病毒事件处理流程.doc

密 级 文档编号 项目代号 病毒事件处理流程病毒事件处理流程 V 1 0 目录目录 1 概述概述 4 1 1 引言 4 1 2 读者 4 2 病毒事件处理病毒事件处理 4 2 1 组织架构 5 2 2 注意要点 7 2 3 病毒事件的发现 8 2 4 处理流程 10 2 4 1 保留日志 10 2 4 2 隔离系统 10 2 4 3 确定问题 11 2 4 4 消除病毒或蠕虫 11 2 4 5 加固系统 12 2 4 6 恢复到日常状态 12 2 4 7 公布消息 13 2 4 8 事后分析和报告 13 2 4 9 病毒事件登记表 13 2 4 10 病毒事件流程图 15 1 概述概述 1 1 引言引言 本文的目标是为 的技术人员提供一个比较实用的病毒事件处理过程 本文对病毒事件的定义是 环境中任何发现感染病毒 蠕虫的事件 例如 电子邮件系统感染并传播病毒 蠕虫 计算机文档被病毒破坏 服务器遭受恶性 蠕虫的攻击等 一些典型的病毒事件可能是这样的 计算机病毒实时监控程序报告系统中有病毒 并且已经清除 计算机病毒实时监控程序报告系统中有病毒 但是无法清除 发现系统中运行着一个陌生的进程而且这个进程占用了大量的 CPU 时间 病毒事件的处理分为五个步骤 保护系统和数据 确定问题根源 控制面 解决问题 系统和数据恢复 事后分析和报告 1 2 读者读者 本文档的读者包括 的 IT 系统的管理人员 设计者 集成商以及本项目评 审者 2 病毒事件处理病毒事件处理 计算机病毒是一个程序 一段可执行码 就像生物病毒一样 计算机病毒 有独特的复制能力 计算机病毒可以很快地蔓延 又常常难以根除 它们能把 自身附着在各种类型的文件上 当文件被复制或从一个用户传送到另一个用户 时 它们就随同文件一起蔓延开来 除复制能力外 某些计算机病毒还有其它一些共同特性 一个被污染的程 序能够传送病毒载体 当你看到病毒载体似乎仅仅表现在文字和图像上时 它 们可能也已毁坏了文件 再格式化了你的硬盘驱动或引发了其它类型的灾害 若是病毒并不寄生于一个污染程序 它仍然能通过占据存贮空间给你带来麻烦 并降低你的计算机的全部性能 可以从不同角度给出计算机病毒的定义 一种定义是通过磁盘 磁带和网 络等作为媒介传播扩散 能 传染 其他程序的程序 另一种是能够实现自 身复制且借助一定的载体存在的具有潜伏性 传染性和破坏性的程序 还有的 定义是一种人为制造的程序 它通过不同的途径潜伏或寄生在存储媒体 如磁 盘 内存 或程序里 当某种条件或时机成熟时 它会自生复制并传播 使计 算机的资源受到不同程序的破坏等等 这些说法在某种意义上借用了生物学病 毒的概念 计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络 危害正常工作的 病原体 它能够对计算机系统进行各种破坏 同时能够自 我复制 具有传染性 所以 计算机病毒就是能够通过某种途径潜伏在计算机存储介质 或程序 里 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程 序或指令集合 虽然病毒和蠕虫有很多不同的特点 但二者的处理过程除了隔离系统和时 间要求不同之外 其他基本相同 病毒事件的时间紧迫性远弱于蠕虫和黑客事件 蠕虫会自动复制并且在短 时间内传染上百台机器 因此处理时间至关重要 如果不能确定事件究竟属于 那种类型 就按照蠕虫的相关过程处理 2 1 组织架构组织架构 我们建议的 建立以下相关的人员组织病毒事件紧急相应架构如下 这样 做的目的 其一是为了保持与其他紧急事件的响应体系兼容共存 其二是为了 保持这些紧急响应体系的一致性 IVO 总体防病毒主管 Installation Virus Officer DVA 部门防病毒管理员 