病毒事件处理作业流程.docx
- 文档编号:15803456
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:11
- 大小:40.96KB
病毒事件处理作业流程.docx
《病毒事件处理作业流程.docx》由会员分享,可在线阅读,更多相关《病毒事件处理作业流程.docx(11页珍藏版)》请在冰点文库上搜索。
病毒事件处理作业流程
密级:
文档编号:
项目代号:
病毒事件处理步骤
V1.0
1.概述
2.引言
本文目标是为**技术人员提供一个比较实用病毒事件处理过程。
本文对病毒事件定义是:
**环境中任何发觉感染病毒/蠕虫事件,比如:
电子邮件系统感染并传输病毒/蠕虫、计算机文档被病毒破坏、服务器遭受恶性蠕虫攻击等。
部分经典病毒事件可能是这么:
计算机病毒实时监控程序汇报系统中有病毒,而且已经清除;
计算机病毒实时监控程序汇报系统中有病毒,不过无法清除;
发觉系统中运行着一个陌生进程而且这个进程占用了大量CPU时间;
病毒事件处理分为五个步骤:
保护系统和数据、确定问题根源、控制面、处理问题、系统和数据恢复、事后分析和汇报。
3.读者
本文档读者包含**IT系统管理人员、设计者、集成商和本项目评审者。
4.病毒事件处理
计算机病毒是一个程序,一段可实施码。
就像生物病毒一样,计算机病毒有独特复制能力。
计算机病毒能够很快地蔓延,又常常难以根除。
它们能把本身附着在多种类型文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,一些计算机病毒还有其它部分共同特征:
一个被污染程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你硬盘驱动或引发了其它类型灾难。
若是病毒并不寄生于一个污染程序,它仍然能经过占据存贮空间给你带来麻烦,并降低你计算机全部性能。
能够从不一样角度给出计算机病毒定义。
一个定义是经过磁盘、磁带和网络等作为媒介传输扩散,能“传染”其它程序程序。
另一个是能够实现本身复制且借助一定载体存在含有潜伏性、传染性和破坏性程序。
还有定义是一个人为制造程序,它经过不一样路径潜伏或寄生在存放媒体(如磁盘、内存)或程序里。
当某种条件或时机成熟时,它会自生复制并传输,使计算机资源受到不一样程序破坏等等。
这些说法在某种意义上借用了生物学病毒概念,计算机病毒同生物病毒所相同之处是能够侵入计算机系统和网络,危害正常工作“病原体”。
它能够对计算机系统进行多种破坏,同时能够自我复制,含有传染性。
所以,计算机病毒就是能够经过某种路径潜伏在计算机存放介质(或程序)里,当达成某种条件时即被激活含有对计算机资源进行破坏作用一组程序或指令集合。
即使病毒和蠕虫有很多不一样特点,但二者处理过程除了隔离系统和时间要求不一样之外,其它基础相同。
病毒事件时间紧迫性远弱于蠕虫和黑客事件。
蠕虫会自动复制而且在短时间内传染上百台机器,所以处理时间至关关键,假如不能确定事件到底属于那种类型,就根据蠕虫相关过程处理。
5.组织架构
我们提议**建立以下相关人员组织病毒事件紧急对应架构以下,这么做目标,其一是为了保持和其它紧急事件响应体系兼容共存,其二是为了保持这些紧急响应体系一致性:
IVO–总体防病毒主管(InstallationVirusOfficer)
DVA–部门防病毒管理员(DepartmentVirusAdministrator)
NU-一般职员(NormalUser)
在病毒爆发以前,IT安全组织必需建立全方面病毒爆发/入侵反应程序,她们应该清楚定义每个角色,个人职责,和协作地方。
IT组织必需指派一名IVO,作为安全事件响应小组领导。
这个主管应该负责建立反病毒程序,对监控和事件反应小组进行培训,处理反病毒事件,并对电子邮件桌面设置和网络浏览器设置提出提议。
防病毒专职负责制度体系结构应该以下:
1.IVO负责工作应该:
●通知已感染文件(此时,这些文件已经传输出去了)“收件人”。
