10.4.1 對抗惡意碼的控制措施

網路安全的威脅與攻擊的模式
 
(1)電腦病毒(Virus)的散布：電腦病毒可能會自行複製，或更改應用軟體或系統的可執行元件，或是刪除檔案、更改資料、拒絕提供服務，期常伴隨著電子郵件，藉由文件檔或執行檔的巨集指令來散布，有時不會馬上發作，讓使用者在不知情的情況下幫他散布。
 
(2)阻絕服務(Denial of Service, DoS)：系統或應用程式的存取被中斷或是阻止，讓使用者無法獲得服務，或是造成某些即時系統的延誤或中止。例如利用大量郵件炸彈塞爆企業的郵件伺服器，或藉由許多他人電腦送出http的請求而癱瘓Web Server。
 
(3)後門或特洛伊木馬程式(Trapdoor/Trojan Horse)：未經授權的程式，可以透過合法程式的掩護，而偽裝成經過授權的流程，來執行程式，如此或造成系統程式或應用程式被更換，而執行某些不被察覺的惡意程式，例如回傳重要機密給犯罪者。
 
(4)竊聽(Sniffer)：使用者之識別資料或其他機密資料，在網路傳輸過程中被非法的第三者得知或取得重要的機密資訊。
 
(5)偽裝(Masquerade)：攻擊者假裝是某合法使用者，而獲得使用權限。例如偽裝別人的名義傳送電子郵件，或偽裝官方的網站來騙取只用者的帳號與密碼。
 
(6)資料篡改(Data Manipulation)：儲存或傳輸中的資料，其完整性被毀壞。例如網頁惡意的竄改，或股票下單由10張被改為1000張。
 
(7)否認(Repudiation)：使用者拒絕承認曾使用過某一電腦或網路資，或曾寄出(收到)某一文件。例如價格突然大跌，而否認過去所下的訂單。此項是電子財務交易(Electronic Financial Transaction)及電子契約協定(Electronic Contractual Agreement)的主要威脅。
 
(8)網路釣魚(Phishing)：建立色情網站或者『虛設』、『仿冒』的網路商店，引誘網友線上消費，並輸入信用卡卡號與密碼，以此來輕易獲取網友的機密資料。
 
(9)雙面惡魔(Evil Twins)：為網路釣魚法的另一種方式，指的是一種常出現在機場、旅館、咖啡廳等地方，假裝可提供正當無線網路連結到Internet的應用服務，當使用者不知情登上此網路時，就會被竊取其密碼或信用卡資訊。
 
(10)網址轉嫁連結(Pharming)：犯罪者常侵入ISP的伺服器中修改內部IP的資訊並將其轉接到犯罪者偽造的網站，所以即使使用者建入正確的IP也會透過轉接到犯罪者的網站，而被截取資訊。
 
(11)點擊詐欺(Click Fraud)：許多網路上的廣告歷歷如Google，是靠點及次數來計費(Pay by Click)，但某些不法網站利用軟體程式或大量中毒的殭屍網站(Zomhies)不法的去點及廣告，造成廣告商對這些大量非真正消費者的點擊來付費，或者有的犯罪者故意大量去點擊競爭對手的廣告，讓其增加無謂的廣告費用。
 
(12)Rootkits：一堆能竊取密碼、、監聽網路流量、留下後門並能抹掉入侵系統的相關紀錄以及隱藏自己行蹤的程式集，為木馬程式的一種。如果入侵者在系統中成功直入Rootkits，一般人將很難發現已經被入侵，對於入侵者來說，就能輕易控制系統，而通行無阻。

10.4.1 對抗惡意碼的控制措施

10.4.1 Controls against malicious code

控制

宜實作防範惡意碼的偵測、預防、及復原控制措施與適當之使用者認知程序。

Control

Detection, prevention, and recovery controls to protect against malicious code and appropriate user awareness procedures should be implemented.

