2020年18-病毒事件处理流程.docVIP

学 海 无 涯 PAGE 学 海 无 涯 密 级： 文档编号： 项目代号： 病毒事件处理流程 V 1.0  目录 TOC \o 1-3 \h \z \u 概述 引言 本文的目标是为**的技术人员提供一个比较实用的病毒事件处理过程。 本文对病毒事件的定义是：**环境中任何发现感染病毒/蠕虫的事件，例如：电子邮件系统感染并传播病毒/蠕虫、计算机文档被病毒破坏、服务器遭受恶性蠕虫的攻击等。 一些典型的病毒事件可能是这样的： 计算机病毒实时监控程序报告系统中有病毒，并且已经清除； 计算机病毒实时监控程序报告系统中有病毒，但是无法清除； 发现系统中运行着一个陌生的进程而且这个进程占用了大量的CPU时间； 病毒事件的处理分为五个步骤：保护系统和数据、确定问题根源、控制面、解决问题、系统和数据恢复、事后分析和报告。 读者 本文档的读者包括**的IT系统的管理人员、设计者、集成商以及本项目评审者。 病毒事件处理 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制， 具有传染性。 所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里， 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 虽然病毒和蠕虫有很多不同的特点，但二者的处理过程除了隔离系统和时间要求不同之外，其他基本相同。 病毒事件的时间紧迫性远弱于蠕虫和黑客事件。蠕虫会自动复制并且在短时间内传染上百台机器，因此处理时间至关重要，如果不能确定事件究竟属于那种类型，就按照蠕虫的相关过程处理。 组织架构 我们建议的**建立以下相关的人员组织病毒事件紧急相应架构如下，这样做的目的，其一是为了保持与其他紧急事件的响应体系兼容共存，其二是为了保持这些紧急响应体系的一致性： IVO–总体防病毒主管（Installation Virus Officer） DVA–部门防病毒管理员（Department Virus Administrator） NU-普通员工（Normal User） 在病毒爆发以前，IT安全组织必须建立全面的病毒爆发/入侵反应程序，他们应该清楚定义每个角色，个人的职责，以及协作的地方。IT组织必须指派一名IVO，作为安全事件响应小组的领导。这个主管应该负责建立反病毒程序，对监控和事件反应小组进行培训，处理反病毒事件，并对电子邮件桌面设置和网络浏览器设置提出建议。 防病毒专职负责制度体系的结构应该如下： IVO负责的工作应该： 通知已感染文件（此时，这些文件已经传输出去了）的“收件人”。 调查在“输出”电子邮件或文件过程中检测到的所有病毒的“源”，因为这将表明，无法在用户工作站扫描文件或无法使用未扫描的软盘或 CD-ROM。 请将所有病毒事件和采取的措施通知信息主管，以最小化造成的损失并防止此类事件的再次发生。 询问是否要保留相应的程序和防护措施，并适当进行更新。 考虑指定一部特定的电话分机作为病毒“热线”，可保留病毒和其他恶意代码报告/警告，当客户发现病毒，可以通过电话直接告诉IVO，进行及时处理。 准备“病毒事件响应计划”，并将该计划分发给所有的系统用户。 在受到病毒攻击之后，请考虑定期复查关键业务流程所用的软件和文件，以便识别和调查未经授权和/或可疑的更改。 对于杀不掉的病毒，与厂商直接联系，获得最新的杀毒引擎。 协调各个部门的DVA。 对公司的所有服务器进行防病毒的管理和出现病毒的紧急响应。 DVA应该： 从呼叫程序中获得与病毒本身有关的所有详细信息，包括可能的起因、以前发出的警告等。