1、*有限責任公司信息系統(tǒng)反病毒應急響應處理預案一 反病毒應急響應處理的組織機構為了在病毒突發(fā)事件中協(xié)調關系，明確職責，統(tǒng)一布置公司信息系統(tǒng)的反病毒應急處理，公司建立病毒事件應急響應中心。公司病毒事件應急響應中心以公司分管領導直接領導、以公司信息中心為主體建立。反病毒應急處理的現(xiàn)場負責人為信息中心主管領導。二 病毒事件分級針對公司信息網(wǎng)絡的狀態(tài)和病毒侵襲事件的特點，按照以下的標準對病毒時間進行分級：一級病毒事件：遭到病毒嚴重攻擊，主要設備停機或主干網(wǎng)絡堵塞，對信息系統(tǒng)的業(yè)務運作有重大影響，持續(xù)時間超過24小時。二級病毒事件：病毒侵襲公司網(wǎng)絡系統(tǒng)，使現(xiàn)有系統(tǒng)的運行性能或操作性能嚴重降低，或由于網(wǎng)絡性

2、能失常或安全事件嚴重影響信息網(wǎng)絡主要業(yè)務運作，持續(xù)時間超過8小時。三級病毒事件：病毒侵襲公司網(wǎng)絡系統(tǒng)并在小范圍內(nèi)發(fā)作，現(xiàn)有系統(tǒng)的操作性能受損，但大部分系統(tǒng)業(yè)務運作仍可正常工作，持續(xù)時間超過8小時。四級病毒事件：病毒侵襲公司網(wǎng)絡系統(tǒng)，在網(wǎng)絡交換設備、網(wǎng)絡安全設備、服務器、存儲設備等的功能或配置方面需要信息咨詢或技術支持。但病毒事件對信息系統(tǒng)的業(yè)務運作幾乎沒有影響，持續(xù)時間超過48小時。一般定義，四級病毒事件屬于日常運行維護范疇；三級病毒事件仍作為日常運行維護處理，但需要向信息中心主管領導匯報；二級病毒事件和一級病毒事件屬于應急響應處理項目，病毒事件從三級升級到二級時，系統(tǒng)管理人員應自動轉入應急響

3、應處理，同時向公司主管領導匯報。三 故障響應各級病毒事件的最晚響應時間為：響應時間一級病毒事件二級病毒事件三級病毒事件四級病毒事件1小時系統(tǒng)管理人員信息中心領導系統(tǒng)管理人員2小時分管副總經(jīng)理信息中心領導系統(tǒng)管理人員4小時技術支持專家分管副總經(jīng)理技術支持專家信息中心領導系統(tǒng)管理人員12小時技術支持專家技術支持專家四 資源和環(huán)境資源準備1. 防病毒軟件工具本公司配備以下防殺毒軟件：趨勢防毒墻網(wǎng)絡版軟件（主要的網(wǎng)絡防殺毒軟件）趨勢防毒墻服務器版軟件（主要的網(wǎng)絡防殺毒軟件）瑞星殺毒軟件網(wǎng)絡版（備用的網(wǎng)絡防殺毒軟件）諾頓防病毒軟件（特定設備上使用的防殺毒軟件）金山毒霸殺毒軟件（備用的單機版殺毒軟件）在信

4、息中心機房應保存趨勢防病毒軟件最新版本的光盤，并確認可以通過網(wǎng)絡迅速取得該軟件最新版本的病毒碼。備用和特定設備的殺毒軟件光盤也必須保存在信息中心機房內(nèi)，并及時進行版本更新。2. 操作系統(tǒng)及補丁包a.信息中心主機房應常備以下操作系統(tǒng)的光盤： IBM AIX 5L for POWER V5.1SUN Solaris 2.6Windows 2000 Advanced Server中文版Windows 2000 Server中文版Windows 2000 Professional中文版Windows NT Server中文版Windows NT Workstation中文版Windows XP中文版W

5、indows 98中文版 （第二版）b.信息中心主機房應常備以下操作系統(tǒng)補丁包的光盤：Windows NT Service Pack 6 Windows 2000 Service Pack 4 Windows XP Service Pack3. 撥號通訊設備撥號通訊設備在公司信息網(wǎng)絡與因特網(wǎng)的連接出現(xiàn)故障，無法直接升級殺毒軟件和從服務商得到技術服務時使用。平時應保持其完整可用。a. 56k調制解調器一臺b. 直撥電話線一路c. 配套的連接電纜和驅動軟件五 病毒事件的處理1. 更新防毒墻服務器版和防毒墻網(wǎng)絡版通過配置服務器使之從*更新服務器下載組件來更新，下載任何可用更新之后，服務器會基于“更新