實作指引

惡意碼的防範措施宜以惡意碼偵測、安全認知、及適當的系統存取和變更管理控制措施為基礎。宜考慮下列控制措施：

Implementation guidance

Protection against malicious code should be based on malicious code detection and repair software, security awareness, and appropriate system access and change management controls. The following guidance should be considered:

a) 制定正式政策禁止使用未經授權的軟體（參閱15.1.2節）；

a) establishing a formal policy prohibiting the use of unauthorized software (see 15.1.2);

b)  制定正式政策以防範從外部網路或在任何其他儲存媒體上取得檔案和軟體的相關風險，並規定宜採何種防護措施；

b) establishing a formal policy to protect against risks associated with obtaining files and software either from or via external networks, or on any other medium, indicating what protective measures should be taken;

c) 支援重要營運程序的系統軟體與資料內容宜執行定期檢查，若出現任何未核准的檔案或未授權的修改，宜正式調查；

c) conducting regular reviews of the software and data content of systems supporting critical business processes; the presence of any unapproved files or unauthorized amendments should be formally investigated;

d)  安裝並定期更新惡意碼偵測與修復軟體，以便掃瞄電腦和儲存媒體，當作預防控制措施或例行作業；執行的核對宜包括：

d) installation and regular update of malicious code detection and repair software to scan computers and media as a precautionary control, or on a routine basis; the checks carried out should include:

1)   在使用電子或光學媒體上的任何檔案，以及網路上收到的檔案之前，先檢查有無惡意碼；

1) checking any files on electronic or optical media, and files received over networks, for malicious code before use;

2)   使用電子郵件附件和下載檔案前，先檢查有無惡意碼；檢查宜在不同地方執行，例如在電子郵件伺服器、桌上型電腦及進入組織網路時；

2) checking electronic mail attachments and downloads for malicious code before use; this check should be carried out at different places, e.g. at electronic mail servers, desk top computers and when entering the network of the organization;

3)   在網頁上檢查有無惡意碼；

3) checking web pages for malicious code;

e) 定義處理系統上惡意碼的管理程序與責任，訓練如何使用這些程序，惡意碼攻擊之通報以及復原工作（參閱13.1節和13.2節）；

e) defining management procedures and responsibilities to deal with malicious code protection on systems, training in their use, reporting and recovering from malicious code attacks (see 13.1 and 13.2);

f)  準備遭惡意碼攻擊後復原的適切營運持續計畫，包括所有必要的資料軟體備份及復原安排（參閱第14節）；

f) preparing appropriate business continuity plans for recovering from malicious code attacks, including all necessary data and software back-up and recovery arrangements (see clause 14);

g)  實作定期收集資料的程序，例如訂閱提供新惡意碼資訊的郵寄清單，核對提供新惡意碼資訊的網站；

g) implementing procedures to regularly collect information, such as subscribing to mailing lists and/or checking web sites giving information about new malicious code;

h)實作驗證所有與惡意碼相關資訊的程序，以及確保警示公告（warning bulletins）正確有用，管理階層應確保使用合格來源（例如知名的雜誌、可靠的網際網路站台或防範惡意碼的軟體供應商）的資訊，以區分惡作劇和真正的惡意碼；宜讓所有使用者認知惡作劇的問題，以及收到時如何處理。

h) implementing procedures to verify information relating to malicious code, and ensure that warning bulletins are accurate and informative; managers should ensure that qualified sources, e.g. reputable journals, reliable Internet sites or suppliers producing software protecting against malicious code, are used to differentiate between hoaxes and real malicious code; all users should be made aware of the problem of hoaxes and what to do on receipt of them.

其它資訊

在整個資訊處理環境使用來自不同供應商的兩種或更多的防範惡意碼軟體產品，能改進惡意碼防護的有效性。

Other information

The use of two or more software products protecting against malicious code across the information processing environment from different vendors can improve the effectiveness of malicious code protection.

防範惡意碼的軟體能預先安裝以提供自動更新定義檔和掃瞄引擎，確保防護為最新。此外，軟體能安裝在每一桌上電腦以執行自動檢查。

Software to protect against malicious code can be installed to provide automatic updates of definition files and scanning engines to ensure the protection is up to date. In addition, this software can be installed on every desktop to carry out automatic checks.

維護和緊急過程中宜小心防範惡意碼的導入，其過程可能跳過正常的惡意碼防護控制措施。

Care should be taken to protect against the introduction of malicious code during maintenance and emergency procedures, which may bypass normal malicious code protection controls.