在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基础上给出如下进一步指 行脆弱性防范时应综合考虑以下内容

补丁管理宜做到以下几点： a）从官方渠道获取补丁； b）评估补丁对系统的影响，在安全隔离的环境（对其他设施或系统不造成影响的环境）测试补丁， 并记录补丁的评估和决策过程； c 及时测试新补丁并对漏洞进行修复，确认软件漏洞没有对应补丁的情况下，宜利用其他的脆弱 性缓解技术或安全防御技术来预防恶意软件事件的发生； d 测试补丁的可利用性时，满足补丁对组织中每一个易受攻击的系统都有效，特别是远程系统 （例如远程办公系统等）

2018标准规范范本GB/T 406522021

5.5.3最小特权原则

使用最小特权原则宜做到以下几点： a）对组织内的信息系统优先利用最小特权原则； 对组织内的服务器、网络设备、应用程序等，进行用户分级管理，对不同级别的用户赋予满足需 求的最低权限，

5.5.4其他预防措施

除了利用安全软件等预防恶意软件，组织宜用如下措施加强预防： a）卸载/禁用与业务无关的服务或端口，如445端口等； b 删除不安全的文件共享； C 删除或者更改操作系统和应用程序的默认用户名和密码； d) 使用网络服务之前对使用者进行身份验证； 通过修改操作系统配置项，禁止自动运行二进制文件和脚本程序，关闭自动播放策略

在 GB/T 20985.1 2017的5.2f)和GB/T20985.2一2020的6.4a)基础上给出如下进一步指南 恶意软件防范措施时应综合考虑以下内容

5.6.2安全软件部署和管理

防病毒软件时，防病毒软件宜提供以下保护功能

组织内部署防病毒软件时，防病毒软件宜提供以下保护功能：

GB/T 406522021

a）扫描系统的关键组件，例如启动文件和引导记录等； b）自动对外部存储设备（如移动硬盘、USB盘等）和电子邮件附件进行扫描； c）实时检查系统中的可疑活动，例如扫描所有电子邮件附件防止已知病毒通过电子邮件传播； ）监测常见的应用程序，例如浏览器、文件传输程序以及即时通讯软件的行为； e）防病毒软件能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的活动； ）定期扫描所有硬盘驱动器，以便确认系统是否受感染；支持选择性地扫描其他存储设备，可以 按需求对外部存储设备执行手动扫描； g）检测恶意软件，包括病毒、螨虫、木马、勒索软件、间谍软件等； h）清理注册表、恶意锁定主页等被恶意软件修改的启动选项； 隔离可对象； 定时自动更新病毒库； K 监测在系统启动时自动加载的进程和程序

6.6.4恶意软件专杀工具

恶意软件专杀工具宜具备以下功能： a）对特定的恶意软件目标，能够快速识别和定位，缓解恶意软件影响，从系统中根除恶意软件； D 定期扫描文件，内存和配置文件等，检测可能存在的特定恶意软件； 针对某些传播速度快、容易多次感染的恶意软件（例如USB盘病毒、勒索病毒等）提供免疫 功能； d 针对某些对操作系统功能造成破坏（例如映像劫持、安全模式禁用、任务管理器禁用、注册表管 理器禁用、桌面菜单右键显示损坏、命令行工具禁用、无法修改浏览器主页、显示文件夹选项禁 用等）的恶意软件，提供修复功能； e 针对某些感染文件造成文件损坏的恶意软件，提供修复文件功能

5.6.5终端安全软件

终端安全软件能限制主机出人网络的活动，既能阻止主机受感染文能阻止主机向外传播恶意软件。 置终端安全软件时宜做到以下几点： a）为预防恶意软件事件，基于主机的防火墙对流入的数据采用默认拒绝规则，推荐组织结合实际 情况对流出的数据采用默认拒绝规则； b 开启阻止网页浏览器弹出窗口、抑制服务器缓存文件（Cookies)以及识别网页和电子邮件中的 潜在信息泄漏等功能； 注：Cookies是指服务器发给客户端，并保存在客户端中的小型文本文件。 c）正确配置终端安全软件，能实时更新最新的病毒特征库和软件模块； d）为预防网络蠕虫和其他威胁，可以通过终端安全软件来保护可直接访问网络的系统

