1、电子企业信息系统反病毒响应处理应急预案编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: *有限责任公司信息系统反病毒应急响应处理预案一 反病毒应急响应处理的组织机构为了在病毒突发事件中协调关系，明确职责，统一布置公司信息系统的反病毒应急处理，公司建立病毒事件应急响应中心。公司病毒事件应急响应中心以公司分管领导直接领导、以公司信息中心为主体建立。反病毒应急处理的现场负责人为信息中心主管领导。二 病毒事件分级针对公司信息网络的状态和病毒侵袭事件的特点，按照以下的标准对病毒时间进行分级：一级病毒事件：遭到病毒严重攻击，主要设备停机或主干网2、络堵塞，对信息系统的业务运作有重大影响，持续时间超过24小时。二级病毒事件：病毒侵袭公司网络系统，使现有系统的运行性能或操作性能严重降低，或由于网络性能失常或安全事件严重影响信息网络主要业务运作，持续时间超过8小时。三级病毒事件：病毒侵袭公司网络系统并在小范围内发作，现有系统的操作性能受损，但大部分系统业务运作仍可正常工作，持续时间超过8小时。四级病毒事件：病毒侵袭公司网络系统，在网络交换设备、网络安全设备、服务器、存储设备等的功能或配置方面需要信息咨询或技术支持。但病毒事件对信息系统的业务运作几乎没有影响，持续时间超过48小时。一般定义，四级病毒事件属于日常运行维护范畴；三级病毒事件仍作为日3、常运行维护处理，但需要向信息中心主管领导汇报；二级病毒事件和一级病毒事件属于应急响应处理项目，病毒事件从三级升级到二级时，系统管理人员应自动转入应急响应处理，同时向公司主管领导汇报。三 故障响应各级病毒事件的最晚响应时间为：响应时间一级病毒事件二级病毒事件三级病毒事件四级病毒事件1小时系统管理人员信息中心领导系统管理人员2小时分管副总经理信息中心领导系统管理人员4小时技术支持专家分管副总经理技术支持专家信息中心领导系统管理人员12小时技术支持专家技术支持专家四 资源和环境资源准备1. 防病毒软件工具本公司配备以下防杀毒软件：趋势防毒墙网络版软件（主要的网络防杀毒软件）趋势防毒墙服务器版软件（主4、要的网络防杀毒软件）瑞星杀毒软件网络版（备用的网络防杀毒软件）诺顿防病毒软件（特定设备上使用的防杀毒软件）金山毒霸杀毒软件（备用的单机版杀毒软件）在信息中心机房应保存趋势防病毒软件最新版本的光盘，并确认可以通过网络迅速取得该软件最新版本的病毒码。备用和特定设备的杀毒软件光盘也必须保存在信息中心机房内，并及时进行版本更新。2. 操作系统及补丁包a.信息中心主机房应常备以下操作系统的光盘： IBM AIX 5L for POWER V5.1SUN Solaris 2.6Windows 2000 Advanced Server中文版Windows 2000 Server中文版Windows 20005、 Professional中文版Windows NT Server中文版Windows NT Workstation中文版Windows XP中文版Windows 98中文版 （第二版）b.信息中心主机房应常备以下操作系统补丁包的光盘：Windows NT Service Pack 6 Windows 2000 Service Pack 4 Windows XP Service Pack3. 拨号通讯设备拨号通讯设备在公司信息网络与因特网的连接出现故障，无法直接升级杀毒软件和从服务商得到技术服务时使用。平时应保持其完整可用。a. 56k调制解调器一台b. 直拨电话线一路c. 配套的连接电缆和驱6、动软件五 病毒事件的处理1. 更新防毒墙服务器版和防毒墙网络版通过配置服务器使之从*更新服务器下载组件来更新，下载任何可用更新之后，服务器会基于“更新客户机部署”下“自动部署”屏上指定的部署时间表来将这些更新部署到客户机。一般情况下，*每天（有时是几个小时）都会更新组件。发生任何级别的病毒事件，都必须首先检查并更新防毒墙服务器版和防毒墙网络版。a. 更新防毒墙服务器版信息服务器(1) 更新组件防毒墙服务器版的更新组件包括：l 程序组件l 病毒码文件l 扫描引擎(2) 使用立即下载更新信息服务器1) 单击边栏上的“更新更新”或单击主菜单上的“执行更新”。2) 单击“更新”主窗口上的“立即下载”。7、将出现显示到更新完成为止所剩时间的进度条。(3) 配置信息服务器预设下载1) 单击边栏上的“更新更新”或单击主菜单上的“执行更新”。