●调查在“输出”电子邮件或文件过程中检测到全部病毒“源”,因为这将表明,无法在用户工作站扫描文件或无法使用未扫描软盘或CD-ROM。
●请将全部病毒事件和采取方法通知信息主管,以最小化造成损失并预防这类事件再次发生。
●问询是否要保留对应程序和防护方法,并合适进行更新。
●考虑指定一部特定电话分机作为病毒“热线”,可保留病毒和其它恶意代码汇报/警告,当用户发觉病毒,能够经过电话直接告诉IVO,进行立即处理。
●准备“病毒事件响应计划”,并将该计划分发给全部系统用户。
●在受到病毒攻击以后,请考虑定时复查关键业务步骤所用软件和文件,方便识别和调查XX和/或可疑更改。
●对于杀不掉病毒,和厂商直接联络,取得最新杀毒引擎。
●协调各个部门DVA。
●对企业全部服务器进行防病毒管理和出现病毒紧急响应。
2.DVA应该:
●从呼叫程序中取得和病毒本身相关全部具体信息,包含可能起因、以前发出警告等。
●识别部门中存在问题文件位置。
●用反病毒软件扫描相关文件来确定病毒是否已经给予免疫性。
●确定病毒是否感染了其它文件,若已感染其它文件,则请作出对应响应;若有必需,则可经过关闭工作站,甚至部分网络。
也可能会要求终止Internet访问。
这么就可避免继续感染可能性。
●和IVO交流病毒具体信息,必需时寻求其它指导。
●和其它人交流病毒警报信息,方便提醒这些人有可能发生事件,并发出合适响应。
●负责维护部门中防病毒软件。
●定时检验部门用户端防病毒软件升级是否正常。
3.一般用户,应该:
●遵照企业病毒防范规章制度
●当发觉有病毒情况,立即通知DVA
●当发觉机器运行缓慢或文件被破坏、丢失,立即通知DVA进行检验
●定时查看自己防病毒引擎是否和其它人一致,假如发觉版本过低,立即通知DVA
5.1.注意关键点
1、病毒事件可能在任何时间发生,所以响应速度是很关键。
假如第一个被通知人不能立即抵达现场应该立即通知另一个相关人员,所以事件响应人员应该确定自己能否立即赶到,以免延误对病毒事件处理。
2、发生病毒事件以后,应该谨慎地对待媒体。
假如将消息透露给不合适人可能会造成部分意想不到后果,下面章节中会具体谈到信息公布策略。
3、对病毒警报配置
●在用户端出现病毒时通知报警管理台,管理台应该是DVA机器,应为当发觉有病毒,立即会在DVA机器上出现信息描述哪台电脑出现病毒,DVA然后能够立即处理。
●在文件服务器上或网关服务器上发觉有病毒除了通知IVO,还需要通知传送病毒用户,让她必需升级病毒数据库和杀毒引擎,然后对机器全部盘符进行全方面病毒检验。
4、假如**不能够设置DVA,那么DVA工作应该由IVO负责。
5.2.病毒事件发觉
无疑,每一个使用计算机人所能碰到最糟糕情形就是因为病毒攻击而造成自己系统瓦解或是关键数据丢失。
所以知道在这种情况下怎样做最适宜,将能把把损失降到最低程度。
病毒出现,通常会造成以下症状,所以,在计算机出现以下症状时候,我们必需警惕:
是不是病毒侵犯已经到来:
1.电脑动作比日常迟钝
2.程序载入时间比日常久
有些病毒能控制程序或系统开启程序,当系统刚开始开启或是一个应用程序被载入时,这些病毒将实施她们动作,所以会花更多时间来载入程式。
3.对一个简单工作,磁盘设备似乎花了比预期长时间.
比如:
储存一页文字若需一秒,但病毒可能会花更多时间来寻求未感染档案。
4.不平常错误讯息出现
比如你可能得到以下讯息:
writeprotecterrorondriverA
表示病毒已经试图去存取磁盘并感染之.尤其是当这种讯息出现繁复时,表示你系统已经中毒了!
5.硬盘指示灯无缘无故频繁闪动
当你没有存取磁盘,但磁碟机指示灯却在频繁闪动,电脑这时已经受到病毒感染了!
6.系统记忆体容量忽然大量降低
有些病毒会消耗可观记忆体容量,曾经实施过程序,再次实施时,忽然告诉你没有足够空间能够利用,表示病毒已经存在你电脑中了!
7.磁盘可利用空间忽然降低
这个讯息警告你病毒已经开始复制了!
8.可实施档大小改变了!