5.6.6应用程序设置

GB/T 406522021

5.6.7区域边界防病毒设备

组织宜在网络区域边界部署网络防火墙或IDS、IPS。配置网络防火墙或IPS时宜做到以下几点： 基于网络流量识别已知和未知恶意攻击，提供网络流量过滤功能，阻止异常流量的入侵； b 有效监测出攻击应用程序（如电子邮件服务器、网络服务器）的恶意活动； C 识别蠕虫活动和其他形式的恶意软件，以及像后门和电子邮件生成器这样的攻击； d 开启默认拦截功能，但在特定条件下，设置允许使用或禁止使用拦截功能； e） 为预防恶意软件事件，设置默认拒绝规则集，拒绝任何没有被允许进出的数据通过； 为降低蠕虫的传播速度，考虑对外部系统（例如远程办公的家用系统、商业合作伙伴系统）的网 络制定限制措施； 8 网络防火墙对进人和流出的数据包进行过滤，并确保每一条规则有效，定期审查网络防火墙控 制访问列表，删除无效规则； h 应配置网络地址转换功能，将内部网络的私有地址映射成连接到互联网中的一个或多个公共 地址，有利于阻止端虫攻击组织内部主机； 1 发生防病毒软件和人侵防御系统不能监测的重大恶意软件事件时，更改防火墙规则以阻止基 于网络服务的恶意软件扩散； 阻止木马等恶意软件访问外部主机IP地址

GB/T20985.1—2017的5.3和GB/T20985.2—2020的6.4b）、6.5、6.6、6.9中的指南适用。并且 恶意软件事件发现特定的指南适用

6.2恶意软件事件发现

在GB/T20985.1一2017的5.3c）基础上给出如下进一步指南。提前发现恶意软件事件的途径 如下。 a） 恶意软件预警公告。防病毒软件提供商和其他安全相关组织发布的有关新的重大恶意软件或 威胁情报预警的公告。 b 安全设备告警。恶意软件的运行会导致防病毒软件等安全设备产生相关告警，这些告警意味 着可能会发生恶意软件事件。 针对常见恶意软件，表2列出了恶意软件事件最有可能的迹象。获得管理员权限的恶意软件的迹 象没有在表2中列出

GB/T 406522021

等，并避免该移动存储设备被恶意软件感染。 e） 一且事件处理人员检测了数据源，确定相关威胁的特性后，处理人员在防病毒服务提供商的恶 意软件数据库中寻找这些特性，并以此确定具体是哪种恶意软件。可以参考的恶意软件特性 如下： 1）被攻击的服务和端口； 2） 被利用的漏洞； 3） 邮件主题、附件名称、附件大小、主体内容； 4 可能会受影响的操作系统、设备、应用程序等； 5） 恶意软件如何感染系统（例如通过漏洞、错误的配置）； 恶意软件如何影响被感染的系统，包括被感染文件的名称和位置、被更改的配置、被安装 后门的端口等； 7）恶意软件如何传播以及如何遇制； 如何从系统中清除该恶意软件。 f） 当新的安全威胁没有出现在恶意软件数据库中时，事件处理人员参考其他信息来源以尽快做 出响应。

GB/T20985.1—2017的5.4和GB/T20985.2 2020的6.4c)中的指南适用。制定评估和决策 寸应考虑其中内容，

GB/T20985.1一2017的5.5和GB/T20985.2一2020的6.4d)中的指南适用。并且，以下恶意软 件事件响应计划、恶意软件事件遏制、识别被感染主机、恶意软件根除、恶意软件事件溯源和系统恢复特 定的指南适用。

制定恶意软件事件响应计划时宜考虑如下因素： a 恶意软件如何进人系统，以及使用何种传输机制； b） 全面评估恶意软件事件的传播范围，以及带来的影响和损失； C） 通过分析得到的其他结论，如恶意软件的来源； d） 服务对象的业务和重点决策过程； e 服务对象的业务连续性； f 确定受害系统的范围后，将被害系统和正常的系统进行隔离，断开或暂时关闭被攻击的系统； 8） 确定恶意软件类型（例如病毒、蠕虫和特洛伊木马）； h） 确定恶意软件的隐藏位置； 1 持续监视系统和网络活动，记录异常流量的远程IP、域名、端口； 如果恶意软件事件没有被退制，预判在接下来的儿分钟、儿小时、儿天内的被感染情况

