12.2惡意軟件防范

12.2惡意軟件防范

12.2.1惡意軟件的控制

控制
宜實現檢測、預防和恢復控制以防范惡意軟件，并結合適當的用戶意識教育。
實現指南
防范惡意軟件宜基于惡意軟件檢測和修復軟件、信息安全意識、適當的系統訪問和變更管理控制。宜考慮下列指南：
a) 建立禁止使用未授權軟件的正式策略（見12.6.2、14.2）；
b) 實現控制（如應用程序白名單），以防止或發現未授權軟件的使用；
c) 實現控制（如黑名單），以防止或發現已知或可疑的惡意網站的訪問；
d) 建立防范風險的正式策略，該風險與來自或經由外部網絡或在其他介質上獲得的文件和軟件相關，該策略宜說明需采取的保護措施；
e) 減少可能被惡意軟件利用的脆弱性，如通過技術脆弱性管理（見12.6）；
f) 定期評審支持關鍵業務過程的系統軟件和數據內容；宜正式調查存在的任何未批準的文件或未授權的修改；
g) 作為一項預防控制，或例行程序，宜安裝和定期更新惡意軟件檢測和修復軟件掃描計算機和介質；執行的掃描宜包括：
1) 在使用通過網絡或任何形式的存儲介質得到的文件前，要掃描惡意軟件；
2) 在使用電子郵件附件和下載前，要掃描惡意軟件；該掃描宜在不同的位置進行實施，例如：在電子郵件服務器上、在臺式機上以及在接入組織網絡時；
3) 掃描網頁的惡意軟件；
h) 就系統上惡意軟件的防護，定義規程和責任，并就惡意軟件攻擊，培訓它們的使用、報告和恢復；
i) 為從惡意軟件攻擊中恢復，宜準備適當的業務連續性計劃，包括所有必要的數據和軟件備份以及恢復安排（見12.3）；
j) 實現定期收集信息的規程，例如訂閱郵件列表或驗證提供新惡意軟件的web站點；
k) 實現規程以驗證與惡意軟件相關的信息，并確保報警公告是準確的和有價值的；管理者宜確保可靠的來源（例如，聲譽好的期刊、可信的互聯網站或防范惡意軟件的軟件供應商）被用于區分虛假的和真實的惡意軟件；所有用戶宜了解欺騙問題，以及收到后如何處理；
l) 隔離可能導致災難性影響的環境。
其他信息
使用兩個或多個來自不同供應商的用于防范信息處理環境中惡意軟件的軟件產品，能改進惡意軟件防護的有效性。
宜注意防止在維護和緊急規程期間引入惡意軟件，它們可能繞過正常的惡意軟件防護的控制。
在某些條件下，惡意軟件防護可能干擾運行。