反病毒處理預(yù)案

1、* 有限責(zé)任公司信息系統(tǒng)反病毒應(yīng)急響應(yīng)處理預(yù)案（初稿）一反病毒應(yīng)急響應(yīng)處理的組織機構(gòu)為了在病毒突發(fā)事件中協(xié)調(diào)關(guān)系，明確職責(zé)，統(tǒng)一布置公司信息系統(tǒng)的反病毒應(yīng)急處理，公司建立病毒事件應(yīng)急響應(yīng)中心。公司病毒事件應(yīng)急響應(yīng)中心以公司分管領(lǐng)導(dǎo)直接領(lǐng)導(dǎo)、以公司信息中心為主體建立。反病毒應(yīng)急處理的現(xiàn)場負(fù)責(zé)人為信息中心主管領(lǐng)導(dǎo)。二病毒事件分級針對公司信息網(wǎng)絡(luò)的狀態(tài)和病毒侵襲事件的特點，按照以下的標(biāo)準(zhǔn)對病毒時間進行分級：一級病毒事件： 遭到病毒嚴(yán)重攻擊，主要設(shè)備停機或主干網(wǎng)絡(luò)堵塞，對信息系統(tǒng)的業(yè)務(wù)運作有重大影響，持續(xù)時間超過24 小時。二級病毒事件：病毒侵襲公司網(wǎng)絡(luò)系統(tǒng)，使現(xiàn)有系統(tǒng)的運行性能或操作性能嚴(yán)重降低，或

2、由于網(wǎng)絡(luò)性能失?；虬踩录?yán)重影響信息網(wǎng)絡(luò)主要業(yè)務(wù)運作，持續(xù)時間超過 8 小時。三級病毒事件：病毒侵襲公司網(wǎng)絡(luò)系統(tǒng)并在小范圍內(nèi)發(fā)作，現(xiàn)有系統(tǒng)的操作性能受損，但大部分系統(tǒng)業(yè)務(wù)運作仍可正常工作，持續(xù)時間超過8 小時。四級病毒事件：病毒侵襲公司網(wǎng)絡(luò)系統(tǒng)，在網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、存儲設(shè)備等的功能或配置方面需要信息咨詢或技術(shù)支持。但病毒事件對信息系統(tǒng)的業(yè)務(wù)運作幾乎沒有影響，持續(xù)時間超過48 小時。一般定義， 四級病毒事件屬于日常運行維護范疇； 三級病毒事件仍作為日常運行維護處理，但需要向信息中心主管領(lǐng)導(dǎo)匯報； 二級病毒事件和一級病毒事件屬于應(yīng)急響應(yīng)處理項目，病毒事件從三級升級到二級時，系統(tǒng)

3、管理人員應(yīng)自動轉(zhuǎn)入應(yīng)急響應(yīng)處理，同時向公司主管領(lǐng)導(dǎo)匯報。三故障響應(yīng)各級病毒事件的最晚響應(yīng)時間為：響應(yīng)時間一級病毒事件二級病毒事件三級病毒事件四級病毒事件1 小時系統(tǒng)管理人員系統(tǒng)管理人員信息中心領(lǐng)導(dǎo)2 小時分管副總經(jīng)理信息中心領(lǐng)導(dǎo)系統(tǒng)管理人員4 小時技術(shù)支持專家分管副總經(jīng)理信息中心領(lǐng)導(dǎo)系統(tǒng)管理人技術(shù)支持專家員12 小時技術(shù)支持專家技術(shù)支持專家1四資源和環(huán)境資源準(zhǔn)備1. 防病毒軟件工具本公司配備以下防殺毒軟件：趨勢防毒墻網(wǎng)絡(luò)版軟件（主要的網(wǎng)絡(luò)防殺毒軟件）趨勢防毒墻服務(wù)器版軟件（主要的網(wǎng)絡(luò)防殺毒軟件）瑞星殺毒軟件網(wǎng)絡(luò)版（備用的網(wǎng)絡(luò)防殺毒軟件）諾頓防病毒軟件（特定設(shè)備上使用的防殺毒軟件）金山毒霸殺毒軟