8.3恶意软件事件遏制

退制恶意软件常用技术见附录B，通过工具软件退制恶意软件事件，宜结合以下措施：

GB/T 406522021

a）需停止或删除系统非正常账号、隐藏账号并更改口令，加强口令的安全级别； b）挂起或结束未被授权的可疑的应用程序或进程； c）关闭存在的非法服务和不必要的服务； 删除系统各用户“启动”目录下未授权的自启动程序； e）使用命令行管理工具或第三方工具停止所有开放的共享服务； f）使用防病毒软件或其他安全工具检查文件，扫描硬盘上所有的文件，隔离或清除病毒、木马、蠕 虫和后门等恶意软件文件； g）在相关法律规定范围内设置陷阱，如蜜罐系统或者反击攻击者的系统； h）通过防病毒软件等自动检测并退制； 通过配置实现拒绝接收具有某些特性的邮件或附件，阻断恶意软件通过邮件传播； 根据恶意软件的特性，通过防火墙、IPS或终端安全软件遏制恶意软件； k）暂时关闭恶意软件使用的服务来遏制恶意软件，清除恶意软件后再恢复服务； 1）无法使用关闭服务进行遏制的恶意软件，可在对恶意软件的特征进行分析后，通过重新配置网 络把被感染主机从网络中断开； m）事件处理人员无法遏制恶意软件时，宜及时与专业部门联系并获得支持

常规识别被感染主机时宜结合以下工具或数据。 a）恶意软件查杀工具。如防病毒软件、恶意软件专杀工具、终端安全软件等。 b 网络设备日志。防火墙、路由器和其他过滤设备，它们记录了网络连接活动。 c）攻击特征收集路由器（例如Sinkhole路由器）数据，它记录了所有的网络流量 注：Sinkhole路由器是通过特殊配置后，专门用来记录攻击流量特征的特殊路由器。 d）应用程序服务器日志。如电子邮件和HTTP服务器等。 e）网络取证工具。如网络取证分析工具和数据包嗅探器

主动识别恶意软件宜使用如下方法。 a）通过编写本地脚本识别一些恶意软件。 D） 自定义防火墙、IPS或IDS特征。制定一个自定义的防火墙、IPS或者IDS特征，可以有效检 测恶意软件。 包喉探器。配置包膜探器并寻找特定恶意软件威胁对应的数据包，可以有效识别被感染主机 d）漏洞评估软件。用来识别主机漏洞的软件也可以检测一些已知的恶意软件。 e）主机扫描器。如果某个恶意软件在被感染主机中安装后门，这些后门程序在运行时会使用某 个特定端口，使用主机扫描器就可以有效识别被感染主机。 ）其他扫描器。除了主机扫描器外，一些特殊的配置或者大小特定的系统文件都可能暗示主机 被感染。

手动识别恶意软件宜考虑如下因素。 a）主机多系统使得识别被感染主机非常困难。一些主机可以启动多个操作系统或者使用虚推

GB/T 406522021

b）漏洞未修复可能会影响准确识别被感染主机，由于系统存在没有修复的漏洞时，可能会再次 感染。 C 一些恶意软件会删除其他恶意软件的痕迹，这将导致部分或全部恶意软件没有被检测到。 d）在大规模恶意软件事件发生时，利用准备阶段的资产清单，识别被感染的主机，制定有效遏制 方案。 e） 没有集中管理的环境下，借助网络设备来定位被感染主机。当怀疑主机被感染时，可将其从网 络中断开，然后等待该用户报告断网。 f 先处理确定被感染的主机，对不能确定是否感染的主机，采取事先商定的措施处理 名 向用户提供恶意软件相关信息和工具，如被感染的迹象、防病毒软件、操作系统或应用程序补 丁、扫描工具，让用户自已判断是否被感染。 h） 无法识别被感染主机，不能彻底解决恶意软件事件时，向安全服务公司寻求帮助

