ISO2700信息系统反病毒应急响应处理预案.doc

信息系统反病毒应急响应处理预案(ISO27001-2021)一、反病毒应急响应处理的组织机构为了在病毒突发事件中协调关系，明确职责，统一布置公司信息系统的反病毒 应急处理，公司建立病毒事件应急响应中心公司病毒事件应急响应中心以公司分管领导直接领导、以公司信息中心为主体 建立反病毒应急处理的现场负责人为信息中心主管领导二、病毒事件分级针对公司信息网络的状态和病毒侵袭事件的特点，按照以下的标准对病毒时间 进行分级：一级病毒事件：遭到病毒严重攻击，主要设备停机或主干网络堵塞，对信息系 统的业务运作有重大影响，持续时间超过 24小时二级病毒事件：病毒侵袭公司网络系统，使现有系统的运行性能或操作性能严 重降低，或由于网络性能失常或平安事件严重影响信息网络主要业务运作，持 续时间超过8小时三级病毒事件：病毒侵袭公司网络系统并在小范围内发作，现有系统的操作性 能受损，但大局部系统业务运作仍可正常工作，持续时间超过 8小时四级病毒事件：病毒侵袭公司网络系统，在网络交换设备、网络平安设备、服 务器、存储设备等的功能或配置方面需要信息咨询或技术支持但病毒事件对 信息系统的业务运作几乎没有影响，持续时间超过 48小时。

一般定义，四级病毒事件属于日常运行维护范畴；三级病毒事件仍作为日常运 行维护处理，但需要向信息中心主管领导汇报；二级病毒事件和一级病毒事件 属于应急响应处理工程，病毒事件从三级升级到二级时，系统管理人员应自动 转入应急响应处理，同时向公司主管领导汇报三、故障响应各级病毒事件的最晚响应时间为:响应时间一级y黄毒事件一级y黄毒事件一级病母事件四级病毒事件1小时系统管理人员信息中心领导系统管理人员2小时分管副总经理信息中心领导系统管理人员4小时技术支井专家分管副总经理技术支井专家信息中心领导系统管理人员12小时技术支井专家技术支井专家四、资源和环境资源准备1 .防病毒软件工具本公司配备以下防杀毒软件：趋势防毒墙网络版软件〔主要的网络防杀毒软件〕趋势防毒墙效劳器版软件〔主要的网络防杀毒软件〕瑞星杀毒软件网络版〔备用的网络防杀毒软件〕诺顿防病毒软件〔特定设备上使用的防杀毒软件〕金山毒霸杀毒软件〔备用的单机版杀毒软件〕在信息中心机房应保存趋势防病毒软件最新版本的光盘，并确认可以通过网络 迅速取得该软件最新版本的病毒码备用和特定设备的杀毒软件光盘也必须保 存在信息中心机房内，并及时进行版本更新2 .操作系统及补丁包a.信息中心主机房应常备以下操作系统的光盘：IBM AIX 5L for POWER V5.1SUN Solaris 2.6Windows 2000 Advanced Server 中文版Windows 2000 Server 中文版Windows 2000 Professional 中文版Windows NT Server 中文版Windows NT Workstation 中文版Windows XP中文版Windows 98中文版 〔第二版〕b.信息中心主机房应常备以下操作系统补丁包的光盘：Windows NT Service Pack 6Windows 2000 Service Pack 4Windows XP Service Pack3 .拨号通讯设备拨号通讯设备在公司信息网络与因特网的连接出现故障，无法直接升级杀毒软件和从效劳商得到技术效劳时使用。