4、件（備用的單機版殺毒軟件）在信息中心機房應(yīng)保存趨勢防病毒軟件最新版本的光盤， 并確認(rèn)可以通過網(wǎng)絡(luò)迅速取得該軟件最新版本的病毒碼。備用和特定設(shè)備的殺毒軟件光盤也必須保存在信息中心機房內(nèi)，并及時進行版本更新。2. 操作系統(tǒng)及補丁包a. 信息中心主機房應(yīng)常備以下操作系統(tǒng)的光盤：IBM AIX 5L for POWER V5.1 SUN Solaris 2.6Windows 2000 Advanced Server 中文版 Windows 2000 Server 中文版 Windows 2000 Professional 中文版 Windows NT Server 中文版 Windows NT Wor

5、kstation 中文版 Windows XP 中文版Windows 98 中文版 （第二版）b. 信息中心主機房應(yīng)常備以下操作系統(tǒng)補丁包的光盤：Windows NT Service Pack 6 Windows 2000 Service Pack 4 Windows XP Service Pack3. 撥號通訊設(shè)備撥號通訊設(shè)備在公司信息網(wǎng)絡(luò)與因特網(wǎng)的連接出現(xiàn)故障， 無法直接升級殺毒軟件和從服務(wù)商得到技術(shù)服務(wù)時使用。平時應(yīng)保持其完整可用。a. 56k 調(diào)制解調(diào)器一臺b. 直撥電話線一路c. 配套的連接電纜和驅(qū)動軟件五 病毒事件的處理1. 更新防毒墻服務(wù)器版和防毒墻網(wǎng)絡(luò)版通過配置服務(wù)器使之從*

6、更新服務(wù)器下載組件來更新，下載任何可用更新之后，服務(wù)器會基于“更新 >客戶機部署”下“自動部署”屏上指定的部署時間表來將這些更新部署到客戶機。一般情況下，* 每天（有時是幾個小時）都會更新組件。發(fā)生任何級別的病毒事件，都必須首先檢查并更新防毒墻服務(wù)器版和防毒墻網(wǎng)絡(luò)版。a. 更新防毒墻服務(wù)器版信息服務(wù)器(1) 更新組件防毒墻服務(wù)器版的更新組件包括：2程序組件病毒碼文件掃描引擎(2) 使用立即下載更新信息服務(wù)器1)單擊邊欄上的“更新>更新”或單擊主菜單上的“執(zhí)行>更新”。2)單擊“更新”主窗口上的“立即下載” 。將出現(xiàn)顯示到更新完成為止所剩時間的進度條。(3) 配置信息服務(wù)器預(yù)設(shè)

7、下載1) 單擊邊欄上的“更新 >更新”或單擊主菜單上的“執(zhí)行>更新”。2) 在“下載”下，單擊配置。出現(xiàn)“下載選項”窗口。3) 單擊“預(yù)設(shè)設(shè)置”選項卡。4) 輸入或選擇下載頻率、時間。5) 選擇“重試”復(fù)選框以指示在初始下載操作不成功時嘗試重新連接下載服務(wù)器，并輸入或選擇次數(shù)與每個重試之間的延遲。6) 單擊“確定” 。下載的文件將保存在信息服務(wù)器的以下目錄中：trendsprotectspntshareb. 更新防毒墻網(wǎng)絡(luò)版服務(wù)器防毒墻網(wǎng)絡(luò)版提供下列更新服務(wù)器的方法：(1) 基于時間表更新服務(wù)器1) 單擊邊欄上的“更新 >服務(wù)器更新 >自動更新”。顯示自動更新屏。2)