8.5.1典型根除措施

根除恶意软件宜考虑如下措施。 a）清理系统中存在木马、病毒、恶意代码程序。 b） 恢复被黑客套改的系统配置，删除黑客创建的后门账号。 C 删除异常系统服务、清理异常进程 d）根除恶意软件后，修复系统缺陷，关闭危险服务（如文件共享等）。 如果恶意软件无法彻底根除，则重新安装操作系统、应用程序、从已知安全备份中恢复数据， f 部分感染会在数天、数周、数月内重复发生。事件处理人员需要周期性地进行识别工作，以继 续寻找被感染的系统，并确保根除工作的成功实施。 名 应急服务提供者使用可信的工具进行安全事件的根除处理，不得使用受害系统已有的不可信 的文件和工具。 h）根除后门等恶意软件时，需要了解攻击者人侵的方法，制定封堵策略，以防止被二次人侵感染。 改变全部可能受到攻击的系统账号和口令，并增加口令的安全级别。 增强防护功能。复查所有防护措施的配置，比如安装最新的防火墙和防病毒软件，并及时更 新，对未受保护或者保护不够的系统增加新的防护措施

8.5.2Rootkit 根除

根除Rootkit时宜注意以下儿点： a）对感染Rootkit或者极有可能感染Rootkit的系统，通过重新安装和配置操作系统及应用程序 实现根除； b）一个或多个攻击者得到系统管理员级别访问权限，考虑可能感染Rootkit； 任何人都可以通过一个后门得到非授权管理员级别访问权限，利用蠕虫或其他方式创建不安 全共享，可按感染Rootkit进行处理； 系统文件被特洛伊木马、后门、Rootkit、攻击工具等替换，按感染Rootkit进行处理； e 使用防病毒软件、恶意软件专杀工具完成根除工作后，系统不稳定或者运行出现异常，按感染 Rootkit进行处理

8.6恶意软件事件溯源

恶意软件事件跟踪溯源时宜注意以下几点：

a）当检测到恶意软件攻击事件时，需记录攻击源IP、攻击发生的时间、恶意软件类型、被攻击的 目标、攻击导致的影响，并向上级部门报告； D） 通过协议分析工具进行网络流量分析，查找疑似的恶意软件命令控制服务器，然后对命令控制 服务器作进一步的探测； C 在本机使用诸如进程查看工具等相关主机行为监测分析工具，结合系统日志等信息，获取恶意 软件产生的攻击痕迹； d）如果获得恶意软件样本，可通过静态分析、动态调试等方法，或在沙箱中对恶意软件样本进行 分析，获取恶意软件可能使用的域名、IP地址、通信端口等信息，以及其攻击方式和执行流程， 并进一步探测其攻击源头 将上述恶意软件相关信息，结合威胁情报、知识库等信息，实现恶意软件事件的追踪溯源

系统恢复时宜注意以下几点： a）感染恶意软件后，如果操作系统功能正常，用防病毒软件根除恶意软件； b）对于破坏性强的恶意软件，造成系统数据文件或驱动程序被删除，处理这些事件时先重建系统 或从一个完好的备份中恢复系统，随后采取一些安全措施以保证系统不会再次感染； C 事件响应小组考虑可能遇到的最坏情况，并考虑这些情况下如何恢复系统，确定谁执行恢复工 作，估计所要花费的时间，决定恢复活动的先后顺序： d）恶意软件根除后，取消遏制措施，如果无法确定取消遏制措施后是否会被再次感染，宜继续执 行遏制措施，直到威胁解除为止

