E08　信息保护

　　8.1 Elements of Information Security

　　信息安全的基本要素

　　信息的保密性、完整性和可用性是信息安全的基本要素：

　　保密性：保证敏感信息(包括隐私信息)不被非授权地浏览或截取。

　　完整性：保证信息(如财务报告)的完整和准确。

　　可用性：保证信息随时可用，并能在各种故障或灾难发生后能迅速恢复数据。

　　信息安全是大多数IT控制的基础，它包括数据安全和基础设施安全两个方面。数据安全通过基于角色的访问控制等手段，保证信息不被非授权的用户所访问，并通过日志系统保留用户活动的审计踪迹;安全基础设施则是应用安全的系统基础，包括其主机和服务器系统，通过各种安全软件保证基础系统不被非法侵入。

　　8.2 Malware

　　恶意软件

　　恶意软件统指各种以非法途径访问系统，并以控制、破坏系统或窃取数据为目的的软件。现在以营利为目的的专业恶意软件市场已经形成，并且愈演愈烈。尽管多数恶意软件基于微软的桌面操作系统平台，但针对其它流行系统(如Linux)和服务器平台的恶意软件也在不断增加。

　　病毒软件(virware)是一类恶意软件，包括：

　　病毒(virus)是一段计算机代码，它可自行复制并感染其他计算机执行程序;

　　宏病毒(macro virus)是一种可附着于Word等数据文件的宏程序中的特殊病毒;

　　蠕虫(worms)是一个计算机程序，它通常仅存在于内存中，但可以通过网络快速并大量地将自身复制到其它系统中，从而消耗计算机或网络资源;蠕虫按其传播方式有电子邮件蠕虫、即时通讯(IM)蠕虫和移动设备蠕虫等。

　　特洛伊木马(trojan horse)是一个计算机程序或隐藏于某个应用程序中的一段代码，它从表面上看是正常的程序，但是实际上却隐含着恶意意图。特洛伊木马可能用于窃取密码等敏感信息，也可以用于进一步安装其它恶意软件(如间谍软件)，从而为其编制者长期所用。相对于病毒，木马软件无需自行复制功能，因此更容易开发也更隐蔽，其增长速度也要大大高于其它恶意软件。

　　木马软件的种类繁多，根据目的和行为可分为后门、逻辑炸弹、特洛伊代理、超级用户工具箱等。

　　其它恶意软件和威胁

　　僵尸网络(botnet)：BotNet病毒与木马的使用方式相仿，但木马通常只会攻击特定目标，而BotNet不但会攻击其它电脑，而且它具有“虫”的特性，会慢慢在网络空间中“爬行”，一遇到有漏洞的电脑主机，就会自行展开攻击。

　　垃圾部件工具(spamtool)：收集(教材此处的“手机”是错别字)电子邮件地址以用于发送垃圾邮件。

　　键盘跟踪软件(keylogger)：跟踪并分析用户的击键行为，从中获取其感兴趣的信息(如网上银行的登录密码)。

　　拨号器(dialer)：自动拨打900等高收费电话号码。

　　广告软件(ADware)：不断产生弹出式广告窗口。

　　间谍软件(spyware)：收集用户机器的各种软硬件和配置信息，以用于商业或其它目的。

　　拒绝服务攻击(DOD)：通过超大量地发送消息或服务请求，将某个站点的网络或系统资源消耗殆尽，使其彻底瘫痪或无法提供正常服务。这是网络恐怖主义者最常用也最难防范的攻击手段。

　　网络钓鱼(phishing)：伪装成一个合法正规的网站，并通过各种方式(如建立虚假链接、大量发送带有诱惑性的电子邮件)，引诱其客户前来登录，从而骗取其用户ID和口令。

　　网址嫁接(Pharming)：和phishing相仿，也是伪装一个合法正规的网站，但通过篡改DNS服务器直接将其使用者导引到伪造的网站上。

　　双面恶魔(evil twin)是一个自制的无线接入点(热点)，伪装成合法的接入点在终端用户不知情的情况下收集个人或企业信息。

　　尾随(piggybacking)：通常指物理上尾随某个合法人员进入受控区域，有时也指趁某个已登录用户暂离现场时，利用其身份逻辑访问网络。

　　8.3 How to Prevent Malwares and Computer Crimes

　　防范恶意软件和计算机犯罪

　　通过合理地维护和配置系统可以增强系统的健壮性和免疫能力，如：

　　及时下载并安装操作系统和应用系统的补丁包。

　　在系统运行时关闭管理员特权。

　　限制特权代码的使用。

　　只从经过验证或指定的网站下载。

　　启用高安全级别，阻断各种恶意软件的进入渠道。

　　通过直接输入URL地址来访问网站，如不要点击电子邮件中的链接。

　　加密敏感信息或离线保存。

　　建立多层次的病毒防范体系。有两种预防及侦测病毒感染的方法，其一是建立规范、严谨的管理策略与程序;其二是采用技术方法，如防病毒软件。

　　预防和侦测病毒的管理控制策略包括：

　　安装正版软件。

　　凡未在单机中扫毒的软件(无论是否正版)不允许在网络环境中使用。

　　确保在工作站、主机和服务器中均已安装杀毒软件。

　　随时更新病毒特征库。

　　备份数据也需要经过杀毒程序，以确保备份的有效性。

　　教育用户遵守公司的策略及程序。

　　至少每年审核一次防毒策略与程序。

　　防病毒软件的功能通常包括：扫描、动态监控、完整性检查、行为阻断，此外，防病毒软件应具有预防控制的功能。应定期更新病毒特征库，否则防病毒软件将无法有效防止病毒。但即使拥有最新的病毒特征库，也不能保证查杀所有病毒，因此不能过于依赖防病毒软件。