8、選中“啟用防毒墻網(wǎng)絡(luò)版服務(wù)器的預(yù)設(shè)更新”復(fù)選框。3) 在“組件”框中，選擇要更新的組件。4) 在“更新時間表”下，指定執(zhí)行預(yù)設(shè)更新的時間表。5) 在“更新源”下面，選擇要從中下載更新的位置。6) 如要使服務(wù)器在更新嘗試失敗后繼續(xù)重試，應(yīng)選中“程序更新重試”下面的“更新嘗試失敗后繼續(xù)重試”復(fù)選框。選擇“重試次數(shù)”和“時間間隔”。7) 單擊“保存” 。(2) 手動更新服務(wù)器1) 單擊邊欄上的“更新 > 服務(wù)器更新 >手動更新” 。顯示手動更新屏，顯示當(dāng)前組件、版本號以及上次更新的日期等。2) 在“更新源”下面，選擇從更新服務(wù)器接受更新還是從其他更新源接受更新并鍵入源 URL 。3) 單

9、擊“更新”。服務(wù)器會檢查 * 更新服務(wù)器上有無更新的組件。 如果有可用更新，則會顯示在“ * 可用的更新”屏中，包括組件名稱和版本號。4) 選中要更新的組件的復(fù)選框。5) 單擊“更新” 。服務(wù)器會下載更新的組件。 c. 更新標(biāo)準(zhǔn)服務(wù)器(1) 預(yù)設(shè)部署默認(rèn)情況下， 防毒墻服務(wù)器版會在安裝標(biāo)準(zhǔn)服務(wù)器的時候自動創(chuàng)建三項默認(rèn)任務(wù)：掃描、統(tǒng)計和部署，當(dāng)下載更新后，會自動向標(biāo)準(zhǔn)服務(wù)器分發(fā)最新更新。手動創(chuàng)建任務(wù)的操作步驟：1) 在域瀏覽樹上選擇信息服務(wù)器、域或標(biāo)準(zhǔn)服務(wù)器。2) 單擊主菜單上的“執(zhí)行 >新建任務(wù)”或單擊邊欄上的“任務(wù)>新建任務(wù)。3) 單擊“創(chuàng)建” 。34) 在創(chuàng)建新任務(wù)窗口的現(xiàn)有任

10、務(wù)列表中選擇希望包含在此任務(wù)中的功能。5) 單擊“添加任務(wù)項“向選定任務(wù)列表添加選定的功能。選擇“創(chuàng)建為預(yù)設(shè)任務(wù)”復(fù)選框。6) 單擊“創(chuàng)建” 。出現(xiàn)“任務(wù)向?qū)А贝翱凇?) 單擊“下一步” 。在“預(yù)設(shè)設(shè)置“中輸入或選擇頻率、日期、時間等。8) 單擊“下一步”繼續(xù)，為立即掃描指定目標(biāo)。掃描任務(wù)必須運行在指定的驅(qū)動器上。一般應(yīng)選擇所有本地驅(qū)動器。9) 單擊邊欄上的“任務(wù) >現(xiàn)有任務(wù)”或單擊主菜單上的“執(zhí)行>現(xiàn)有任務(wù)” 。檢查現(xiàn)有任務(wù)列表。(2) 立即部署。當(dāng)發(fā)現(xiàn)全部或部分標(biāo)準(zhǔn)服務(wù)器未得到及時更新， 應(yīng)使用立即部署功能向標(biāo)準(zhǔn)服務(wù)器部署保存在信息服務(wù)器中的更新。立即部署的操作：1) 單擊邊欄

11、上的“更新 >更新”或從主菜單單擊“執(zhí)行 >更新”。2) 單擊“立即部署” 。出現(xiàn)確認(rèn)窗口。單擊“是”繼續(xù)，出現(xiàn)部署窗口。服務(wù)器樹中將顯示每個服務(wù)器組件的當(dāng)前版本。 默認(rèn)情況下， 將選定病毒碼版本復(fù)選框。3) 選擇需要更新的組件的復(fù)選框。要更新標(biāo)準(zhǔn)服務(wù)器中的所有組件，可選擇服務(wù)器復(fù)選框。4) 單擊“部署”激活部署過程，或單擊“取消”停止。d. 更新防毒墻網(wǎng)絡(luò)版客戶機(1) 使用“自動部署”更新1) 單擊邊欄上的“更新 > 客戶機部署 > 自動部署 ”。顯示“自動部署”屏幕。2) 在“事件觸發(fā)部署”下，選擇部署更新的時間以及是否掃描客戶機。正常情況下應(yīng)選擇 “防毒墻網(wǎng)絡(luò)版