GB/T20985.1一2017的5.6和GB/T20985.2一2020的6.4e）、第12章中的指南适用。并且，以下 恶意软件特定的指南适用， 恶意软件事件处理完毕后，结合网络流量、系统日志、Web日志记录、应用日志、数据库日志以及安 全产品数据，调查造成安全事件的原因，确定安全事件的威胁和破坏的严重程度。根据整个事件的情况 撰写恶意软件事件应急响应报告，文档中阐述整个安全事件的现象、处理过程、处理结果、事件原因，并 给出相应的安全建议。最后根据事件的处理过程总结经验。 a 改进安全策略。例如，以.scr结尾的邮件附件常被用来传播恶意软件，通过更改安全策略阻止 这类邮件就可以预防系统被再次感染 b 提高用户安全认知，更新安全认知培训内容，使用户能够正确报告事件并协助处理事件 ） 更改操作系统或应用程序的设置，以支持新的安全策略 d 部署新的检测系统或软件。如果原有的系统或软件无法有效防御恶意软件事件，则可以考虑 更新对应的检测系统或软件， e 重新配置恶意软件的检测系统或软件。检测系统或软件可能需要按照不同方式重新配置 例如： 1）加快软件和特征库的更新速度； 2） 改进检测的准确性（如更少的误报和漏报）； 3）增加监控的范围（如监控额外的传输机制监控额外的文件和系统文件）； 4）根据检测到的恶意软件改变自动执行活动

GB/T 406522021

附录A （资料性） 恶意软件事件处理场景

恶意软件引发的安全事件日渐增多，恶意软件可导致组织的信息系统运行异常、数据去失和隐私泄 漏等安全问题，对信息系统安全造成严重威胁。恶意软件事件处理的实践是提高恶意软件事件应急处 理能力和发现潜在问题的有效方式。在这些实践活动中，恶意软件事件响应小组的成员将会了解恶意 款件事件的基本情况，在面对一些相关的问题时，小组将会讨论出现的情况并给出最理想的解决方案。 这样做的目的是明确处理人员在现实中遇到同样的问题时的处理方法，并且与推荐的策略进行比较，以 查明其是否有缺点和不足。如下所列出的问题几乎适用于所有恶意软件事件处理情况，每种情况附有 相对应的问题，组织宜在应急处理实践中考虑这些问题

A.2场景所对应的问题

场景所对应的问题如下： a）准备/预防： 为了防止这种情况的发生和减小它的影响，采取了什么措施？ b）检测和分析： 这种恶意事件有哪些前兆呢？如果有的话，组织能检测到吗？哪种前兆将促使组织 预防措施？ 组织能检测到哪种前兆？哪种前兆将导致人们认为恶意软件事件可能已经发生了？ 应急处理小组怎么样分析和验证这类事件？ 组织把这类事件向谁汇报呢？ 事件响应小组如何确立处理这类事件的优先顺序？ C）遇制，清除和恢复： 处理小组采取什么样的策略来遏制这类事件？这种策略比其他策略好在哪里？ 如果这类事件不进行遏制将出现什么情况？ d）事后的工作： 哪些成员要参加这次的事件的经验教训会议？ 为防止此类事件再次发生需要做什么？ 为提高检测此类事件的能力需要做什么？ e）一般性问题： 有多少事件响应小组成员将参与处理此事件？ 除了事件响应小组外，在组织内还有什么团体或者个人将参与处理此事件？ 小组将把事件报告给哪一外部参与方？每份报告什么时候出？每份报告将怎么做？ 在处理此事件时小组便用什么工具和资源？ 事件发生在不同日期和时间，处理的方式有何不同？ 如果事件发生在不同物理地点，处理方式有何不同？

A.3.1案例1:蠕虫和DDoS代理入侵

例1:蠕虫和DDoS代理

在一个星期二早晨，一种新螨虫被公布在互联网上。蠕虫利用两周前公开发布的MicrosoftWin lows漏洞，并且相关补丁已经发布。蜻虫通过两种方式传播：a)通过电子邮件将自身发送到能找到的 受感染主机的所有地址；b)找寻打开文件共享的主机并发送自身到该主机。端虫为它发送的每份副本 三成不同的附件名；每个附件随机生成文件名，文件名使用的是超过十几个文件扩展名中的其中一个。 特虫也会从超过100个的电子邮件主题中去选择并找寻类似数量的电子邮件主体。当螨虫感染主机 寸，它会获得管理权并尝试使用文件传输协议从不同IP地址下载DDoS代理（提供代理的IP地址数量 未知的）。虽然防病毒软件供应商会很快发出对这种端虫的告警，但在任何供应商发布特征库之前它 专播非常迅速。在蠕虫开始传播后三小时，在防病毒特征库可用之前，组织已经被广泛感染。 下面是为此案例设置的附加问题： a） 事件响应小组如何识别所有受感染主机？ 在病毒特征库发布之前组织如何去防止端虫进人组织？ C 在病毒特征库发布之前组织如何去防止蠕虫由受感染主机传播？ d） 组织将会给所有易受攻击的机器打补丁吗？该怎么做？ e） 如果已经受到DDoS攻击的受感染主机在第二天早晨被配置去攻击另一组织的网站，将怎样 去应对这一事件的变化？ 事件响应小组将怎样让用户知道事件的状态？如果因为蠕虫而使电子邮件服务超负荷或者不 能用该怎么办？ 如果有的话，小组将使用什么其他措施去照看目前没有连接到网络的主机（比如旅途中的员 工、偶尔拨号的外部雇员）？