平时应保持其完整可用a. 56k调制解调器一台b.直拨 线一路c.配套的连接电缆和驱动软件五.病毒事件的处理1 .更新防毒墙效劳器版和防毒墙网络版通过配置效劳器使之从****更新效劳器下载组件来更新，下载任何可用更新之 后，效劳器会基于“更新 ＞客户机部署〞下“自动部署〞屏上指定的部署时间表 来将这些更新部署到客户机一般情况下，****每天(有时是几个小时)都会更新组件发生任何级别的病毒事件，都必须首先检查并更新防毒墙效劳器版和防毒墙网 络版a.更新防毒墙效劳器版信息效劳器(1)更新组件防毒墙效劳器版的更新组件包括：程序组件病毒码文件扫描引擎〔2〕使用立即下载更新信息效劳器1〕单击边栏上的“更新 ＞更新〞或单击主菜单上的“执行 ＞更新〞2〕单击“更新〞主窗口上的“立即下载〞将出现显示到更新完成为止所剩时 间的进度条〔3〕配置信息效劳器预设下载1〕单击边栏上的“更新 ＞更新〞或单击主菜单上的“执行 ＞更新〞2〕在“下载〞下，单击配置出现“下载选项〞窗口3〕单击“预设设置〞选项卡4〕输入或选择下载频率、时间5〕选择“重试〞复选框以指示在初始下载操作不成功时尝试重新连接下载服 务器，并输入或选择次数与每个重试之间的延迟。

6〕单击“确定〞下载的文件将保存在信息效劳器的以下目录中：\trend\sprotect\spntshareb.更新防毒墙网络版效劳器防毒墙网络版提供以下更新效劳器的方法：〔1〕基于时间表更新效劳器1〕单击边栏上的“更新 ＞效劳器更新 ＞ 自动更新〞显示自动更新屏2〕选中“启用防毒墙网络版效劳器的预设更新〞复选框3〕在“组件〞框中，选择要更新的组件4〕在“更新时间表〞下，指定执行预设更新的时间表5〕在“更新源〞下面，选择要从中下载更新的位置6〕如要使效劳器在更新尝试失败后继续重试，应选中“程序更新重试〞下面的“更新尝试失败后继续重试〞复选框选择“重试次数〞和“时间间隔〞 7〕单击“保存〞〔2〕手动更新效劳器1〕单击边栏上的“更新 ＞效劳器更新 ＞手动更新〞显示手动更新屏，显示当 前组件、版本号以及上次更新的日期等2〕在“更新源〞下面，选择从更新效劳器接受更新还是从其他更新源接受更 新并键入源URL3〕单击“更新〞效劳器会检查****更新效劳器上有无更新的组件 如果有可 用更新，那么会显示在“ ****可用的更新〞屏中，包括组件名称和版本号4〕选中要更新的组件的复选框5〕单击“更新〞效劳器会下载更新的组件。

c.更新标准效劳器〔1〕预设部署默认情况下，防毒墙效劳器版会在安装标准效劳器的时候自动创立三项默认任 务：扫描、统计和部署，当下载更新后，会自动向标准效劳器分发最新更新 手动创立任务的操作步骤：1〕在域浏览树上选择信息效劳器、域或标准效劳器2〕单击主菜单上的“执行 ＞新建任务〞或单击边栏上的“任务 ＞新建任务3〕单击“创立〞4〕在创立新任务窗口的现有任务列表中选择希望包含在此任务中的功能5〕单击“添加任务项〞向选定任务列表添加选定的功能选择“创立为预设 任务〞复选框6〕单击“创立〞出现“任务向导〞窗口7〕单击“下一步〞在“预设设置〞中输入或选择频率、日期、时间等8〕单击“下一步〞继续，为立即扫描指定目标扫描任务必须运行在指定的 驱动器上一般应选择所有本地驱动器9〕单击边栏上的“任务 ＞现有任务〞或单击主菜单上的“执行 ＞现有任务〞 检查现有任务列表〔2〕立即部署当发现全部或局部标准效劳器未得到及时更新，应使用立即部署功能向标准服 务器部署保存在信息效劳器中的更新立即部署的操作：1〕单击边栏上的“更新 >更新〞或从主菜单单击“执行 >更新〞2〕单击“立即部署〞出现确认窗口单击“是〞继续，出现部署窗口。

