安全计算环境-(三)Windows服务器-5
Windows服务器
控制点
5.
恶意代码防范
恶意代码一般通过两种方式造成破坏,一是通过网络,二是通过主机。网络边界处的恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接后果就是造成网络内的主机感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各种移动存储设备接入主机,也可能使主机感染病毒,然后通过网络感染其他主机。这两种方式是交叉发生的,必须在两处同时进行防范,才能尽可能保证安全。
a)
安全要求:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
要求解读:在Windows操作系统中,木马和蠕虫的泛滥使防范恶意代码的破坏显得尤为重要。应采取避免恶意代码攻击的技术措施或可信验证技术,例如在主机上部署防病毒软件或其他可信验证技术。基于网络和基于主机的防病毒软件在系统内构成立体的防护结构,属于深层防御的一部分。基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同。只有所有主机都及时更新病毒库,才能够防止病毒的入侵。因此,应配置统一的病毒管理策略,统一更新病毒库,定时进行查杀,从而及时发现入侵行为并进行有效的阻断。
检查方法
1.询问管理员,核查病毒库的更新策略。核查系统中安装的防病毒软件,以及病毒库的更新时间是否超过一个星期(应为否)。
2.核查系统采用的可信验证机制,访谈管理员以了解其实现原理等。
3.询问系统管理员,了解网络防病毒软件和主机防病毒软件分别采用何种病毒库。
4.询问系统管理员,了解是否已采用统一的病毒更新策略和查杀策略。
5.询问系统管理员,了解如何发现并有效阻断病毒入侵行为及报警机制等。
期望结果
1.系统中安装了网络版杀毒软件,病毒库为最新版本。
2.系统采用的可信验证机制的实现原理为基于可信根的TPM技术等。
3.网络版防病毒软件和主机防病毒软件具备不同的病毒库,具有异构的特点。
4.防病毒软件为网络版,可统一更新病毒库。
5.有针对病毒入侵行为的电子邮件报警机制。