保护受控未分类信息 Rev 3

恶意代码的插入是通过利用系统漏洞发生的。恶意代码可以通过多种方式插入系统，包括电子邮件、互联网和可移动存储设备。恶意代码包括病毒、蠕虫、木马和间谍软件。恶意代码可以以各种格式编码，包含在压缩文件或隐藏文件中，或使用诸如隐写术等技术隐藏在文件中。恶意代码可能存在于商业现成软件和定制软件中，并可能包括逻辑炸弹、后门以及其他可能影响组织任务和业务功能的攻击类型。对系统的定期扫描以及在下载、打开或执行来自外部来源的文件时的实时扫描，可以检测恶意代码。恶意代码防护机制还可以监控系统的异常或意外行为，并采取适当的措施。恶意代码防护机制包括基于特征码和非特征码的技术。非基于签名的检测机制包括使用启发式方法的人工智能技术，用于检测、分析和描述恶意代码的特征或行为，并对尚不存在签名的代码或现有签名可能无效的代码提供防护措施。恶意代码在尚未存在活动特征码或可能无效的情况下，包括多态恶意代码（即在复制时会改变其特征码的代码）。非特征码检测机制包括基于声誉的技术。全面的配置管理、防利用软件以及软件完整性控制也可能在防止未经授权的代码执行方面有效。如果检测方法或技术无法发现恶意代码，组织可以依靠安全编码实践、配置管理和控制、可信的采购流程以及监控做法，以帮助确保软件仅执行预期功能。组织可能会根据检测到的恶意代码决定采取不同的措施。例如，组织可以定义在扫描过程中检测到恶意代码、恶意下载或在尝试打开或执行文件时出现恶意活动时应采取的措施。