病毒事件处理流程Word格式.docx

1、计算机病毒实时监控程序报告系统中有病毒，但是无法清除；发现系统中运行着一个陌生的进程而且这个进程占用了大量的CPU时间；病毒事件的处理分为五个步骤：保护系统和数据、确定问题根源、控制面、解决问题、系统和数据恢复、事后分析和报告。3. 读者本文档的读者包括*的IT系统的管理人员、设计者、集成商以及本项目评审者。4. 病毒事件处理计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些

2、共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的

3、资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制， 具有传染性。所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里， 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。虽然病毒和蠕虫有很多不同的特点，但二者的处理过程除了隔离系统和时间要求不同之外，其他基本相同。病毒事件的时间紧迫性远弱于蠕虫和黑客事件。蠕虫会自动复制并且在短时间内传染上百台机器，因此处理时间至关重要，如果不能确定事件究竟属于那种类

4、型，就按照蠕虫的相关过程处理。5. 组织架构我们建议的*建立以下相关的人员组织病毒事件紧急相应架构如下，这样做的目的，其一是为了保持与其他紧急事件的响应体系兼容共存，其二是为了保持这些紧急响应体系的一致性：IVO总体防病毒主管（Installation Virus Officer）DVA部门防病毒管理员（Department Virus Administrator）NU-普通员工（Normal User）在病毒爆发以前，IT安全组织必须建立全面的病毒爆发/入侵反应程序，他们应该清楚定义每个角色，个人的职责，以及协作的地方。IT组织必须指派一名IVO，作为安全事件响应小组的领导。这个主管应该负责

5、建立反病毒程序，对监控和事件反应小组进行培训，处理反病毒事件，并对电子邮件桌面设置和网络浏览器设置提出建议。防病毒专职负责制度体系的结构应该如下：1 IVO负责的工作应该： 通知已感染文件（此时，这些文件已经传输出去了）的“收件人”。 调查在“输出”电子邮件或文件过程中检测到的所有病毒的“源”，因为这将表明，无法在用户工作站扫描文件或无法使用未扫描的软盘或 CD-ROM。 请将所有病毒事件和采取的措施通知信息主管，以最小化造成的损失并防止此类事件的再次发生。 询问是否要保留相应的程序和防护措施，并适当进行更新。 考虑指定一部特定的电话分机作为病毒“热线”，可保留病毒和其他恶意代码报告/警告，当

6、客户发现病毒，可以通过电话直接告诉IVO，进行及时处理。 准备“病毒事件响应计划”，并将该计划分发给所有的系统用户。 在受到病毒攻击之后，请考虑定期复查关键业务流程所用的软件和文件，以便识别和调查XX和/或可疑的更改。 对于杀不掉的病毒，与厂商直接联系，获得最新的杀毒引擎。 协调各个部门的DVA。 对公司的所有服务器进行防病毒的管理和出现病毒的紧急响应。2 DVA应该： 从呼叫程序中获得与病毒本身有关的所有详细信息，包括可能的起因、以前发出的警告等。 识别部门中存在问题的文件的位置。 用反病毒软件扫描相关文件来确定病毒是否已经赋予免疫性。 确定病毒是否感染了其他文件，若已感染其他文件，则请作出

7、相应的响应；若有必要，则可通过关闭工作站，甚至部分网络。也可能会要求终止 Internet 访问。这样就可避免继续感染的可能性。 与IVO交流病毒的详细信息，必要时寻求其他指导。 与其他人交流病毒警报信息，以便提醒这些人有可能发生的事件，并发出适当响应。 负责维护部门中的防病毒软件。 定期检查部门客户端的防病毒软件的升级是否正常。3 普通用户，应该： 遵循公司的病毒防范的规章制度 当发现有病毒情况，马上通知DVA 当发现机器运行缓慢或文件被破坏、丢失，及时通知DVA进行检查 定期查看自己的防病毒的引擎是否和其他人一致，如果发现版本过低，马上通知DVA5.1. 注意要点1、病毒事件可能在任何时间

8、发生，因此响应的速度是很重要的。如果第一个被通知的人不能及时到达现场应该立即通知另一个相关的人员，因此事件响应人员应该确定自己能否及时赶到，以免延误对病毒事件的处理。2、发生病毒事件以后，应该谨慎地对待媒体。如果将消息透露给不适当的人可能会导致一些意想不到的后果，下面的章节中会详细谈到信息发布的策略。3、对病毒警报的配置 在客户端出现病毒时通知报警管理台，管理台应该是DVA的机器，应为当发现有病毒，马上会在DVA的机器上出现信息描述哪台电脑出现病毒，DVA然后可以及时处理。 在文件服务器上或网关服务器上发现有病毒除了通知IVO，还需要通知传送病毒的用户，让他必须升级病毒数据库和杀毒引擎，然后对

