个恶意蠕虫甚至可能导致整个信息系统基础架构彻底瘫痪。

    三、等级保护体系中对于恶意代码

    防范的目标与要求

    在等级保护的相关国家标准中，对各级别恶意代码防护都提出了清晰的安全目标与基本要求。简单总结来看，对于恶意代码防范的安全目标基本可概括为：对恶意代码做到检测、阻止和清除，防止恶意代码在网络中扩散，具备对恶意代码库和引擎及时更新的能力。从基本要求来看，对恶意代码的防范提出了技术和管理两方面的基本要求，组织在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的恶意代码防范措施。

    另外在产品采购方面，等级保护的相关文件中规定了产品选型应遵循的原则，组织在等级保护工作实施中应注意遵循相关的产品采购原则，避免IT投资成本不必要的扩大。

    四、等级保护环境下如何科学有效地

    部署恶意代码防范技术

    在等级保护环境下，要做到科学有效的部署恶意代码防范技术，应注意几个要点：

    1. 在等级化风险评估阶段，对于组织的信息系统在应用和数据方面的脆弱性、威胁利用脆弱性产生安全风险的可能性，以及已有的安全控制措施对风险产生的影响情况等方面进行完整的分析。明确威胁源利用脆弱性可造成安全事件的影响程度，当前或规划中的安全措施的有效性，信息系统存在的安全风险等问题。

    2. 在安全建设方案设计阶段，恶意代码防护要做到多层次、多角度的部署。根据信息系统的风险部署完整的防范体系，确保在所有恶意代码入口对恶意代码进行检测、阻止、清除。事实上，很多组织或者机构在部署恶意代码防范系统时并没有做到覆盖全部终端和网络边界，往往只有60%—70%，这实际上难以达到有效防范效果。一个组织如果有1000个终端，70%的部署率意味着还有300个终端是没有得到保护的，如果这300台机器中感染了类似SQL蠕虫王或冲击波这样的病毒将导致整个网络不可用，已经部署恶意代码防范系统的700个终端虽然没有感染病毒，但也已无法正常应用了。一个有效防护的恶意代码防范安全技术部署应覆盖网络边界，内部终端、邮件服务器和内部网络的重要资源。通过集中控制部署的整合的全网防护才可以在恶意代码防范方面满足组织对信息系统安全有效控制的效果。

    3. 为避免低级别安全域的信息系统感染恶意代码可能对高级别安全域带来的辐射风险，一是要注意在逻辑隔离区部署有效的控制手段防止恶意代码通过网络基础架构向高级别安全域扩散；二是为保护IT投资，降低总体管理成本，建议在处于同一网络内的各级别安全域部署统一的高级别要求的恶意代码防范技术，防止低级别安全域中因防范技术不足感染恶意代码后对网络基础架构造成的恶劣影响。

    4. 等级保护是一种建立组织信息安全体系的方法,也是一个持续改进的过程，确立保护策略并实施对于组织的信息系统管理人员来说是长期的工作。在恶意代码防范系统部署之后，信息系统的管理人员应拥有对于恶意代码防范系统的状态监控能力，对于本单位内信息系统感染和清除恶意代码情况的事件了解能力。这样才是一个风险可视、行为可控的有效安全措施。另外，整体保护能力是有威胁对抗能力和恢复能力组成，组织应拥有完备有效的应急响应预案，并与安全产品厂商、服务商保持紧密联系，在出现新的威胁时快速响应，并可以防患于未然。

    5. 从目前防病毒技术的发展来看，防病毒厂家防御已知的病毒都是没有问题的。关键是在出现新的危害大的病毒的时候，能否及时响应提供有效的控制措施。在安全产品采购阶段选择一家具强大服务能力的厂商是避免恶意代码威胁的重要考量原则。总的来说，在产品选型时要综合考虑产品的功能性、保护覆盖范围和应急响应支持能力、解决方案的可管理性，以及产品的合规性、可靠性、兼容性。

    五、结束语

   信息安全等级保护制度是国家信息安全保障工作的基本制度，经过十多年的成长已经成为一个广泛接受的概念。相关的政策规范及配套标准已推出，系统定级工作也已全面开展。通过相关政策规范及配套标准的指导，组织在实施信息安全建设工作时可保证安全建设的合规性与有效性，保障信息系统应用。在恶意代码防范系统建设方面，应采取技术与管理并重策略，以相关政策规范和配套标准为指导的理论依据，以科学有效的技术和管理手段为实施原则，为信息系统建立遵循等级保护思路的恶意代码防范技术。