12、服務(wù)器下載完新組件后立即部署到客戶機” 和“在客戶機重啟時部署到客戶機上” 。(2) 使用“手動部署”更新客戶機1) 單擊邊欄上的“更新 > 客戶機部署 > 手動部署 ”。顯示“手動部署”屏幕。2) 在“部署目標(biāo) “下面， 選擇更新所有組件過期的客戶機或選擇指定的客戶機。3) 選頂所有要更新的客戶機后， 單擊 “通知”。服務(wù)器應(yīng)開始通知每個客戶機下載更新。(3) 使用“立即更新”更新客戶機1) 右鍵單擊防毒墻網(wǎng)絡(luò)版客戶機系統(tǒng)托盤中的防毒墻網(wǎng)絡(luò)版圖標(biāo)。出現(xiàn)防毒墻網(wǎng)絡(luò)版快捷菜單。2) 單擊“立即更新” 。顯示“立即更新設(shè)置”屏。3) 系統(tǒng)未設(shè)“代理服務(wù)器” ，單擊“立即更新”即可。應(yīng)出

13、現(xiàn)顯示組件下載進度的狀態(tài)屏。2. 病毒掃描實時掃描監(jiān)控服務(wù)器上所有輸入和輸出文件的感染特征， 因此可以防止將被感染文件復(fù)制到服務(wù)器或從服務(wù)器復(fù)制被感染文件。4實時掃描是系統(tǒng)默認(rèn)的日常任務(wù)。立即掃描將立即檢查全部或某臺服務(wù)器是否受病毒攻擊。 在系統(tǒng)發(fā)生病毒事件或懷疑某服務(wù)器已被感染，應(yīng)使用“立即掃描”檢查所有服務(wù)器是否處于無病毒狀態(tài)。a. 在系統(tǒng)控制服務(wù)器上執(zhí)行“立即掃描”的步驟：1) 單擊域瀏覽樹上的信息服務(wù)器、域或標(biāo)準(zhǔn)服務(wù)器。2) 單擊邊欄上的“立即掃描 >立即掃描”或“執(zhí)行 >立即掃描”。3) 在“立即掃描配置”窗口中，應(yīng)選擇“所有本地驅(qū)動器”、“所有文件” 、“掃描 OLE

14、層”，設(shè)優(yōu)先級為“高” 。4)單擊“立即掃描” 。b. 在 Windows 標(biāo)準(zhǔn)服務(wù)器上運行立即掃描1) 打開標(biāo)準(zhǔn)服務(wù)器上的“資源管理器” 。2) 單擊安裝 ServerProtect 所在的文件夾，默認(rèn)位置是：3) C:Program FilesTrendSprotect4) 雙擊 ScanNow.EXE 。將執(zhí)行立即掃描。5) 可使用如下所示的帶停止開關(guān)參數(shù)的命令停止立即掃描：ScanNow.EXE /STOPc. 網(wǎng)絡(luò)客戶機的立即掃描1) 單擊邊欄上的“客戶機” 。顯示客戶機的域樹屏幕。2) 單擊域樹中響應(yīng)的圖標(biāo)選擇要運行“立即運行”的域或客戶機。要選擇所有的域和客戶機，應(yīng)單擊根圖標(biāo)。3

15、) 單擊邊欄上的“立即掃描” 。出現(xiàn)“立即掃描”屏幕，顯示選擇的客戶機或域。4) 在計算機下，選擇要運行“立即掃描”的客戶機，然后單擊“啟動通知” 。服務(wù)器將向客戶機發(fā)送一個運行“立即掃描”的請求。3. “病毒爆發(fā)”控制趨勢防毒墻網(wǎng)絡(luò)版提供了控制網(wǎng)絡(luò)病毒爆發(fā)的幾種方法，包括監(jiān)控網(wǎng)絡(luò)上的可疑活動、阻塞重要的客戶計算機端口和文件夾等?！安《颈l(fā)”控制在發(fā)生二級及以上病毒事件時使用。a. 使用“爆發(fā)阻止”(1) 阻塞共享文件夾1) 單擊邊欄上的“爆發(fā)阻止“。顯示客戶機的域樹屏幕。2) 單擊域樹中的圖標(biāo)以選擇想要啟用 “爆發(fā)阻止 “的域或客戶機。 要選擇所有的域和客戶機，應(yīng)單擊根圖標(biāo)。3) 單擊邊欄上

