在信息系统常遇到的安全事件中，由恶意代码带来的威胁最为常见，且信息系统的应用中众多的途径都可能引入恶意代码给组织带来安全风险。从近年的计算机病毒疫情统计报告中可看出，计算机病毒并没有因为安全技术的部署逐渐完善而消亡，反有愈演愈烈之势。恶意代码，尤其是以窃取机密信息为目的的特洛伊木马类病毒增长极快，是当前摆在信息系统管理者面前的挑战，恶意代码的防范也是等级保护体系中安全建设的重要部分。因此，研究如何在等级保护环境下科学有效部署恶意代码防范体系，对于信息系统的安全建设具有重要的意义。

      二、恶意代码的威胁现状

      1. 大量已部署防病毒系统的组织未能脱离恶意代码带来的困扰

      恶意代码对信息系统的危害已是一个古老的话题，虽然许多单位早已部署了恶意代码防护系统，但恶意代码的威胁并没有因此而远离。为摆脱恶意代码给信息系统带来的安全威胁，人们不断加大人力成本和IT投资，购买更多的恶意代码防范系统，从网段到网端，或摒弃原有的恶意代码防范系统更换新产品。但信息系统管理者却发现，恶意代码仍像达摩克利斯之剑一样悬在信息系统应用之上，随时可给信息系统带来威胁。分析其原因是多方面的，一是在技术方面，很多单位并未能科学的使用恶意代码防护系统，使之难以达到最好效果；二是管理方面的问题导致恶意代码防护系统的部署不够完善，未能做到多层次、多角度的部署防范措施，存在安全短板；或是终端用户的安全意识仍欠缺，经常因为自己的过失引入恶意代码。

      2. 各种安全威胁均与恶意代码有着千丝万缕的联系

      在许多安全事件中，很多安全威胁均与恶意代码有关。例如，垃圾邮件发送者通常会使用恶意代码来完成垃圾邮件群发。近年来，黑客趋向于使用模块化恶意代码来代替传统的攻击方式对信息系统进行攻击。为突破强大的防御手段（如IDS/IPS和防火墙），攻击者采用了更隐秘的攻击技术，最为明显的例子是通过分阶段下载程序的恶意代码，该类恶意代码的威胁手段是在受感染的计算机上下载并安装其它种类的恶意代码，这种方法使攻击者可将可下载的恶意代码根据自己的攻击目的更改为任何其它威胁类型（如构建僵尸网络、垃圾邮件中继、安装流氓软件或窃密用特洛伊木马）。因此，做好恶意代码的防范对于组织的信息系统而言可防范大量的安全威胁。

      3. 逻辑隔离的安全域并不能完全杜绝恶意代码的威胁

      在等级保护环境下，人们通常会根据安全域的划分来对不同等级的安全域部署相应等级的防护措施。但是恶意代码的威胁具有其特殊性，应谨慎的考虑到低级别安全域的信息系统感染恶意代码可能对高级别安全域带来的辐射风险。恶意代码可能导致的安全事故是极为严重的，一个恶意蠕虫甚至可能导致整个信息系统基础架构彻底瘫痪。

三、等级保护体系中对于恶意代码

      防范的目标与要求

      在等级保护的相关国家标准中，对各级别恶意代码防护都提出了清晰的安全目标与基本要求。简单总结来看，对于恶意代码防范的安全目标基本可概括为：对恶意代码做到检测、阻止和清除，防止恶意代码在网络中扩散，具备对恶意代码库和引擎及时更新的能力。从基本要求来看，对恶意代码的防范提出了技术和管理两方面的基本要求，组织在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的恶意代码防范措施。

      另外在产品采购方面，等级保护的相关文件中规定了产品选型应遵循的原则，组织在等级保护工作实施中应注意遵循相关的产品采购原则，避免IT投资成本不必要的扩大。