A.3.2案例2.外部DDoS攻击

在一个星期日晚上，组织的网络入侵检测系统检测到大量ping包，并发出可疑外部DDoS告警。 虽然事件处理人员不能确定这个告警是否正确，但他们确认此告警不和任何已知的误报相匹配。因为 ODoS活动使用欺骗性的源IP地址，所以确定组织内哪一台或者哪些主机在进行此项活动需要花费相 当多的时间和精力；与此同时，DDoS活动仍在继续。调查结果显示，7台服务器大概率生成DDoS 通讯。 下面是此案例的附加问题： a）小组将怎样确认组织内哪台主机在产生此通讯量？其他哪一小组可以协助事件响应小组？ b）在确认产生此通讯量的服务器后，小组将怎样推断出是否服务器受到恶意软件感染？

A3.3案例3：远程办公安全

在一个星期六晚上，网络人侵检测软件记录到了一些来自内部的探测和扫描。一些服务器的主机 人侵检测软件也记录了一些探测与扫描。入侵检测分析师断定这些内部IP属于这个组织的VPN服 务器，并且联系了事件响应小组。事件响应小组查看了入侵检测记录、防火墙、VPN服务器日志，并确 定了发动攻击的外部IP地址，被授权的用户ID和相应的用户名。 下面是此案例的附加问题： a）假设该用户的个人电脑已经被下载的游戏中包含的木马所感染。这将怎样影响事件的处

GB/T 406522021

理呢？ b）假设该用户的个人电脑已经被一个网络服务蠕虫所感染。这将怎样影响事件的处理呢？

设该用户的个人电脑已经被一个网络服务虫所感染。这将怎样影响事件的处理呢

A.3.4案例4:应用程序崩溃

在一个星期一上午，该组织的咨询服务部门收到三个用户的求助，他们的电子表格应用程序在使用 过程中反复崩溃。接下来，更多其他用户也反映了类似的问题。大部分的用户属于同一组或相关的组 下面是此案例的附加问题： a）什么恶意软件导致了电子表格应用程序的崩溃？ b）为了确定崩溃是恶意软件引起的需要采取哪些步骤？

A.3.5案例5.恶意移动代码

在一个星期五下午，几名用户联系咨询服务部门，报告陌生的弹出式窗口以及在其网络浏览器中出 的陌生工具栏。这些用户的描述很相似，因此咨询服务部门代理商认为，用户的系统被同样的东西影 响，而且最可能的原因是基于Web的恶意移动代码。 下面是此案例的附加问题 a）事件响应小组如何确定什么漏洞或配置导致这种恶意代码感染系统？ b）事件响应小组如何确定这些恶意移动代码来自哪些网站？

A.3.6案例6.混合恶意软件攻击

某组织采用了一个新的即时通讯平台后不久，其使用者就受到广泛的恶意软件的攻击，此恶意软件 是通过使用即时消息来传播的。从安全管理员的初步报告来看，攻击似乎是由蠕虫引起的。然而后来 的报告表明这种攻击也涉及Web服务器和Web客户端。即时通讯和基于网络的攻击看起来与蠕虫有 关，因为它们显示相同的信息给使用者。 下面是此案例的附加问题： a）由于恶意软件更像是一个混合型的攻击，那么与处理蠕虫不同，需要采取什么样的响应措 施呢？