正常情况下,这些程序应该维持固定大小,但有些较不聪慧病毒,会增加程式大小
9.坏轨增加
有些病毒会将一些磁区标注为坏轨,而将自己隐藏其中,于是往往扫毒软体也无法检验病毒存在,比如DiskKiller会寻求3或5个连续未用磁区,并将其标示为坏轨。
10.程序同时存取多个磁盘设备
11.记忆体内增加来路不明常驻程式
12.档案奇怪消失
13.档案内容被加部分奇怪资料
14.档案名称,副档名,日期,属性被更改过
对发觉病毒报警,当用户端发觉有病毒,经过报警消息方法传送到部门防病毒管理员和信息部防病毒管理员,同时制度要求不许可用户打开发觉有病毒文件。
另外,需要注意事项以下:
●系统用户发觉病毒时,首先用户端防病毒系统会杀病毒,当病毒能够被杀掉,通知防病毒管理员病毒名称,管理员在把情况统计到病毒日志中。
●系统用户发觉病毒,但不能够杀掉病毒,依据情况考虑:
a.文件不关键,把含病毒文件删除掉.;同时通知管理员该情况,让管理员统计病毒日志,而且到网站上下载最新杀毒引擎。
假如最新杀毒引擎仍不能杀死病毒,须立即和防病毒厂商联络,把病毒名称及类型告诉厂商。
b.对于很关键文件,发觉有病毒杀不掉,同时又不能删除文件时,不能够让用户直接打开文件,这么病毒就直接运行了,所以我们必需要有制度要求用户不能够打开含有病毒文件。
正确处理为:
把含有病毒文件放到文件隔离区对应文件夹中,同时通知最高防病毒管理员,然后管理员在把含有病毒文件发给厂商处理,取得最新杀毒引擎后,把隔离区文件病毒杀掉,在返还给用户。
●系统用户没有发觉用户端病毒报警,但发觉电脑系统或网络发生非正常情况(防病毒管理员提供最近病毒发作特征,在内部网上公布),立即通知管理员。
管理员立即升级最新病毒数据库及杀毒引擎。
对企业网关,文件服务器及用户端进行全方面杀毒。
假如最新杀毒引擎仍不能杀死病毒,须立即和防病毒厂商联络,把病毒名称及类型告诉厂商。
5.3.处理步骤
5.3.1.保留日志
事件日志对于安全事件处理和调查很关键,病毒事件可能在其刚刚发生时就暴露,也可能在发生过程中或发生以后才被发觉,所以全部病毒事件全部应该有一份书面经过调查证实足够客观日志,而且应该把日志妥善保留以免被修改。
因为在线日志很轻易被修改和删除,所以手工统计是必需。
应该统计信息有:
●和病毒事件相关全部电话日期和时间;
●相关事件发生(或发觉)日期和时间;
●处理对应事件所用时间;
●值班人员或事件协调小组通知人员和和事件相关人员;
●受影响系统名称(或IP地址),受影响程序和网络。
另外,需要注意,统计病毒事件恢复过程中采取每一步方法,也是很关键。
恢复一个被病毒侵入系统是一件很麻烦事,可能要花费大量时间,所以常常会使人作出部分草率决定。
统计自己所做每一步能够帮助避免作出草率决定,还能够留作以后参考。
5.3.2.隔离系统
快速将受到病毒感染系统和网络中其它系统隔离开,假如怀疑是蠕虫事件,则应该断开网络和外网连接;
网络隔离是预防蠕虫扩散一个方法,但因为工程师可能需要到对应网站上去下载杀毒软件升级包,所以和外网隔离会对以后清理工作带来部分麻烦,IT主管负责决定是否和外网隔离,并指派人统计全部采取行为;
不要将系统断电,不要重新引导系统,有些病毒会在系统重启时破坏磁盘中数据,同时也可能破坏有用信息或消除部分证据。
假如在恢复过程中,没有断开被病毒侵入系统和网络连接,在进行恢复过程中,恶意病毒入侵者(假如存在话)就可能连接到主机,破坏正在进行恢复工作。
5.3.3.确定问题
尽可能找出病毒或蠕虫文件和进程并将其隔离。
在删除文件和杀掉进程之前,先做一个系统快照并妥善保留。
假如找到了病毒或蠕虫代码,将其移到安全地方或用磁带将其保留,然后删除中毒文件。
列出全部活动网络连接,在技术人员帮助下对系统做快照;
假如其它地方曾经遭受类似事件,请向她们咨询,可能会很快找四处理措施,并统计全部行为。