6、客戶機部署”下“自動部署”屏上指定的部署時間表來將這些更新部署到客戶機。一般情況下，*每天（有時是幾個小時）都會更新組件。發(fā)生任何級別的病毒事件，都必須首先檢查并更新防毒墻服務器版和防毒墻網(wǎng)絡版。a. 更新防毒墻服務器版信息服務器(1) 更新組件防毒墻服務器版的更新組件包括：l 程序組件l 病毒碼文件l 掃描引擎(2) 使用立即下載更新信息服務器1) 單擊邊欄上的“更新更新”或單擊主菜單上的“執(zhí)行更新”。2) 單擊“更新”主窗口上的“立即下載”。將出現(xiàn)顯示到更新完成為止所剩時間的進度條。(3) 配置信息服務器預設下載1) 單擊邊欄上的“更新更新”或單擊主菜單上的“執(zhí)行更新”。2) 在“下載”下

7、，單擊配置。出現(xiàn)“下載選項”窗口。3) 單擊“預設設置”選項卡。4) 輸入或選擇下載頻率、時間。5) 選擇“重試”復選框以指示在初始下載操作不成功時嘗試重新連接下載服務器，并輸入或選擇次數(shù)與每個重試之間的延遲。6) 單擊“確定”。下載的文件將保存在信息服務器的以下目錄中：trendsprotectspntshareb. 更新防毒墻網(wǎng)絡版服務器防毒墻網(wǎng)絡版提供下列更新服務器的方法：(1) 基于時間表更新服務器1) 單擊邊欄上的“更新服務器更新自動更新”。顯示自動更新屏。2) 選中“啟用防毒墻網(wǎng)絡版服務器的預設更新”復選框。3) 在“組件”框中，選擇要更新的組件。4) 在“更新時間表”下，指定執(zhí)行

8、預設更新的時間表。5) 在“更新源”下面，選擇要從中下載更新的位置。6) 如要使服務器在更新嘗試失敗后繼續(xù)重試，應選中“程序更新重試”下面的“更新嘗試失敗后繼續(xù)重試”復選框。選擇“重試次數(shù)”和“時間間隔”。7) 單擊“保存”。(2) 手動更新服務器1) 單擊邊欄上的“更新服務器更新手動更新”。顯示手動更新屏，顯示當前組件、版本號以及上次更新的日期等。2) 在“更新源”下面，選擇從更新服務器接受更新還是從其他更新源接受更新并鍵入源URL。3) 單擊“更新”。服務器會檢查*更新服務器上有無更新的組件。如果有可用更新，則會顯示在“*可用的更新”屏中，包括組件名稱和版本號。4) 選中要更新的組件的復選

9、框。5) 單擊“更新”。服務器會下載更新的組件。c. 更新標準服務器(1) 預設部署默認情況下，防毒墻服務器版會在安裝標準服務器的時候自動創(chuàng)建三項默認任務：掃描、統(tǒng)計和部署，當下載更新后，會自動向標準服務器分發(fā)最新更新。手動創(chuàng)建任務的操作步驟：1) 在域瀏覽樹上選擇信息服務器、域或標準服務器。2) 單擊主菜單上的“執(zhí)行新建任務”或單擊邊欄上的“任務新建任務。3) 單擊“創(chuàng)建”。4) 在創(chuàng)建新任務窗口的現(xiàn)有任務列表中選擇希望包含在此任務中的功能。5) 單擊“添加任務項“向選定任務列表添加選定的功能。選擇“創(chuàng)建為預設任務”復選框。6) 單擊“創(chuàng)建”。出現(xiàn)“任務向導”窗口。7) 單擊“下一步”。在“

10、預設設置“中輸入或選擇頻率、日期、時間等。8) 單擊“下一步”繼續(xù)，為立即掃描指定目標。掃描任務必須運行在指定的驅動器上。一般應選擇所有本地驅動器。9) 單擊邊欄上的“任務現(xiàn)有任務”或單擊主菜單上的“執(zhí)行現(xiàn)有任務”。檢查現(xiàn)有任務列表。(2) 立即部署。當發(fā)現(xiàn)全部或部分標準服務器未得到及時更新，應使用立即部署功能向標準服務器部署保存在信息服務器中的更新。立即部署的操作：1) 單擊邊欄上的“更新更新”或從主菜單單擊“執(zhí)行更新”。2) 單擊“立即部署”。出現(xiàn)確認窗口。單擊“是”繼續(xù)，出現(xiàn)部署窗口。服務器樹中將顯示每個服務器組件的當前版本。默認情況下，將選定病毒碼版本復選框。3) 選擇需要更新的組件的

