2020年18-病毒事件处理流程.pdf

密级：

文档编号：

项目代号：病毒事件处理流程

V 1.0

目录

1.概述

1.1. 引言

本文的目标是为**的技术人员提供一个比较实用的病毒事件处理过程。

本文对病毒事件的定义是：**环境中任何发现感染病毒/蠕虫的事件，例如：电子邮件系统感染并传播病毒/蠕虫、计算机文档被病毒破坏、服务器遭受恶性蠕虫的攻击等。

一些典型的病毒事件可能是这样的：

计算机病毒实时监控程序报告系统中有病毒，并且已经清除；

计算机病毒实时监控程序报告系统中有病毒，但是无法清除；

发现系统中运行着一个陌生的进程而且这个进程占用了大量的CPU时间；

病毒事件的处理分为五个步骤：保护系统和数据、确定问题根源、控制面、解决问题、系统和数据恢复、事后分析和报告。

1.2. 读者

本文档的读者包括**的IT系统的管理人员、设计者、集成商以及本项目评审者。

2.病毒事件处理

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒

有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把

自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程

序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它

们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性。

所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

虽然病毒和蠕虫有很多不同的特点，但二者的处理过程除了隔离系统和时间要求不同之外，其他基本相同。

病毒事件的时间紧迫性远弱于蠕虫和黑客事件。蠕虫会自动复制并且在短时间内传染上百台机器，因此处理时间至关重要，如果不能确定事件究竟属于那种类型，就按照蠕虫的相关过程处理。

2.1. 组织架构

我们建议的**建立以下相关的人员组织病毒事件紧急相应架构如下，这样做的目的，其一是为了保持与其他紧急事件的响应体系兼容共存，其二是为了保持这些紧急响应体系的一致性：

IVO–总体防病毒主管（Installation Virus Officer）

DVA–部门防病毒管理员（Department Virus Administrator）

NU-普通员工（Normal User）

在病毒爆发以前，IT安全组织必须建立全面的病毒爆发/入侵反应程序，他们应该清楚定义每个角色，个人的职责，以及协作的地方。IT组织必须指派一名IVO，作为安全事件响应小组的领导。这个主管应该负责建立反病毒程序，对监控和事件反应小组进行培训，处理反病毒事件，并对电子邮件桌面设置和

网络浏览器设置提出建议。

防病毒专职负责制度体系的结构应该如下：

1．IVO负责的工作应该：

⚫通知已感染文件（此时，这些文件已经传输出去了）的“收件人”。

⚫调查在“输出”电子邮件或文件过程中检测到的所有病毒的“源”，因为这将表明，无法在用户工作站扫描文件或无法使用未扫描的软盘或

CD-ROM。

⚫请将所有病毒事件和采取的措施通知信息主管，以最小化造成的损失并防止此类事件的再次发生。

⚫询问是否要保留相应的程序和防护措施，并适当进行更新。

⚫考虑指定一部特定的电话分机作为病毒“热线”，可保留病毒和其他恶意代码报告/警告，当客户发现病毒，可以通过电话直接告诉IVO，进行及

时处理。

⚫准备“病毒事件响应计划”，并将该计划分发给所有的系统用户。

⚫在受到病毒攻击之后，请考虑定期复查关键业务流程所用的软件和文件，以便识别和调查未经授权和/或可疑的更改。

⚫对于杀不掉的病毒，与厂商直接联系，获得最新的杀毒引擎。

⚫协调各个部门的DV A。

⚫对公司的所有服务器进行防病毒的管理和出现病毒的紧急响应。

2．DV A应该：

⚫从呼叫程序中获得与病毒本身有关的所有详细信息，包括可能的起因、以前发出的警告等。

⚫识别部门中存在问题的文件的位置。

⚫用反病毒软件扫描相关文件来确定病毒是否已经赋予免疫性。

⚫确定病毒是否感染了其他文件，若已感染其他文件，则请作出相应的响应；

若有必要，则可通过关闭工作站，甚至部分网络。也可能会要求终止

Internet 访问。这样就可避免继续感染的可能性。

⚫与IVO交流病毒的详细信息，必要时寻求其他指导。

⚫与其他人交流病毒警报信息，以便提醒这些人有可能发生的事件，并发出适当响应。

⚫负责维护部门中的防病毒软件。

⚫定期检查部门客户端的防病毒软件的升级是否正常。

3．普通用户，应该：

⚫遵循公司的病毒防范的规章制度

⚫当发现有病毒情况，马上通知DV A

⚫当发现机器运行缓慢或文件被破坏、丢失，及时通知DV A进行检查

⚫定期查看自己的防病毒的引擎是否和其他人一致，如果发现版本过低，马上通知DV A

2.2. 注意要点

1、病毒事件可能在任何时间发生，因此响应的速度是很重要的。如果第一个被通知的人不能及时到达现场应该立即通知另一个相关的人员，因此事件响应人员应该确定自己能否及时赶到，以免延误对病毒事件的处理。

2、发生病毒事件以后，应该谨慎地对待媒体。如果将消息透露给不适当的人可能会导致一些意想不到的后果，下面的章节中会详细谈到信息发布的策略。

3、对病毒警报的配置

⚫在客户端出现病毒时通知报警管理台，管理台应该是DV A的机器，应为当发现有病毒，马上会在DV A的机器上出现信息描述哪台电脑

出现病毒，DV A然后可以及时处理。

⚫在文件服务器上或网关服务器上发现有病毒除了通知IVO，还需要通知传送病毒的用户，让他必须升级病毒数据库和杀毒引擎，然后对机

器的所有盘符进行全面的病毒检查。

4、如果**不能够设置DV A，那么DV A的工作应该由IVO负责。