9、机器的所有盘符进行全面的病毒检查。 4、如果*不能够设置DVA，那么DVA的工作应该由IVO负责。5.2. 病毒事件的发现无疑，每一个使用计算机的人所能遇到的最糟糕的情形就是由于病毒的袭击而导致自己系统的崩溃或者是重要数据的丢失。所以知道在这种情况下怎样做最合适，将能把把损失降到最低限度。病毒的出现，通常会导致如下症状，因此，在计算机出现如下症状的时候，我们必须警惕：是不是病毒的侵犯已经到来：1. 电脑动作比平常迟钝 2. 程序载入时间比平常久 有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程式。3. 对一个简单的

10、工作,磁盘设备似乎花了比预期长的时间. 例如:储存一页的文字若需一秒,但病毒可能会花更多时间来寻找未感染档案。4. 不寻常的错误讯息出现 例如你可能得到以下的讯息:write protect error on driver A 表示病毒已经试图去存取磁盘并感染之.特别是当这种讯息出现繁复时,表示你的系统已经中毒了!5. 硬盘的指示灯无缘无故的频繁闪动 当你没有存取磁盘,但磁碟机指示灯却在频繁闪动,电脑这时已经受到病毒感染了!6. 系统记忆体容量忽然大量减少 有些病毒会消耗可观的记忆体容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的空间可以利用,表示病毒已经存在你的电脑中了!7. 磁盘可

11、利用的空间突然减少 这个讯息警告你病毒已经开始复制了!8. 可执行档的大小改变了!正常情况下,这些程序应该维持固定的大小,但有些较不聪明的病毒,会增加程式的大小 9. 坏轨增加 有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,于是往往扫毒软体也无法检查病毒的存在,例如 Disk Killer 会寻找 3 或 5 个连续未用的磁区,并将其标示为坏轨。10. 程序同时存取多个磁盘设备 11. 记忆体内增加来路不明的常驻程式 12. 档案奇怪的消失 13. 档案的内容被加一些奇怪的资料 14. 档案名称,副档名,日期,属性被更改过对发现病毒的报警，当客户端发现有病毒，通过报警的消息方式传送到部门的

12、防病毒管理员和信息部的防病毒管理员，同时制度规定不允许用户打开发现有病毒的文件。另外，需要注意的事项如下： 系统用户发现病毒时，首先客户端的防病毒系统会杀病毒，当病毒能够被杀掉，通知防病毒管理员病毒的名称，管理员在把情况记录到病毒日志中。 系统用户发现病毒，但不能够杀掉病毒，根据情况考虑：a. 文件不重要，把含病毒的文件删除掉.；同时通知管理员该情况，让管理员记录病毒日志，并且到网站上下载最新的杀毒引擎。如果最新的杀毒引擎仍不能杀死病毒，须马上与防病毒厂商联系，把病毒的名称及类型告诉厂商。b. 对于非常重要的文件，发现有病毒杀不掉，同时又不能删除文件时，不能够让用户直接打开文件，这样病毒就直接

13、运行了，所以我们必须要有制度规定用户不可以打开含有病毒的文件。正确的处理为：把含有病毒的文件放到文件隔离区的相应文件夹中，同时通知最高的防病毒管理员，然后管理员在把含有病毒的文件发给厂商处理，获得最新的杀毒引擎后，把隔离区的文件病毒杀掉，在返还给用户。 系统用户没有发现客户端的病毒报警，但发现电脑系统或网络发生非正常情况（防病毒管理员提供最近病毒发作的特征，在内部网上公布），及时通知管理员。管理员马上升级最新的病毒数据库及杀毒引擎。对公司的网关，文件服务器及客户端进行全面的杀毒。5.3. 处理流程5.3.1. 保留日志事件日志对于安全事件的处理和调查非常重要，病毒事件可能在其刚刚发生时就暴露，

14、也可能在发生的过程中或发生以后才被发现，因此所有病毒事件都应该有一份书面的经过调查证明足够客观的日志，而且应该把日志妥善保存以免被修改。由于在线日志很容易被修改和删除，所以手工记录是必要的。应该记录的信息有： 与病毒事件相关的所有电话的日期和时间； 相关事件发生（或者发现）的日期和时间； 处理相应事件所用的时间； 值班人员或事件协调小组通知的人员和与事件相关的人员； 受影响的系统名称（或IP地址），受影响的程序和网络。另外，需要注意，记录病毒事件恢复过程中采取的每一步措施，也是非常重要的。恢复一个被病毒侵入的系统是一件很麻烦的事，可能要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助避免作出草率的决定，还可以留作以后的参考。5.3.2. 隔离系统迅速将受到病毒感染的系统和网络中的其他系统隔离开，如果怀疑是蠕虫事件，则应该断开网络与外网的连接；网络隔离是防止蠕虫扩散的一种方法，但由于工程师可能需要到相应网站上去下载杀毒软件的升级包，因此与外网隔离会对后来的清理工作带来一些麻烦，IT主管负责决定是否和外网隔离，并指派人记录所有采用的行为；不要将系统断电，不要重新引导系统，有些病毒会在系统重启时破坏磁盘中的数据，同时也可能破坏有用的信息或者消除一些证据。如果在恢复过程中，没有断开被病毒侵入系统和网络的连接，在进行恢复的过