2) 在“下载”下，单击配置。出现“下载选项”窗口。3) 单击“预设设置”选项卡。4) 输入或选择下载频率、时间。5) 选择“重试”复选框以指示在初始下载操作不成功时尝试重新连接下载服务器，并输入或选择次数与每个重试之间的延迟。6) 单击“确定”。下载的文件将保存在信息服务器的以下目录中：trendsprotectspntshareb. 更新防毒墙网络版服务器防毒墙网络版提供下列更新服务器的方法：(1) 基于时间表更新服务器1) 单击边栏上的“更新服务器更新自动更8、新”。显示自动更新屏。2) 选中“启用防毒墙网络版服务器的预设更新”复选框。3) 在“组件”框中，选择要更新的组件。4) 在“更新时间表”下，指定执行预设更新的时间表。5) 在“更新源”下面，选择要从中下载更新的位置。6) 如要使服务器在更新尝试失败后继续重试，应选中“程序更新重试”下面的“更新尝试失败后继续重试”复选框。选择“重试次数”和“时间间隔”。7) 单击“保存”。(2) 手动更新服务器1) 单击边栏上的“更新服务器更新手动更新”。显示手动更新屏，显示当前组件、版本号以及上次更新的日期等。2) 在“更新源”下面，选择从更新服务器接受更新还是从其他更新源接受更新并键入源URL。3) 单击9、“更新”。服务器会检查*更新服务器上有无更新的组件。如果有可用更新，则会显示在“*可用的更新”屏中，包括组件名称和版本号。4) 选中要更新的组件的复选框。5) 单击“更新”。服务器会下载更新的组件。c. 更新标准服务器(1) 预设部署默认情况下，防毒墙服务器版会在安装标准服务器的时候自动创建三项默认任务：扫描、统计和部署，当下载更新后，会自动向标准服务器分发最新更新。手动创建任务的操作步骤：1) 在域浏览树上选择信息服务器、域或标准服务器。2) 单击主菜单上的“执行新建任务”或单击边栏上的“任务新建任务。3) 单击“创建”。4) 在创建新任务窗口的现有任务列表中选择希望包含在此任务中的功能。510、) 单击“添加任务项“向选定任务列表添加选定的功能。选择“创建为预设任务”复选框。6) 单击“创建”。出现“任务向导”窗口。7) 单击“下一步”。在“预设设置“中输入或选择频率、日期、时间等。8) 单击“下一步”继续，为立即扫描指定目标。扫描任务必须运行在指定的驱动器上。一般应选择所有本地驱动器。9) 单击边栏上的“任务现有任务”或单击主菜单上的“执行现有任务”。检查现有任务列表。(2) 立即部署。当发现全部或部分标准服务器未得到及时更新，应使用立即部署功能向标准服务器部署保存在信息服务器中的更新。立即部署的操作：1) 单击边栏上的“更新更新”或从主菜单单击“执行更新”。2) 单击“立即部署”11、。出现确认窗口。单击“是”继续，出现部署窗口。服务器树中将显示每个服务器组件的当前版本。默认情况下，将选定病毒码版本复选框。3) 选择需要更新的组件的复选框。要更新标准服务器中的所有组件，可选择服务器复选框。4) 单击“部署”激活部署过程，或单击“取消”停止。d. 更新防毒墙网络版客户机(1) 使用“自动部署”更新1) 单击边栏上的“更新 客户机部署 自动部署”。显示“自动部署”屏幕。2) 在“事件触发部署”下，选择部署更新的时间以及是否扫描客户机。正常情况下应选择“防毒墙网络版服务器下载完新组件后立即部署到客户机”和“在客户机重启时部署到客户机上”。(2) 使用“手动部署”更新客户机1) 单12、击边栏上的“更新 客户机部署 手动部署”。显示“手动部署”屏幕。2) 在“部署目标“下面，选择更新所有组件过期的客户机或选择指定的客户机。3) 选顶所有要更新的客户机后，单击“通知”。服务器应开始通知每个客户机下载更新。(3) 使用“立即更新”更新客户机1) 右键单击防毒墙网络版客户机系统托盘中的防毒墙网络版图标。出现防毒墙网络版快捷菜单。2) 单击“立即更新”。显示“立即更新设置”屏。3) 系统未设“代理服务器”，单击“立即更新”即可。应出现显示组件下载进度的状态屏。2. 病毒扫描实时扫描监控服务器上所有输入和输出文件的感染特征，因此可以防止将被感染文件复制到服务器或从服务器复制被感染文件。13、实时扫描是系统默认的日常任务。立即扫描将立即检查全部或某台服务器是否受病毒攻击。在系统发生病毒事件或怀疑某服务器已被感染，应使用“立即扫描”检查所有服务器是否处于无病毒状态。a.