效劳 器树中将显示每个效劳器组件的当前版本默认情况下，将选定病毒码版本复 选框3〕选择需要更新的组件的复选框要更新标准效劳器中的所有组件，可选择 效劳器复选框4〕单击“部署〞激活部署过程，或单击“取消〞停止d.更新防毒墙网络版客户机〔1〕使用“自动部署〞更新1〕单击边栏上的“更新 > 客户机部署 > 自动部署〞显示“自动部署〞屏 幕2〕在“事件触发部署〞下，选择部署更新的时间以及是否扫描客户机正常 情况下应选择“防毒墙网络版效劳器下载完新组件后立即部署到客户机〞和“在 客户机重启时部署到客户机上〞〔2〕使用“手动部署〞更新客户机1〕单击边栏上的“更新 > 客户机部署 > 手动部署〞显示“手动部署〞屏 幕2〕在“部署目标“下面，选择更新所有组件过期的客户机或选择指定的客户 机3〕选顶所有要更新的客户机后，单击“通知〞效劳器应开始通知每个客户机 下载更新〔3〕使用“立即更新〞更新客户机1〕右键单击防毒墙网络版客户机系统托盘中的防毒墙网络幅员标出现防毒 墙网络版快捷菜单2〕单击“立即更新〞显示“立即更新设置〞屏3〕系统未设“代理效劳器〞，单击“立即更新〞即可应出现显示组件下载进 度的状态屏2 .病毒扫描实时扫描监控效劳器上所有输入和输出文件的感染特征，因此可以防止将被感染文件复制到效劳器或从效劳器复制被感染文件。

实时扫描是系统默认的日常任务立即扫描将立即检查全部或某台效劳器是否受病毒攻击在系统发生病毒事件 或疑心某效劳器已被感染，应使用“立即扫描〞检查所有效劳器是否处于无病 毒状态a.在系统控制效劳器上执行“立即扫描〞的步骤：1〕单击域浏览树上的信息效劳器、域或标准效劳器2〕单击边栏上的“立即扫描 ＞立即扫描〞或“执行 ＞立即扫描〞3〕在“立即扫描配置〞窗口中，应选择“所有本地驱动器〞、“所有文件〞、“扫 描OLE层〞，设优先级为“高〞4〕单击“立即扫描〞b.在Windows标准效劳器上运行立即扫描1〕翻开标准效劳器上的“资源管理器〞2〕单击安装ServerProtect所在的文件夹，默认位置是：3） C:\Program Files\Trend\Sprotect4） 双击ScanNow.EXE将执行立即扫描5〕可使用如下所示的带停止开关参数的命令停止立即扫描：C:\Program Files\Trend\Sprotect\ScanNow.EXE /STOPc. 网络客户机的立即扫描1〕单击边栏上的“客户机〞显示客户机的域树屏幕2〕单击域树中响应的图标选择要运行 “立即运行〞的域或客户机要选择所有 的域和客户机，应单击根图标。

3〕单击边栏上的“立即扫描〞出现“立即扫描〞屏幕，显示选择的客户机或 域4〕在计算机下，选择要运行“立即扫描〞的客户机，然后单击“启动通知〞 效劳器将向客户机发送一个运行“立即扫描〞的请求3. “病毒爆发〞控制趋势防毒墙网络版提供了控制网络病毒爆发的几种方法，包括监控网络上的可疑活动、阻塞重要的客户计算机端口和文件夹等病毒爆发〞控制在发生二级及以上病毒事件时使用a.使用“爆发阻止〞〔1〕阻塞共享文件夹1〕单击边栏上的“爆发阻止显示客户机的域树屏幕2〕单击域树中的图标以选择想要启用 “爆发阻止〞的域或客户机要选择所有 的域和客户机，应单击根图标3〕单击边栏上的“立即部署〞显示“爆发阻止设置〞屏幕4〕在“爆发阻止设置〞下，选择“共享文件夹阻塞〞5〕单击“激活设置〞，启用选定域或客户机上的“爆发阻止〞显示当前的爆发 阻止设置〔2〕阻塞端口1〕单击边栏上的“爆发阻止显示客户机的域树屏幕2〕单击域树中的图标以选择想要启用 “爆发阻止〞的域或客户机要选择所有 的域和客户机，应单击根图标3〕单击边栏上的“立即部署〞显示“爆发阻止设置〞屏幕4〕在“爆发阻止设置〞下，选择“阻塞端口〞复选框5〕配置端口阻塞设置，指定需阻塞。