返回
18-病毒事件处理流程

18-病毒事件处理流程

ID:22313109

大小:183.50 KB

页数:14页

时间:2018-10-28

18-病毒事件处理流程_第1页
18-病毒事件处理流程_第2页
18-病毒事件处理流程_第3页
18-病毒事件处理流程_第4页
18-病毒事件处理流程_第5页
资源描述:

《18-病毒事件处理流程》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、密级:文档编号:项目代号:病毒事件处理流程V1.0目录1.概述41.1.引言41.2.读者42.病毒事件处理42.1.组织架构52.2.注意要点72.3.病毒事件的发现82.4.处理流程102.4.1.保留日志102.4.2.隔离系统102.4.3.确定问题112.4.4.消除病毒或蠕虫112.4.5.加固系统122.4.6.恢复到日常状态122.4.7.公布消息132.4.8.事后分析和报告132.4.9.病毒事件登记表132.4.10.病毒事件流程图151.概述1.1.引言本文的目标是为**的技术人员提供一个比较实用的病毒事件处理过程。本文对病毒事件的定义

2、是:**环境中任何发现感染病毒/蠕虫的事件,例如:电子邮件系统感染并传播病毒/蠕虫、计算机文档被病毒破坏、服务器遭受恶性蠕虫的攻击等。一些典型的病毒事件可能是这样的:计算机病毒实时监控程序报告系统中有病毒,并且已经清除;计算机病毒实时监控程序报告系统中有病毒,但是无法清除;发现系统中运行着一个陌生的进程而且这个进程占用了大量的CPU时间;病毒事件的处理分为五个步骤:保护系统和数据、确定问题根源、控制面、解决问题、系统和数据恢复、事后分析和报告。1.2.读者本文档的读者包括**的IT系统的管理人员、设计者、集成商以及本项目评审者。2.病毒事件处理计算机病毒是一个

3、程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁

4、盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或

5、程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。虽然病毒和蠕虫有很多不同的特点,但二者的处理过程除了隔离系统和时间要求不同之外,其他基本相同。病毒事件的时间紧迫性远弱于蠕虫和黑客事件。蠕虫会自动复制并且在短时间内传染上百台机器,因此处理时间至关重要,如果不能确定事件究竟属于那种类型,就按照蠕虫的相关过程处理。1.1.组织架构我们建议的**建立以下相关的人员组织病毒事件紧急相应架构如下,这样做的目的,其一是为了保持与其他紧急事件的响应体系兼容共存,其二是为了保持这些紧急响应体系的一致性:IVO–总体防病毒主管(Install

6、ationVirusOfficer)DVA–部门防病毒管理员(DepartmentVirusAdministrator)NU-普通员工(NormalUser)在病毒爆发以前,IT安全组织必须建立全面的病毒爆发/入侵反应程序,他们应该清楚定义每个角色,个人的职责,以及协作的地方。IT组织必须指派一名IVO,作为安全事件响应小组的领导。这个主管应该负责建立反病毒程序,对监控和事件反应小组进行培训,处理反病毒事件,并对电子邮件桌面设置和网络浏览器设置提出建议。防病毒专职负责制度体系的结构应该如下:1.IVO负责的工作应该:l通知已感染文件(此时,这些文件已经传输出去

7、了)的“收件人”。l调查在“输出”电子邮件或文件过程中检测到的所有病毒的“源”,因为这将表明,无法在用户工作站扫描文件或无法使用未扫描的软盘或CD-ROM。l请将所有病毒事件和采取的措施通知信息主管,以最小化造成的损失并防止此类事件的再次发生。l询问是否要保留相应的程序和防护措施,并适当进行更新。l考虑指定一部特定的电话分机作为病毒“热线”,可保留病毒和其他恶意代码报告/警告,当客户发现病毒,可以通过电话直接告诉IVO,进行及时处理。l准备“病毒事件响应计划”,并将该计划分发给所有的系统用户。l在受到病毒攻击之后,请考虑定期复查关键业务流程所用的软件和文件,以

8、便识别和调查未经授权和/或可疑的更改。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。