11、復選框。要更新標準服務器中的所有組件，可選擇服務器復選框。4) 單擊“部署”激活部署過程，或單擊“取消”停止。d. 更新防毒墻網(wǎng)絡版客戶機(1) 使用“自動部署”更新1) 單擊邊欄上的“更新 客戶機部署 自動部署”。顯示“自動部署”屏幕。2) 在“事件觸發(fā)部署”下，選擇部署更新的時間以及是否掃描客戶機。正常情況下應選擇“防毒墻網(wǎng)絡版服務器下載完新組件后立即部署到客戶機”和“在客戶機重啟時部署到客戶機上”。(2) 使用“手動部署”更新客戶機1) 單擊邊欄上的“更新 客戶機部署 手動部署”。顯示“手動部署”屏幕。2) 在“部署目標“下面，選擇更新所有組件過期的客戶機或選擇指定的客戶機。3) 選頂所

12、有要更新的客戶機后，單擊“通知”。服務器應開始通知每個客戶機下載更新。(3) 使用“立即更新”更新客戶機1) 右鍵單擊防毒墻網(wǎng)絡版客戶機系統(tǒng)托盤中的防毒墻網(wǎng)絡版圖標。出現(xiàn)防毒墻網(wǎng)絡版快捷菜單。2) 單擊“立即更新”。顯示“立即更新設置”屏。3) 系統(tǒng)未設“代理服務器”，單擊“立即更新”即可。應出現(xiàn)顯示組件下載進度的狀態(tài)屏。2. 病毒掃描實時掃描監(jiān)控服務器上所有輸入和輸出文件的感染特征，因此可以防止將被感染文件復制到服務器或從服務器復制被感染文件。實時掃描是系統(tǒng)默認的日常任務。立即掃描將立即檢查全部或某臺服務器是否受病毒攻擊。在系統(tǒng)發(fā)生病毒事件或懷疑某服務器已被感染，應使用“立即掃描”檢查所有服

13、務器是否處于無病毒狀態(tài)。a.在系統(tǒng)控制服務器上執(zhí)行“立即掃描”的步驟：1) 單擊域瀏覽樹上的信息服務器、域或標準服務器。2) 單擊邊欄上的“立即掃描立即掃描”或“執(zhí)行立即掃描”。3) 在“立即掃描配置”窗口中，應選擇“所有本地驅動器”、“所有文件”、“掃描OLE層”，設優(yōu)先級為“高”。4) 單擊“立即掃描”。b.在Windows標準服務器上運行立即掃描1) 打開標準服務器上的“資源管理器”。2) 單擊安裝ServerProtect所在的文件夾，默認位置是：3) C:Program FilesTrendSprotect4) 雙擊ScanNow.EXE。將執(zhí)行立即掃描。5) 可使用如下所示的帶停止

14、開關參數(shù)的命令停止立即掃描：C:Program FilesTrendSprotectScanNow.EXE /STOPc. 網(wǎng)絡客戶機的立即掃描1) 單擊邊欄上的“客戶機”。顯示客戶機的域樹屏幕。2) 單擊域樹中響應的圖標選擇要運行“立即運行”的域或客戶機。要選擇所有的域和客戶機，應單擊根圖標。3) 單擊邊欄上的“立即掃描”。出現(xiàn)“立即掃描”屏幕，顯示選擇的客戶機或域。4) 在計算機下，選擇要運行“立即掃描”的客戶機，然后單擊“啟動通知”。服務器將向客戶機發(fā)送一個運行“立即掃描”的請求。3. “病毒爆發(fā)”控制趨勢防毒墻網(wǎng)絡版提供了控制網(wǎng)絡病毒爆發(fā)的幾種方法，包括監(jiān)控網(wǎng)絡上的可疑活動、阻塞重要的