A.3.7案例7:物联网恶意软件攻击

某互联网公司安全研究团队发现攻击者利用恶意软件VPNFilter感染了全球54个国家的超过 0万台设备，品牌包括占据全球通信设备市场份额排名前几位的多家知名企业。攻击者通过被感染的 路由器，向网络注人恶意负载，甚至能悄悄修改网站发送的内容。 下面是此案例的附加问题： a）IoT设备爆出新的漏洞，事件响应小组应采取什么措施？ b）遇到类似事件，如何应对？

A.3.8案例8：通过云计算平台传播勒索软件

客户不经意通过云计算平台传播了勒索软件，招聘人员通过电子邮件接收到的简历文件感染了勒

索病毒，但该文件随后被转移到自动与云计算平台同步的文件夹，该文件通过云转发到组织内其他用 当。在该简历文件被用户打开后，勒索软件会执行并加密每个设备或系统。它不只是感染最初的用户。 还会快速蔓延到其他连接到云同步服务的用户和终端。导致用户的大量主机、服务器被加密、业务系统 难痪。 下面是此案例的附加问题： a）遇到类似事件，事件响应小组应采取什么措施？ b）如何阻止恶意软件进入云服务？ C）如何阻止恶意软件在云计算平台内无限制地传播而进入云服务？

A.3.9案例9:勒索软件的处理

2018年2月，某三甲医院遭遇勒索病毒攻击，全院所有的医疗系统均无法正常使用，正常就医秩序 受到严重影响；同年8月，某半导体制造公司的三处重要生产基地，均因勒索病毒人侵导致生产停摆。 此案例的附加问题为：当业务系统出现无法访问、生产线停产等现象时，是否能100%确定是服务 器感染了勒索病毒？

GB/T40652—2021

附录B （资料性） 遇制恶意软件常用技术 本附录总结了各种能有效遏制恶意软件事件的常用技术，提供了每种技术在应对不同类型恶意软 件和攻击工具时的效果。为了便于描述，表B.1将各种环境分为两大类（可控环境和不可控环境），将各 种威胁分为两大类（简单和复杂）。 a）可控环境。指一个或多个关键群体可以控制整个组织内的服务器和工作站的操作系统以及应 用程序配置。这使得在最初部署系统和提供支持、维护时，能够有效实施安全措施，并且使得 组织内部能够保持一个持续的安全态势。 D 不可控环境。指系统所有者和用户只能控制各自的系统，通常使用的是管理员权限。尽管系 统最初可能使用组织的标准配置，但系统所有者和用户可以更改该配置，这将减弱其安全性。 简单威胁。简单威胁只拥有几个简单的特征。例如，某个大规模邮件虫只是使用固定的主 题并且附件名只有三个固定的名称，那么这个虫就是一个简单的威胁。如果一个后门只使 用一个固定端口号并且只和固定IP地址通信，这个后门也算是一个简单威胁。 d）复杂威胁。复杂威胁可能有成百上千种特征；有些复杂的威胁甚至会随即产生一些特征。例 如，某大规模邮件端虫使用50个主题和50个文件名，并随机产生发送者地址、邮件内容和附 件大小。还有一个例子是恶意移动代码，该代码从一个巨大的列表中选择IP地址并下载其负 载。比起简单威胁，复杂威胁通常更难遏制。表B.1提供的是在可控环境中处理简单威胁的 向导

表B.1不同环境下遏制技术的效果对比

表B.1不同环境下遏制技术的效果对比（续）

GB/T40652—2021

表B.1不同环境下遏制技术的效果对比（续）

表B.2和表B.3总结了表B.1的信息机电标准规范范本，指出了可控环境下，每种技术针对简单威胁（表B.2 威胁（表B.3)的效率。H表示高效率；M表示效率一般；L表示低效率

表B.2和表B.3总结了表B.1的信息，指出了可控环境下，每种技术针对简单威胁（表B.2)和复杂 威胁（表B.3)的效率。H表示高效率；M表示效率一般；L表示低效率

表B.2可控环境下对简单威胁的遏制效率

表B.2可控环境下对简单威胁的遏制效率（续）

表B.3可控环境下对复杂威胁的遏制效率

计算机标准GB/T40652—2021

表B.3可控环境下对复杂威胁的遏制效率（续

GB/T 406522021