一、内网安全面如何预防恶意代码攻击

    目前，恶意代码种类繁多，千变万化，没有一个统一的分类标准。恶意代码给内网安全造成了严重威胁。恶意代码主要是指故意执行危害信息安全的恶意任务的代码，他们一般潜伏在受害计算机系统中，实施破坏或窃取信息等不良活动，并应用或尝试以各种方式侵入计算机或网络系统，干扰或阻碍系统的正常工作，甚至对重要信息进行泄露和篡改。

    为了更好地认识其“庐山真面目”根据恶意代码的定义，恶意代码主要包括计算机病毒、网络蠕虫、逻辑炸弹、特洛伊木马、漏洞利用、下载器、玩笑程序、流氓软件、恶意网页代码等。

    计算机病毒都是一种计算机程序代码，它递归地复制自己或其演化体。病毒感染宿主文件或者某个系统区域，或仅仅是修改这些对象的引用，来获得控制权并不断地繁殖来产生新的病毒体。

    漏洞利用代码针对某一特定漏洞或一组漏洞，它的目的是在系统上自动运行某一程序，或者提供对目标系统的某种其他形式的更高级别的访问权限。

    恶意代码可以说是一种广义上的病毒，但是它又不同于传统意义上的病毒，恶意网页代码不具有传染性，但是它具有极强的破坏性与欺骗性。

    面对恶意代码的攻击，该如何预防呢？ 使用反病毒软件：反病毒软件对于防止病毒的侵袭和减少病毒的损害是非常必要的。单位或组织中的所有电脑都应安装反病毒软件，并且及时升级以防止对新的病毒失去防护作用。 

    阻塞可疑文件： 通过设置邮件服务器和客户端来阻塞带有可疑附件的邮件，例如附件的扩展名与恶意代码有关联，或是带有复合扩展名的可以邮件。 限制使用不必要的具有传输能力的文件：例如点对点传输文件、音乐共享文件、实时通信文件和IRC的客户端及服务器端的软件和程序。

    安全处理邮件附件：一般反病毒软件应该被设置成在打开邮件附件之前对附件进行扫描，用户也应该注意不要轻易打开可疑文件的或是来历不明的附件。用户还应该注意的是，并不是你知道出处的邮件就一定是没有病毒的。

    因为一些病毒可以自动从系统中搜索邮件地址并利用发信者的账号发送带毒邮件，而发信者可能此刻还不知情。 

    避免开放网络共享：许多病毒都是通过主机上运行的不安全的共享文件来传播的。如果一个组织或单位的某台计算机被感染，那么它可以通过不安全的网络共享把病毒迅速传播到组织内的成百上千的计算机中去。所有，一般组织或单位应该定期检查自己网络中开放的共享，并知道用户安全的使用共享。

二、做好访问验证保护级保护内网安全

    访问监控器本身是抗篡改的，必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那么对实施内网安全策略来说并非必要的代码；在设计和实现时，从系统工程的角度将其复杂性降低到最小程度。

    支持内网安全管理员职能；扩散审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。做好访问验证保护级，有利于保护内网安全。访问验证保护级，主要包括以下方面：

   (1)自主访问控制 

    自主访问控制机制可以根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许有授权用户指定对客体的访问权。

   (2)客体重用

    在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的访问权时，当前主体不能获得原主体活动所产生的任何信息。

   (3)身份鉴别

    计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据，鉴别用户身份，阻止非授权用户访问用户身份鉴别数据。

   (4)数据完整性

    计算机信息系统可信计算基通过通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确认信在传送中未受损。