病毒事件处理作业流程.docVIP

密级：

文档编号：

项目代号：

病毒事件处理步骤

V1.0

目录

TOC\o1-3\h\z\u1. 概述 4

1.1. 引言 4

1.2. 读者 4

2. 病毒事件处理 4

2.1. 组织架构 5

2.2. 注意关键点 7

2.3. 病毒事件发觉 8

2.4. 处理步骤 10

2.4.1. 保留日志 10

2.4.2. 隔离系统 10

2.4.3. 确定问题 11

2.4.4. 消除病毒或蠕虫 11

2.4.5. 加固系统 12

2.4.6. 恢复到日常状态 12

2.4.7. 公布消息 13

2.4.8. 事后分析和汇报 13

2.4.9. 病毒事件记录表 13

2.4.10. 病毒事件步骤图 15

概述

引言

本文目标是为**技术人员提供一个比较实用病毒事件处理过程。

本文对病毒事件定义是：**环境中任何发觉感染病毒/蠕虫事件，比如：电子邮件系统感染并传输病毒/蠕虫、计算机文档被病毒破坏、服务器遭受恶性蠕虫攻击等。

部分经典病毒事件可能是这么：

计算机病毒实时监控程序汇报系统中有病毒，而且已经清除；

计算机病毒实时监控程序汇报系统中有病毒，不过无法清除；

发觉系统中运行着一个陌生进程而且这个进程占用了大量CPU时间；

病毒事件处理分为五个步骤：保护系统和数据、确定问题根源、控制面、处理问题、系统和数据恢复、事后分析和汇报。

读者

本文档读者包含**IT系统管理人员、设计者、集成商和本项目评审者。

病毒事件处理

计算机病毒是一个程序，一段可实施码。就像生物病毒一样，计算机病毒有独特复制能力。计算机病毒能够很快地蔓延，又常常难以根除。它们能把本身附着在多种类型文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，一些计算机病毒还有其它部分共同特征：一个被污染程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你硬盘驱动或引发了其它类型灾难。若是病毒并不寄生于一个污染程序，它仍然能经过占据存贮空间给你带来麻烦，并降低你计算机全部性能。

能够从不一样角度给出计算机病毒定义。一个定义是经过磁盘、磁带和网络等作为媒介传输扩散，能“传染”其它程序程序。另一个是能够实现本身复制且借助一定载体存在含有潜伏性、传染性和破坏性程序。还有定义是一个人为制造程序，它经过不一样路径潜伏或寄生在存放媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传输，使计算机资源受到不一样程序破坏等等。这些说法在某种意义上借用了生物学病毒概念，计算机病毒同生物病毒所相同之处是能够侵入计算机系统和网络，危害正常工作“病原体”。它能够对计算机系统进行多种破坏，同时能够自我复制，含有传染性。

所以，计算机病毒就是能够经过某种路径潜伏在计算机存放介质（或程序）里，当达成某种条件时即被激活含有对计算机资源进行破坏作用一组程序或指令集合。

即使病毒和蠕虫有很多不一样特点，但二者处理过程除了隔离系统和时间要求不一样之外，其它基础相同。

病毒事件时间紧迫性远弱于蠕虫和黑客事件。蠕虫会自动复制而且在短时间内传染上百台机器，所以处理时间至关关键，假如不能确定事件到底属于那种类型，就根据蠕虫相关过程处理。

组织架构

我们提议**建立以下相关人员组织病毒事件紧急对应架构以下，这么做目标，其一是为了保持和其它紧急事件响应体系兼容共存，其二是为了保持这些紧急响应体系一致性：

IVO–总体防病毒主管（InstallationVirusOfficer）

DVA–部门防病毒管理员（DepartmentVirusAdministrator）

NU-一般职员（NormalUser）

在病毒爆发以前，IT安全组织必需建立全方面病毒爆发/入侵反应程序，她们应该清楚定义每个角色，个人职责，和协作地方。IT组织必需指派一名IVO，作为安全事件响应小组领导。这个主管应该负责建立反病毒程序，对监控和事件反应小组进行培训，处理反病毒事件，并对电子邮件桌面设置和网络浏览器设置提出提议。

防病毒专职负责制度体系结构应该以下：

IVO负责工作应该：

通知已感染文件（此时，这些文件已经传输出去了）“收件人”。

调查在“输出”电子邮件或文件过程中检测到全部病毒“源”，因为这将表明，无法在用户工作站扫描文件或无法使用未扫描软盘或CD-ROM。

请将全部病毒事件和采取方法通知信息主管，以最小化造成损失并预防这类事件再次发生。

问询是否要保留对应程序和防护方法，并合适进行更新。

考虑指定一部特定电话分机作为病毒“热线”，可保留病毒和其它恶意代码汇报/警告，当用户发