对于计算机病毒风险的防范方法可以分为三种:技术控制方法、管理控制方法和运行控制方法。所谓技术控制方法就是,采用技术手段进行计算机病毒的防范,比如购买并部属网络防病毒系统、网络病毒传播监控系统等。但是技术并不能解决一切问题,通过对另外两种非技术性的控制手段进行分析,本文可以帮助用户更好地实现一个有效的防病毒体系。
管理控制
管理控制主要是依照企业的防毒目标制定相关的安全策略、方针和实施标准,这些规章制度将指导防毒技术控制和运行控制的执行,最终实现降低病毒风险、保护信息资产的目的。
在实际环境中,每个企业的环境、面临的病毒风险、防毒要求都不一样,因此,管理控制应是结合企业的实际情况建立的符合自身特点的病毒防范制度。这需要上层管理者的直接参与,保证管理控制能够符合企业的目标并能够得到很好的执行,另一方面,在大型、复杂的信息系统中,一般需要依靠一批专职的安全管理员,或者专业的安全服务提供商来协助完成这部分工作。
关于管理控制的内容,因为当前网络面临的威胁来自方方面面,因此,企业的安全策略也是全局考虑、系统规划的,包括物理环境安全、入侵防范、病毒防范等各方面,我们认为,与病毒防范相关的管理控制一般应包括以下几个方面的内容:
● 建立防毒安全控制的职责和责任:保证有专门的防病毒小组与成员,可以不专设岗位但必须确保有人对计算机病毒风险负责。对相关的人员明确授权,详细定义描述每个成员在防毒体系中的安全角色、安全职责、安全责任、安全授权。
● 防毒安全规划:这是为了减少病毒风险最终实现企业目标而建立的系统安全规划。参与规划的人员应包括企业高层管理人员、安全负责人、防毒负责人,同时也应该包括关键业务部门的负责人,共同商讨明确要保护的信息资产、存在的病毒风险,并在成本效益的原则下制订出企业的防毒目标和体系。
● 防毒安全策略:是在防毒安全规划的指导下,对整体目标和规划的进一步细化。
● 安全教育和培训:为使企业的防毒策略能得到有效的贯彻和实施,要对所有人员的防毒安全意识、培训和教育进行管理。要使每个人对企业所采取的防病毒控制机制能够理解并使用,具有防毒意识,在具体实施防毒技术时,对不同的人员还应提供不同的教育与培训。
● 持续性运行、维护与支持(应急响应):包括维护和管理日志,进行定期的安全控制检查,以确保防毒的控制策略是有效的;不间断地采用风险管理方法,评估病毒风险的变化,以决定是否要调整企业防毒策略;制定紧急事件的响应措施,事件发生时采取的步骤,根据企业的实际情况如资产的重要性,将结合更多的安全控制手段,如备份恢复系统。
运行控制
运行控制对日常的操作步骤流程进行定义,防止、纠正操作中的不规范行为。比如,口令蠕虫病毒会利用系统口令的薄弱点进行口令猜测,然后进行木马植入和扩散。这种病毒的防范方法就需要依靠管理型的控制方法应对。运行控制既包括对普通用户的使用规范,同时也对相关安全人员的操作进行定义。因此,在监视安全策略实施、保证企业防病毒策略能够合理的执行和贯彻上,运行控制扮演了重要的角色。
运行控制要结合企业的具体情况,要符合、满足总体的防病毒安全策略的要求,并根据已经采用的技术控制手段(如是否在全网内部署了网络防病毒软件、是否有病毒传播检测系统),清晰地定义、规范执行的步骤和方法,如:
● 防病毒软件使用规则:为了使企业部署的防病毒软件能更有效的发挥作用而必须遵守的规定,如打开实时病毒监视器、定时进行特征码升级、日志检查等。
● 用户口令规则:口令规则是防病毒以及应对各种安全威胁都很重要的一方面,通过强制实施保证用户使用强度高的口令,如:
● 规定口令的最大长度和最小长度;
● 禁止使用用户名、某些特定词做口令;
● 规定口令的组成,如至少几个字母、几个数字、几个特殊字符等;
● 口令的使用周期,多长时间用户必须改变口令;
● 口令的历史,在多长时间内口令不能重复,新旧口令之间必须有多大差别等;
● 计算机使用规定:这是与企业实际情况密切相关的计算机使用说明,比如对普通用户规定不能随便将外来的软件引入内部系统,不能随意卸载防毒软件,对安全维护人员规定对用户的技术支持、日志的维护和定期查看等;
● 网络访问规定:使用内部网络连接互联网、外部网络或者远程访问企业的计算资源时应遵守的规范,如:不得在没有授权的情况下安装拨号调制解调器,如需在家访问企业的网络,必须在家里的PC上安装防病毒软件并实施相应的扫描策略等。