在系统控制服务器上执行“立即扫描”的步骤：1) 单击域浏览树上的信息服务器、域或标准服务器。2) 单击边栏上的“立即扫描立即扫描”或“执行立即扫描”。3) 在“立即扫描配置”窗口中，应选择“所有本地驱动器”、“所有文件”、“扫描OLE层”，设优先级为“高”。4) 单击“立即扫描”。b.在Windows标准服务器上运行立即扫描1) 打开标准服务器上的“资源管理器”。2) 单击安装ServerProtect所在的文件夹，默14、认位置是：3) C:Program FilesTrendSprotect4) 双击ScanNow.EXE。将执行立即扫描。5) 可使用如下所示的带停止开关参数的命令停止立即扫描：C:Program FilesTrendSprotectScanNow.EXE /STOPc. 网络客户机的立即扫描1) 单击边栏上的“客户机”。显示客户机的域树屏幕。2) 单击域树中响应的图标选择要运行“立即运行”的域或客户机。要选择所有的域和客户机，应单击根图标。3) 单击边栏上的“立即扫描”。出现“立即扫描”屏幕，显示选择的客户机或域。4) 在计算机下，选择要运行“立即扫描”的客户机，然后单击“启动通知”。服务器15、将向客户机发送一个运行“立即扫描”的请求。3. “病毒爆发”控制趋势防毒墙网络版提供了控制网络病毒爆发的几种方法，包括监控网络上的可疑活动、阻塞重要的客户计算机端口和文件夹等。“病毒爆发”控制在发生二级及以上病毒事件时使用。a. 使用“爆发阻止”(1) 阻塞共享文件夹1) 单击边栏上的“爆发阻止“。显示客户机的域树屏幕。2) 单击域树中的图标以选择想要启用“爆发阻止“的域或客户机。要选择所有的域和客户机，应单击根图标。3) 单击边栏上的“立即部署”。显示“爆发阻止设置”屏幕。4) 在“爆发阻止设置”下，选择“共享文件夹阻塞”。5) 单击“激活设置”，启用选定域或客户机上的“爆发阻止”。显示当前16、的爆发阻止设置。(2) 阻塞端口1) 单击边栏上的“爆发阻止“。显示客户机的域树屏幕。2) 单击域树中的图标以选择想要启用“爆发阻止“的域或客户机。要选择所有的域和客户机，应单击根图标。3) 单击边栏上的“立即部署”。显示“爆发阻止设置”屏幕。4) 在“爆发阻止设置”下，选择“阻塞端口”复选框。5) 配置端口阻塞设置，指定需阻塞的端口。该特定端口应根据病毒事件中特定的病毒侵袭行为确定，一般为已知的受病毒攻击的端口。(3) 病毒爆发监控病毒爆发监控功能以监控网络上的并发会话数量来检测病毒。当出现并发会话数超过指定数值的情况，防毒墙网络版服务器会发送警报记录。a. 配置“病毒爆发监控”1) 单击边17、栏上的“病毒爆发监控”。显示“病毒爆发监控”屏幕。2) 选中“启用病毒爆发监控”复选框，一般情况下，网络会话数应输入“30”。3) 单击“保存”。b. 查看“病毒爆发记录”1) 单击边栏上的“病毒爆发监控”。显示“病毒爆发监控”屏幕。2) 在“当前状态”下单击显示“记录的网络会话数”链接。显示“病毒爆发监控记录”屏幕。3) 将日志保存为逗号分隔（CSV）数据文件，单击“导出为CSV格式”。显示一个确认屏幕。该导出的数据文件可用Excel查看。4. “病毒爆发”控制失效后的处理当发现“病毒爆发”控制失效，病毒侵袭加剧时，一般说明信息系统网络已经遭遇趋势防毒墙无法识别或无法清除的病毒侵袭。此时，可18、按以下步骤进行处理：(1) 联系*公司，要求提供技术支持，该技术支持一般采用电话服务和电子邮件的方式。(2) 设法查找病毒来源，切断病毒传播途径。1) 趋势防病毒墙网络版：从“最近病毒事件最新感染源前十个感染源”中得到感染源机器的机器名和IP地址，尽快地定位机器，并关闭之。2) 检查入侵检测系统的日志记录，查找可疑的机器或IP地址，如发现异常活动，应在边界路由器上进行拦截配置。(3) 必要时启用备用的防病毒软件。(4) 在防病毒专家的指导下采取进一步的措施杀除病毒。在情况比较严重时，应要求*公司派防病毒专家进行现场处理。5. 病毒清除后的系统恢复当病毒活动被抑制时，应逐步进行系统恢复，系统恢复的一般步骤为：(1) 再次升级防毒墙服务器版的病毒码版本，“立即扫描”控制中心服务器的硬盘，清除残余病毒；(2) 恢复重要服务器系统的运行，升级防毒墙的病毒码版本，“立即扫描”各联网服务器，清除残余病毒；(3) 再次升级防毒墙网络版的病毒码版本，使用“手动部署”全部更新联网的客户机，。(4) “立即扫描”全部联网客户机，清除残余病毒。