计算机防病毒管理制度.doc

计算机防病毒管理制度为了进一步做好计算机病毒的预防和控制工作，切实有 效地防止病毒对计算机及网络的危害，实现对病毒的可持续控制，特制定本制度一、指导思想在防病毒工作中，以构建预防为主、防杀结合的计算机 病毒长效管理与应急处理机制，全面落实“早发现、早报告、 早隔离 早防杀”的防病毒工作原则，提高快速反应和应急 处理能力，将防治工作纳入科学化和规范化的轨道，保障计 算机网络系统的安全性和稳定性)工作原则1 •预防为主 宣传普及计算机病毒防治知识，提高防护意识，加强日常监测，发现病毒案例及时采取有效的预防与控制措施，迅 速切断传播途径，控制病毒传播和蔓延2. 规范制度严格执行有关企业内部安全管理规章制度，对病毒的预 防情况报告、控制和防杀工作要按照规章制度管理对于 违反安全管理规章制度的人员，给予批评教育，严重者给予纪律处分3. 属地负责制计算机病毒的预防与控制，实行上下结合、属地管理为主的方式省局（公司）信息中心对全省网络的病毒防治工 作负总责下属分公司对自身网络区域计算机病毒防杀工作 负责在发生大规模病毒传播时，省局（公司）信息中心对 下属分公司的资源统一指挥调度O4. 分级控制根据计算机病毒传播情况，将病毒影响情况分为等级进 行预警，并实施分级控制。

发生不同状况时，启动相应级别 的应急方案5 .快速反应依据“属地负责制”的原则建立预警和病毒防杀快速反 应机制，增强应急处理能力按照“四早”原则，保证发现、 报告、隔离 防杀等环节的紧密衔接，一旦出现大规模病毒 感染，快速反应，进行及时准确的处置工作6.依靠技术贯彻依靠技术手段的方针，实施科学防治规范防控措 施与操作流程，实现病毒防治工作的科学化 规范化二、组织管理（—）决策领导机构省局（公司）信息中心组建计算机病毒防治委员会（以下简称"防毒委员会是病毒防护工作最高决策领导机构, 防毒委员会由省局（公司）信息中心网络安全负责人直接领 导根据计算机病毒发展预测和变化情况，不定期召开会议, 研究决定***烟草计算机病毒工作的重要事项和决策二）日常管理机构省公司信息中心是全省防病毒工作的主管部门应建立计算机病毒应急小组（以下简称“应急小组”），成员包括省 局（公司）信息中心防病毒技术人员及下属各分公司信息技 术人员，具体负责计算机病毒防治的组织管理与监督检查工 作；同时负责日常防病毒的情况报告、信息沟通与组织协调 工作三）分支机构职责各地区信息中心对本地网络计算机病毒防治工作负总责指定至少2名信息技术人员参加计算机病毒应急小组, 根据本预案研究制定各地区内计算机病毒防治工作应急预 案；发现病毒情况，启动地区内应急预案；组织协调\督促 检查地区内各部门、各单位和员工落实病毒防治措施。

三、病毒应急响应病毒应急响应工作分为以下六个步骤进行：应急预案准 备、应急预案演练 应急确认、应急处理、应急消除和应急 工作总结―)应急预案准备在日常工作中，应定期进行防病毒应急预案的准备，准备工作包括防病毒应急预案的建立、防病毒应急组织的建立、 防病毒处理方法的积累、对本地网络环境的深入了解等)应急预案演练为确保今后防病毒应急响应的工作效果，应定期进行应急预案演练演练时间可以定在不影响正常业务的时间应急演练应提前通知，并确保相关人员到位参加演练利用扫描工具模拟网络病毒的传播，由日常维护人员、防病毒应急小组共同参与演练过程三)应急确认应急的确认是触发防病毒应急工作的第一个关键点日常维护人员监测网络病毒状况，发现病毒后进行初步 统计，确认病毒是否已经大范围传播(如病毒已感染3个以 上的网段)，此时病毒的传播将会影响到网络性能或主机工作性能日常维护人员确认病毒的危急情况后，及时通知防病毒应急小组应急小组及时通过安全工具和网络设备检查病毒传播规模及影响情况，确认病毒的危害性后，上报计算机病 毒防治委员会四）应急处理防毒委员会向防病毒应急小组下达应急工作任务后，应 急小组应及时制定针对此次病毒情况的应急预案，同时根据 预案展开工作。

应急小组工作流程如下： 应急小组首先应对病毒感染源及传播途径进行检查，同时通过网络安全产品辅助统计网络中感染病毒的计算机IP 地址发现下属地区有病毒外部传播时，应先通知其病毒状况及将要针对其采取的应急措施对于病毒感染严重地区，应通过在下属地区至省局（公司）网络通信链路上的防火墙或路由器进行控制设置，隔离 该地区网络，将病毒控制在各个地区内将病毒控制在各个地区之后，根据统计中毒计算机的IP 地址，对这些计算机采取进一步的断网措施并拔下网线病毒感染源断网之后，应急小组应采取病毒库升级、操作系统补丁升级、使用病毒专杀工具（根据病毒表现形式确 认病毒类型后，去防病毒厂家网站下载专杀工具）对于无 法进行上述步骤的计算机，尝试进入计算机安全模式后，再 进行上述防毒措施同时，对于没有设置密码的计算机应加 设密码，关闭计算机无需开放的服务对于蠕虫类型的网络病毒，其会存活于交换机、路由器缓当中，因此在发现诸如蠕虫类病毒时，在确保计算机客户 端杀毒工作完成的同时，可将网络设备进行关闭后重启操作, 彻底消除网络中的病毒（五）应急消除当网络病毒情况予以遏制时，可以解除应急状态应急 消除的工作流程如下：各地区对网络进行彻底杀毒和系统升级后，上报防病毒 应急小组。

