NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统的进出点包括防火墙、远程访问服务器、工作站、电子邮件服务器、网页服务器、代理服务器、笔记本电脑和移动设备。恶意代码包括病毒、蠕虫、特洛伊木马和间谍软件。恶意代码还可以以各种格式编码，包含在压缩文件或隐藏文件中，或者通过隐写术等技术隐藏在文件中。恶意代码可以通过多种方式被插入系统，包括电子邮件、万维网和便携式存储设备。恶意代码的插入通常是通过利用系统漏洞发生的。目前存在多种技术和方法来限制或消除恶意代码的影响。恶意代码防护机制包括基于特征和非特征的技术。非特征的检测机制包括使用启发式方法的人工智能技术，用于检测、分析并描述恶意代码的特征或行为，并对尚不存在签名或现有签名可能无效的恶意代码提供控制措施。恶意代码如果尚无有效签名或签名可能无效，包括多态恶意代码（即在复制时会改变签名的代码）。非签名机制还包括基于信誉的技术。除了上述技术外，普遍的配置管理、全面的软件完整性控制以及反利用软件可能在防止未经授权的代码执行方面有效。商业现成软件以及定制软件中可能存在恶意代码，可能包括逻辑炸弹、后门以及其他可能影响组织任务和业务功能的攻击类型。在恶意代码无法通过检测方法或技术被发现的情况下，组织依赖其他类型的控制措施，包括安全编码实践、配置管理与控制、可信采购流程以及监控实践，以确保软件不会执行其预期功能以外的操作。组织可能会认定，在检测到恶意代码时，可能需要采取不同的措施。例如，组织可以在定期扫描期间检测到恶意代码、检测到恶意下载或在尝试打开或执行文件时检测到恶意行为时，定义相应的应对措施。