15、客戶計算機端口和文件夾等?！安《颈l(fā)”控制在發(fā)生二級及以上病毒事件時使用。a. 使用“爆發(fā)阻止”(1) 阻塞共享文件夾1) 單擊邊欄上的“爆發(fā)阻止“。顯示客戶機的域樹屏幕。2) 單擊域樹中的圖標以選擇想要啟用“爆發(fā)阻止“的域或客戶機。要選擇所有的域和客戶機，應單擊根圖標。3) 單擊邊欄上的“立即部署”。顯示“爆發(fā)阻止設置”屏幕。4) 在“爆發(fā)阻止設置”下，選擇“共享文件夾阻塞”。5) 單擊“激活設置”，啟用選定域或客戶機上的“爆發(fā)阻止”。顯示當前的爆發(fā)阻止設置。(2) 阻塞端口1) 單擊邊欄上的“爆發(fā)阻止“。顯示客戶機的域樹屏幕。2) 單擊域樹中的圖標以選擇想要啟用“爆發(fā)阻止“的域或客戶機。要

16、選擇所有的域和客戶機，應單擊根圖標。3) 單擊邊欄上的“立即部署”。顯示“爆發(fā)阻止設置”屏幕。4) 在“爆發(fā)阻止設置”下，選擇“阻塞端口”復選框。5) 配置端口阻塞設置，指定需阻塞的端口。該特定端口應根據(jù)病毒事件中特定的病毒侵襲行為確定，一般為已知的受病毒攻擊的端口。(3) 病毒爆發(fā)監(jiān)控病毒爆發(fā)監(jiān)控功能以監(jiān)控網(wǎng)絡上的并發(fā)會話數(shù)量來檢測病毒。當出現(xiàn)并發(fā)會話數(shù)超過指定數(shù)值的情況，防毒墻網(wǎng)絡版服務器會發(fā)送警報記錄。a. 配置“病毒爆發(fā)監(jiān)控”1) 單擊邊欄上的“病毒爆發(fā)監(jiān)控”。顯示“病毒爆發(fā)監(jiān)控”屏幕。2) 選中“啟用病毒爆發(fā)監(jiān)控”復選框，一般情況下，網(wǎng)絡會話數(shù)應輸入“30”。3) 單擊“保存”。b.

17、 查看“病毒爆發(fā)記錄”1) 單擊邊欄上的“病毒爆發(fā)監(jiān)控”。顯示“病毒爆發(fā)監(jiān)控”屏幕。2) 在“當前狀態(tài)”下單擊顯示“記錄的網(wǎng)絡會話數(shù)”鏈接。顯示“病毒爆發(fā)監(jiān)控記錄”屏幕。3) 將日志保存為逗號分隔（CSV）數(shù)據(jù)文件，單擊“導出為CSV格式”。顯示一個確認屏幕。該導出的數(shù)據(jù)文件可用Excel查看。4. “病毒爆發(fā)”控制失效后的處理當發(fā)現(xiàn)“病毒爆發(fā)”控制失效，病毒侵襲加劇時，一般說明信息系統(tǒng)網(wǎng)絡已經(jīng)遭遇趨勢防毒墻無法識別或無法清除的病毒侵襲。此時，可按以下步驟進行處理：(1) 聯(lián)系*公司，要求提供技術支持，該技術支持一般采用電話服務和電子郵件的方式。(2) 設法查找病毒來源，切斷病毒傳播途徑。1)

18、 趨勢防病毒墻網(wǎng)絡版：從“最近病毒事件最新感染源前十個感染源”中得到感染源機器的機器名和IP地址，盡快地定位機器，并關閉之。2) 檢查入侵檢測系統(tǒng)的日志記錄，查找可疑的機器或IP地址，如發(fā)現(xiàn)異?；顒?，應在邊界路由器上進行攔截配置。(3) 必要時啟用備用的防病毒軟件。(4) 在防病毒專家的指導下采取進一步的措施殺除病毒。在情況比較嚴重時，應要求*公司派防病毒專家進行現(xiàn)場處理。5. 病毒清除后的系統(tǒng)恢復當病毒活動被抑制時，應逐步進行系統(tǒng)恢復，系統(tǒng)恢復的一般步驟為：(1) 再次升級防毒墻服務器版的病毒碼版本，“立即掃描”控制中心服務器的硬盤，清除殘余病毒；(2) 恢復重要服務器系統(tǒng)的運行，升級防毒墻的病毒碼版本，“立即掃描”各聯(lián)網(wǎng)服務器，清除殘余病毒；(3) 再次升級防毒墻網(wǎng)絡版的病毒碼版本，使用“手動部署”全部更新聯(lián)網(wǎng)的客戶機，。(4) “立即掃描”全部聯(lián)網(wǎng)客戶機，清除殘余病毒。