应急小组解除对上报单位的网络隔离措施，同时利用网络安全产品辅助监测该地区是否还有病毒待全部地区完成病毒防杀工作后，防病毒应急小组上报计算机防病毒委员，由防毒委员根据应急小组工作效果下达 应急消除命令)) 应急工作总结应急工作完成后，还应对本次应急工作进行总结，记录 本次病毒感染传播影响范围，记录病毒感染特征及杀毒使用 的成功方法，以书面形式将全部应急处理过程记入防病毒知 识库，以供以后使用同时将此次应急处理工作形成防病毒 应急报告，上报给防毒委员会和相关信息中心的领导四、防病毒工作项目检查 计算机病毒的预防与控制工作实行条块结合、以块为主、所属地管理省公司信息中心对全省网络的病毒防治工作负 总责下属分公司对自身网络区域计算机病毒防杀工作负责我们采用的McAfee防病毒系统总体方案是以建立全方 位、多层次的病毒防护系统，实现“集中监控 分级维护” 的防病毒工作体系，以省公司企业网内部防病毒系统统一升 级的方式,并贯彻和执行防病毒的安全策略防病毒产品组成：服务器软件EPO、推送软件Agen t、 客户端软件 NetSh ieldVi rusScan(-)日常维护和检查防病毒系统的更新和升级:每日须进行防病毒系统的更新和升级，对于运行良好的 防病毒系统，保持最新的病毒定义码和扫描引擎文件是非常 重要。

浏览Me Afee的升级服务器或M cAfee的网站以查看 是否有更新：A. McAfee的升级服务器地址：（注意：大小写）B. Me Afee的网址:如果有更新文件，拷贝更新文件到10.32.0.19服务器 FTP目录的updat e目录内2. 查看最新病毒信息和系统补丁公告：每日须进行查看病毒信息和系统补丁公告病毒大多数 都采用了微软的漏洞来进行传播和感染，所以，在最短的时 间内了解最新的病毒信息和微软的补丁公告，可以争取时间, 起到防患于未然的作用可以浏览一下相关网站来获取信息:A. McAfee:B. M i crosoft:C. 其他权威安全站点3. 网站防病毒预报的更新和维护：随时进行网站防病毒预报的更新和维护，防病毒预报是 了解防病毒相关信息的窗口，随时更新防病毒预报可以让各 地区防病毒管理员和其他人员在第一时间了解到最新的信 息防病毒预报流程如下：需要更新的内容有：A. 最新病毒公告（随时）B. 微软补丁公告及解决方案（随时）C. 网站知识库（定期）D •其他内容（定期）4. EPO服务器的维护：E P0服务器是整个防病毒系统的管理中心，如果出现问 题，势必影响到整个防病毒系统的运行。

必需每天进行维护 工作，这样可以第一时间发现问题，第一时间的解决问题, 维持整个防病毒系统良好运行需进行的EPO维护工作有：A. 登录EPO服务器查看EPO服务器运行是否正常，并使用远程控制台检查B. 检查EPOserverev ent log及OS系统与EPO相关的日 志记录，能及时发现问题C. 检查E POrEPOs i tory各种产品的nap和cata I og. z文D. 检查EPO分组设置，查看客户端病毒感染和查杀情况并据此检查和合调整防护策暁E. 检查EPOpuI I task设置及日志，以及EPO分布式rEPOsi otry设置，以保证DA T的及时下载和部署F •检查EPOagent的设置与EPOserver通信时间策略执行的时间间隔指向的EP OrEPOsitory库列表及在客户端的设置情况6.检查EPO各种任务EPOdep I o yment任务设置E PODATupdate任务设置on-dema ndscan 任务设置H.检查VSE7. 10在E P0中的配置常规设置默认进程区分服务器与客户端的不同配置.检查VSC4. 51配置J.检查主要的EPO报告ToplOVi rus rEPOrtTopi Oinfectedmachine(3)DAT/en gi necoverageProductpro tect ionsumma ryAgenttoS erv i ceconnec t i on i nfoK.检查数据库的状态检查库的完整性优化配置定期完成数据库的备份(自动/手动，每月进行)5 .Webshield设备的维护:Webshie Id设备(E500)目前起用了 SMTP扫描，扫描进入网络中的邮件，目前大多数病毒都采用邮件传播的手段, 这也是最快的转播手段之一，WebshieI d设备目前所担任的工作就是拦截邮件病毒进入网络，目前每天都拦截到数量巨影响到整个防病毒系统。

需进行的维护工作有:A •登录Webshield管理界面以确定Websh ield正常运行查看SMTP扫描运行状态B. Webshield的硬件状态的检查Raid状态硬盘状态设备系统状态C. Webshi eld当前的DAT与En gine,必须保持up-to-dateD. We bshield当前的配置情况SMTP配置CPU、内存和硬盘的实时检测（使用实时监控工具远程 监控），如出现异常要立即处理E. Webshield日志报告，注意导出备份F. Webshie Id的配置文件的保存及维护，以供将来检查或恢复。