如何預防惡意代碼的攻擊

惡意代碼的預防包括增強安全防范策略與意識、減少漏洞和減輕威脅3個方面的措施。增強安全防范策略與意識是解決惡意軟件預防并實施預防性控制的基礎，也是減少由于人為錯誤導致事故的關鍵。減少漏洞數量將減少一些可能的攻擊。實施綜合的威脅減輕技術和工具，例如防病毒軟件和防火墻，可以防止威脅攻擊系統和網絡。

1. 增強安全策略與意識

   常用的惡意軟件預防策略主要包括：在使用來自外部的移動介質前，需要進行安全掃描；打開電子郵件文件附件前應進行掃描；禁止通過電子郵件發送或接收特定類型的文件（例如.exe文件）；限制或禁止不必要軟件的使用，包括易于感染或傳播惡意代碼的即時消息軟件、端到端文件共享服務、可能包含安全漏洞的不需要的服務等；限制用戶對管理員權限的使用，有助于控制由用戶引入至系統中的惡意軟件可使用的特權；限制移動介質的使用（例如軟盤、CD、USB閃存盤），特別是在處于高感染風險的系統中；指定在每種類型的系統（例如文件服務器、電子郵件服務器、代理服務器和工作站）和應用（例如電子郵件、Web）上所需的安全防護軟件，如防病毒軟件、間諜軟件檢測和刪除工具等，并列出軟件維護的更新頻率、系統掃描范圍和頻率等方面的要求；只使用組織機構批準的、安全的機制訪問外部網絡。

   使用時應當具備的安全意識主要包括：不要打開來自于未知或已知發送者的可疑的電子郵件或電子郵件附件；不要單擊可疑的Web瀏覽器彈出窗口；不要訪問可能包含惡意內容的網站；不要打開可能同惡意軟件相關的.bat、.com、.exe、.pif、.vbs等文件擴展名的文件；不要禁止防病毒軟件、惡意軟件檢測和刪除工具、個人防火墻等附加的安全控制機制和軟件；不要使用管理員賬號用于日常系統操作；不要從不可信來源下載或執行應用程序。

2. 減少漏洞

   安裝補丁和主機加固是減少漏洞的主要方法。對系統應用打補丁是減輕操作系統和應用中已知漏洞的最通用的方法，補丁安裝時應注意的主要問題詳見8.2.2節。主機加固包括以下常用措施：減少不安全的文件共享，以降低感染惡意代碼的風險；禁止或刪除不需要的服務，以防止這些服務中可能包含的漏洞；從操作系統和應用中刪除或修改缺省的用戶ID和口令，以降低被惡意軟件利用以獲得對系統的非授權訪問的可能；在允許訪問網絡服務前進行身份認證。

3. 減輕威脅

   減輕威脅包括使用防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統、防火墻、路由器、應用設置，以及各種針對特定惡意代碼的防護技術等。

   防病毒軟件是減輕惡意軟件威脅最常使用的技術控制措施。間諜軟件檢測和刪除工具用于標識系統中的間諜軟件，并且檢疫隔離和去除這些間諜軟件文件。入侵檢測/入侵防御系統、防火墻和路由器等也能及時發現并阻止一些惡意軟件的破壞活動。很多惡意軟件利用了常見應用的功能。在缺省情況下，應用配置更偏向功能而不是安全，應加強應用安全的設置，包括Web客戶端和服務器、電子郵件客戶端和服務器、Office等辦公軟件等。

   阻斷惡意代碼的任意操作，使其無法執行，也是防止惡意代碼危害的一種技術方法。惡意代碼進入系統并實施攻擊需要進行一系列操作。例如，利用系統漏洞進行緩沖區溢出、執行代碼指令、寫入配置文件、修改注冊表等，這些操作必須全部完成，惡意代碼才能駐留在系統中。如果其中個別操作無法完成，惡意代碼就不可能破壞目標系統。又如，利用移動存儲進行傳播的惡意代碼是借助了Windows系統默認的自動播放功能，惡意代碼需要向移動存儲介質中寫入配置文件autorun.inf，如果預先在移動存儲介質中生成了autorun.inf文件，且其權限為只讀，那么惡意代碼就無法再寫入autorun.inf，從而起到預防的作用。

   此外，惡意代碼為避免重復傳播，其自身存在一種主動中止的機制，以保護運行環境的安全。惡意代碼會在已經被感染的系統中設置相應的標記，在感染目標系統前，惡意代碼會檢測其是否已存在標記。如果發現目標系統存在標記，就主動中止傳播。利用該機制，可以在系統中設置感染標記，以達到預防的目的。由于設置標記需要針對某種特定的惡意代碼，因此，這種方法只能預防特定病毒，難以普遍使用。

回答所涉及的環境：聯想天逸510S、Windows 10。