5.3.4.消除病毒或蠕虫
杀掉全部可疑进程,dump系统到磁带,贴好标签,妥善保留。
删除全部怀疑中毒文件或病毒文件,对于蠕虫事件,只有全部系统全部处理完成并采取了防护方法后才能重新恢复和外网连接。
更新防病毒软件病毒引擎和最新病毒定义库,并用这个最新病毒引擎和病毒定义库来根本查杀系统中病毒。
假如病毒是已知,就能够到各大防病毒软件厂商网站去下载最新病毒专杀工具,并用这些专杀工具来根本查杀系统中病毒。
对于未知病毒,应该将可疑文件打包提交给著名反病毒厂商寻求帮助:
这些防病毒厂商会对这些可疑文件进行检验,提取可能存在病毒样本,并开发出新杀病毒引擎和病毒定义代码库,并将感染病毒以后文件进行修复,最终将安全文件反馈给用户。
注意,有病毒因为不是依附在其它文件上,或是破坏了原有文件,这么病毒可能不能正确地杀除,此时需要对病毒实施隔离。
相关隔离区设置,提议**建立一个专门隔离服务器,设置专门隔离区,为每个部门建立一个文件夹,然后为部门每个人建立一个文件夹,当发觉关键文件病毒杀不掉,先放到隔离区中。
同时要做好文件夹访问控制工作。
5.3.5.加固系统
加固系统或升级杀毒软件使系统免受深入破坏,在采取这些方法之前,有必需对系统损坏程度进行评定,并对恶意代码进行分析;
一旦系统恢复到安全状态,任何修复方法和升级包全部应该先做试验,证实安全后才能采取。
统计全部行为。
强烈提议安装全部安全补丁,要使系统能够抵御外来病毒攻击,不被再次侵入,这是最关键一步。
应该关注全部针对自己系统升级和补丁信息。
只配置系统要提供服务,取消那些没有必需服务。
检验并确信其配置文件没有脆弱性和该服务是否可靠。
通常,最保守策略是取消全部服务,只开启你需要服务。
5.3.6.恢复到日常状态
在将系统恢复到正常工作状态之前,应该通知第一部分提到全部相关人员;
恢复后,通知用户。
最好要求全部用户全部改变口令,在恢复和外部连接之前,确定全部受到影响地方全部成功地恢复到正常状态。
统计全部行为。
5.3.7.公布消息
假如病毒/蠕虫事件比较严重,那么在病毒事件发生和调查过程中可能会引来外界格外关注,此时应该注意消息保密,将消息透露给不合适人,尤其是媒体记者可能会造成不良后果。
所以全部消息公布全部应该得到ISO同意或ISO指派责任人同意;
媒体采访要求应该向部门领导汇报,诸如事件所牵涉帐户、程序和系统等特殊信息不能经过电话提供给任何无关人员,即使她声称是受到影响其它节点安全责任人;
部分可疑电话问询应该上报CSO或部门领导;
假如不能确定一些消息是否能够公布,请向CSO或ISO问询。
商业必需为反病毒战术提供资源,而且支持降低最终用户行为风险、或修补费用和破坏企业声誉风险IT政策。
5.3.8.事后分析和汇报
在病毒事件处理完成,全部系统恢复正常以后,应该针对事件进行分析。
集中全部相关人员来讨论所发生事件和得到经验教训,并对现有部分步骤进行重新评审,对不宜步骤进行修改。
应该从系统中根本删除诸如受到感染文件。
病毒事件汇报应该由ISO指定人来写,而且在必需时候向管理者提出建设性提议。
5.3.9.病毒事件记录表
病毒紧急事故记录表
序号:
________日期:
____年__月__日审核:
________
病毒事故征兆
发觉人员
发觉时间
现象描述
备注
病毒响应请求
汇报人员
汇报时间
汇报对象
病毒紧急响应请求简单描述
备注
病毒简单处理
处理人员
处理时间
指导人员
病毒简单处理具体内容描述
备注
病毒紧急响应
响应人员
响应时间
病毒紧急响应处理事务纪录
备注
病毒事件汇报说明:
5.3.10.病毒事件步骤图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 病毒 事件 处理 作业 流程
![提示](https://static.bingdoc.com/images/bang_tan.gif)