标准规范下载简介
GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南.pdfGB/T 406522021
d)通过组织安全管理部门的批准,方可访问其他网络(包括互联网); e) 对防火墙宜进行统一管理、监测和审计; f) 对终端设备设置BIOS口令; 及时备份重要数据和文件,备份系统与原系统隔离; h)保存资产清单,以便及时了解需要保护的内容并对其进行漏洞评估
湖南长沙市某厂房钢结构工程施工组织设计在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基础上给出如下进一步指 行脆弱性防范时应综合考虑以下内容
GB/T 406522021
5.5.3最小特权原则
使用最小特权原则宜做到以下几点: a)对组织内的信息系统优先利用最小特权原则; 对组织内的服务器、网络设备、应用程序等,进行用户分级管理,对不同级别的用户赋予满足需 求的最低权限,
5.5.4其他预防措施
除了利用安全软件等预防恶意软件,组织宜用如下措施加强预防: a)卸载/禁用与业务无关的服务或端口,如445端口等; b 删除不安全的文件共享; C 删除或者更改操作系统和应用程序的默认用户名和密码; d) 使用网络服务之前对使用者进行身份验证; 通过修改操作系统配置项,禁止自动运行二进制文件和脚本程序,关闭自动播放策略
在 GB/T 20985.1 2017的5.2f)和GB/T20985.2一2020的6.4a)基础上给出如下进一步指南 恶意软件防范措施时应综合考虑以下内容
5.6.2安全软件部署和管理
防病毒软件时,防病毒软件宜提供以下保护功能
组织内部署防病毒软件时,防病毒软件宜提供以下保护功能:
GB/T 406522021
6.6.4恶意软件专杀工具
恶意软件专杀工具宜具备以下功能: a)对特定的恶意软件目标,能够快速识别和定位,缓解恶意软件影响,从系统中根除恶意软件; D 定期扫描文件,内存和配置文件等,检测可能存在的特定恶意软件; 针对某些传播速度快、容易多次感染的恶意软件(例如USB盘病毒、勒索病毒等)提供免疫 功能; d 针对某些对操作系统功能造成破坏(例如映像劫持、安全模式禁用、任务管理器禁用、注册表管 理器禁用、桌面菜单右键显示损坏、命令行工具禁用、无法修改浏览器主页、显示文件夹选项禁 用等)的恶意软件,提供修复功能; e 针对某些感染文件造成文件损坏的恶意软件,提供修复文件功能
5.6.5终端安全软件
5.6.6应用程序设置
GB/T 406522021
5.6.7区域边界防病毒设备
GB/T 406522021
GB/T20985.1—2017的5.4和GB/T20985.2 2020的6.4c)中的指南适用。制定评估和决策 寸应考虑其中内容,
GB/T 406522021
主动识别恶意软件宜使用如下方法。 a)通过编写本地脚本识别一些恶意软件。 D) 自定义防火墙、IPS或IDS特征。制定一个自定义的防火墙、IPS或者IDS特征,可以有效检 测恶意软件。 包喉探器。配置包膜探器并寻找特定恶意软件威胁对应的数据包,可以有效识别被感染主机 d)漏洞评估软件。用来识别主机漏洞的软件也可以检测一些已知的恶意软件。 e)主机扫描器。如果某个恶意软件在被感染主机中安装后门,这些后门程序在运行时会使用某 个特定端口,使用主机扫描器就可以有效识别被感染主机。 )其他扫描器。除了主机扫描器外,一些特殊的配置或者大小特定的系统文件都可能暗示主机 被感染。
手动识别恶意软件宜考虑如下因素。 a)主机多系统使得识别被感染主机非常困难。一些主机可以启动多个操作系统或者使用虚推
GB/T 406522021
8.5.1典型根除措施
8.5.2Rootkit 根除
根除Rootkit时宜注意以下儿点: a)对感染Rootkit或者极有可能感染Rootkit的系统,通过重新安装和配置操作系统及应用程序 实现根除; b)一个或多个攻击者得到系统管理员级别访问权限,考虑可能感染Rootkit; 任何人都可以通过一个后门得到非授权管理员级别访问权限,利用蠕虫或其他方式创建不安 全共享,可按感染Rootkit进行处理; 系统文件被特洛伊木马、后门、Rootkit、攻击工具等替换,按感染Rootkit进行处理; e 使用防病毒软件、恶意软件专杀工具完成根除工作后,系统不稳定或者运行出现异常,按感染 Rootkit进行处理
GB/T 406522021
A.2场景所对应的问题
A.3.1案例1:蠕虫和DDoS代理入侵
例1:蠕虫和DDoS代理
A.3.2案例2.外部DDoS攻击
A3.3案例3:远程办公安全
GB/T 406522021
A.3.4案例4:应用程序崩溃
在一个星期一上午,该组织的咨询服务部门收到三个用户的求助,他们的电子表格应用程序在使用 过程中反复崩溃。接下来,更多其他用户也反映了类似的问题。大部分的用户属于同一组或相关的组 下面是此案例的附加问题: a)什么恶意软件导致了电子表格应用程序的崩溃? b)为了确定崩溃是恶意软件引起的需要采取哪些步骤?
A.3.5案例5.恶意移动代码
A.3.6案例6.混合恶意软件攻击
某组织采用了一个新的即时通讯平台后不久,其使用者就受到广泛的恶意软件的攻击,此恶意软件 是通过使用即时消息来传播的。从安全管理员的初步报告来看,攻击似乎是由蠕虫引起的。然而后来 的报告表明这种攻击也涉及Web服务器和Web客户端。即时通讯和基于网络的攻击看起来与蠕虫有 关,因为它们显示相同的信息给使用者。 下面是此案例的附加问题: a)由于恶意软件更像是一个混合型的攻击,那么与处理蠕虫不同,需要采取什么样的响应措 施呢?
A.3.7案例7:物联网恶意软件攻击
A.3.8案例8:通过云计算平台传播勒索软件
A.3.9案例9:勒索软件的处理
2018年2月,某三甲医院遭遇勒索病毒攻击,全院所有的医疗系统均无法正常使用,正常就医秩序 受到严重影响;同年8月,某半导体制造公司的三处重要生产基地,均因勒索病毒人侵导致生产停摆。 此案例的附加问题为:当业务系统出现无法访问、生产线停产等现象时,是否能100%确定是服务 器感染了勒索病毒?
GB/T40652—2021
表B.1不同环境下遏制技术的效果对比
表B.1不同环境下遏制技术的效果对比(续)
GB/T40652—2021
表B.1不同环境下遏制技术的效果对比(续)
表B.2和表B.3总结了表B.1的信息,指出了可控环境下,每种技术针对简单威胁(表B.2 威胁(表B.3)的效率。H表示高效率;M表示效率一般;L表示低效率
表B.2和表B.3总结了表B.1的信息,指出了可控环境下起重吊装专项施工方案,每种技术针对简单威胁(表B.2)和复杂 威胁(表B.3)的效率。H表示高效率;M表示效率一般;L表示低效率
表B.2可控环境下对简单威胁的遏制效率
表B.2可控环境下对简单威胁的遏制效率(续)
表B.3可控环境下对复杂威胁的遏制效率
GB/T40652—2021
某厂区强夯施工组织设计-secret表B.3可控环境下对复杂威胁的遏制效率(续
GB/T 406522021