16、的“立即部署” 。顯示“爆發(fā)阻止設(shè)置”屏幕。4) 在“爆發(fā)阻止設(shè)置”下，選擇“共享文件夾阻塞”。5) 單擊“激活設(shè)置” ，啟用選定域或客戶機上的“爆發(fā)阻止” 。顯示當(dāng)前的爆發(fā)阻止設(shè)置。(2) 阻塞端口1) 單擊邊欄上的“爆發(fā)阻止“。顯示客戶機的域樹屏幕。2) 單擊域樹中的圖標(biāo)以選擇想要啟用 “爆發(fā)阻止 “的域或客戶機。 要選擇所有的域和客戶機，應(yīng)單擊根圖標(biāo)。3) 單擊邊欄上的“立即部署” 。顯示“爆發(fā)阻止設(shè)置”屏幕。54) 在“爆發(fā)阻止設(shè)置”下，選擇“阻塞端口”復(fù)選框。5) 配置端口阻塞設(shè)置， 指定需阻塞的端口。 該特定端口應(yīng)根據(jù)病毒事件中特定的病毒侵襲行為確定，一般為已知的受病毒攻擊的端口。

17、(3) 病毒爆發(fā)監(jiān)控病毒爆發(fā)監(jiān)控功能以監(jiān)控網(wǎng)絡(luò)上的并發(fā)會話數(shù)量來檢測病毒。當(dāng)出現(xiàn)并發(fā)會話數(shù)超過指定數(shù)值的情況，防毒墻網(wǎng)絡(luò)版服務(wù)器會發(fā)送警報記錄。a. 配置“病毒爆發(fā)監(jiān)控”1) 單擊邊欄上的“病毒爆發(fā)監(jiān)控” 。顯示“病毒爆發(fā)監(jiān)控”屏幕。2) 選中“啟用病毒爆發(fā)監(jiān)控”復(fù)選框，一般情況下，網(wǎng)絡(luò)會話數(shù)應(yīng)輸入“30”。3) 單擊“保存” 。b. 查看“病毒爆發(fā)記錄”1) 單擊邊欄上的“病毒爆發(fā)監(jiān)控” 。顯示“病毒爆發(fā)監(jiān)控”屏幕。2) 在“當(dāng)前狀態(tài)”下單擊顯示“記錄的網(wǎng)絡(luò)會話數(shù)”鏈接。顯示“病毒爆發(fā)監(jiān)控記錄”屏幕。3) 將日志保存為逗號分隔（ CSV ）數(shù)據(jù)文件，單擊“導(dǎo)出為 CSV 格式”。顯示一個確認(rèn)

18、屏幕。該導(dǎo)出的數(shù)據(jù)文件可用Excel 查看。4. “病毒爆發(fā)”控制失效后的處理當(dāng)發(fā)現(xiàn)“病毒爆發(fā)”控制失效，病毒侵襲加劇時，一般說明信息系統(tǒng)網(wǎng)絡(luò)已經(jīng)遭遇趨勢防毒墻無法識別或無法清除的病毒侵襲。此時，可按以下步驟進行處理：(1) 聯(lián)系 * 公司，要求提供技術(shù)支持， 該技術(shù)支持一般采用電話服務(wù)和電子郵件的方式。(2) 設(shè)法查找病毒來源，切斷病毒傳播途徑。1) 趨勢防病毒墻網(wǎng)絡(luò)版：從“最近病毒事件 > 最新感染源 >前十個感染源”中得到感染源機器的機器名和 IP 地址，盡快地定位機器，并關(guān)閉之。2) 檢查入侵檢測系統(tǒng)的日志記錄， 查找可疑的機器或 IP 地址，如發(fā)現(xiàn)異常活動，應(yīng)在邊界路由器上進行攔截配