知识宝库在此藏，一键关注获宝藏

续上文……

五、恶意代码防范

a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

针对于Linux来说，一种就是购买统一管理的防病毒软件，常见的有EDR、等，免费常见的一般为 clamav（安装步骤这里就略过了）。

查看病毒库版本：freshclam -V  或 clamscan --version

确定病毒库的版本距今不超过1个月，不然就是高风险项。

接着我们可以使用EICAR文件作为测试用例，测试下clamav是否真能扫出病毒来，文件内容如下：

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

##扫描文件

clamscan -r -i /root -l /var/log/clamav.log

EICAR（European Institute for Computer Antivirus Research）是一个非正式的反病毒软件测试标准，旨在测试反病毒软件的检测能力。EICAR测试文件是一个文本文件，其中包含一个字符串，该字符串是一种病毒特征签名。这个特征签名是安全的，不会对系统造成任何危害。

当ClamAV扫描时，它会比对扫描的文件与已知的病毒特征库。如果扫描的文件中出现与EICAR测试文件相匹配的病毒特征签名，ClamAV会将其标记为"Eicar-Signature FOUND"，表示该文件可能是一个EICAR测试文件。

另外，如果要设置ClamAV进行自动扫描并在发现病毒文件后自动删除，可以使用Cron来定期运行`clamscan`命令，并结合一些选项来实现自动删除操作。在Cron文件中添加以下行来设置每日自动扫描：

0 0 * * * /usr/bin/clamscan -r --remove /path/to/scan

这将在每天午夜（00:00）定期执行`clamscan`命令来扫描`/path/to/scan`目录及其子目录。请将`/path/to/scan`替换为实际要扫描的目录路径。

`-r` 选项表示递归扫描子目录。

`--remove` 选项表示在扫描过程中删除任何发现的病毒文件。

现在，ClamAV将会在每天的午夜自动扫描指定目录，并自动删除任何发现的病毒文件。请注意，自动删除病毒文件是一项潜在危险的操作，请确保在设置自动删除之前进行适当的测试和验证。

六、可信验证

a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

可信验证这个条款，目前市面上的主流产品并没有普及。条款要求基于“可信根”对计算机设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，那么这个“可信根”又是什么东西呢。

以下内容仅代表个人观点，如有理解不当请帮忙指出。个人认为就是可信的源头，那么针对于服务器这类的可信，源头是哪里呢？那么肯定是从硬件开始可信，通过 硬件 →内核 → 应用 一步步来实现最终的可信链路。所以一般的情况下就是要有这样的可信硬件产品。可以参考下图，是银河麒麟操作系统多安全策略框架，这样的策略下应该是能实现可信验证了。

总结来说就是要购买可信硬件并部署，通过从硬件开始可信，可能是可信芯片啥的，这个具体没有接触过，细节就不大清楚了。所以如果没有硬件做可信支持的话，那么这条条款肯定是不符合的。

原文始发于微信公众号（等保不好做啊）：等保2.0测评深入理解—Linux操作系统（八）