Department Virus Administrator NU 普通员工 Normal User 在病毒爆发以前 IT 安全组织必须建立全面的病毒爆发 入侵反应程序 他们应该清楚定义每个角色 个人的职责 以及协作的地方 IT 组织必须指 派一名 IVO 作为安全事件响应小组的领导 这个主管应该负责建立反病毒程 序 对监控和事件反应小组进行培训 处理反病毒事件 并对电子邮件桌面设 置和网络浏览器设置提出建议 防病毒专职负责制度体系的结构应该如下 1 IVO 负责的工作应该 通知已感染文件 此时 这些文件已经传输出去了 的 收件人 调查在 输出 电子邮件或文件过程中检测到的所有病毒的 源 因为 这将表明 无法在用户工作站扫描文件或无法使用未扫描的软盘或 CD ROM 请将所有病毒事件和采取的措施通知信息主管 以最小化造成的损失并 防止此类事件的再次发生 询问是否要保留相应的程序和防护措施 并适当进行更新 考虑指定一部特定的电话分机作为病毒 热线 可保留病毒和其他恶意 代码报告 警告 当客户发现病毒 可以通过电话直接告诉 IVO 进行及 时处理 准备 病毒事件响应计划 并将该计划分发给所有的系统用户 在受到病毒攻击之后 请考虑定期复查关键业务流程所用的软件和文件 以便识别和调查未经授权和 或可疑的更改 对于杀不掉的病毒 与厂商直接联系 获得最新的杀毒引擎 协调各个部门的 DVA 对公司的所有服务器进行防病毒的管理和出现病毒的紧急响应 2 DVA 应该 从呼叫程序中获得与病毒本身有关的所有详细信息 包括可能的起因 以前发出的警告等 识别部门中存在问题的文件的位置 用反病毒软件扫描相关文件来确定病毒是否已经赋予免疫性 确定病毒是否感染了其他文件 若已感染其他文件 则请作出相应的响 应 若有必要 则可通过关闭工作站 甚至部分网络 也可能会要求终 止 Internet 访问 这样就可避免继续感染的可能性 与 IVO 交流病毒的详细信息 必要时寻求其他指导 与其他人交流病毒警报信息 以便提醒这些人有可能发生的事件 并发 出适当响应 负责维护部门中的防病毒软件 定期检查部门客户端的防病毒软件的升级是否正常 3 普通用户 应该 遵循公司的病毒防范的规章制度 当发现有病毒情况 马上通知 DVA 当发现机器运行缓慢或文件被破坏 丢失 及时通知 DVA 进行检查 定期查看自己的防病毒的引擎是否和其他人一致 如果发现版本过低 马上通知 DVA 2 2 注意要点注意要点 1 病毒事件可能在任何时间发生 因此响应的速度是很重要的 如果第 一个被通知的人不能及时到达现场应该立即通知另一个相关的人员 因此事件 响应人员应该确定自己能否及时赶到 以免延误对病毒事件的处理 2 发生病毒事件以后 应该谨慎地对待媒体 如果将消息透露给不适当 的人可能会导致一些意想不到的后果 下面的章节中会详细谈到信息发布的策 略 3 对病毒警报的配置 在客户端出现病毒时通知报警管理台 管理台应该是 DVA 的机器 应为当发现有病毒 马上会在 DVA 的机器上出现信息描述哪台电脑 出现病毒 DVA 然后可以及时处理 在文件服务器上或网关服务器上发现有病毒除了通知 IVO 还需要 通知传送病毒的用户 让他必须升级病毒数据库和杀毒引擎 然后 对机器的所有盘符进行全面的病毒检查 4 如果 不能够设置 DVA 那么 DVA 的工作应该由 IVO 负责 2 3 病毒事件的发现病毒事件的发现 无疑 每一个使用计算机的人所能遇到的最糟糕的情形就是由于病毒的袭 击而导致自己系统的崩溃或者是重要数据的丢失 所以知道在这种情况下怎样 做最合适 将能把把损失降到最低限度 病毒的出现 通常会导致如下症状 因此 在计算机出现如下症状的时候 我们必须警惕 是不是病毒的侵犯已经 到来 1 电脑动作比平常迟钝 2 程序载入时间比平常久 有些病毒能控制程序或系统的启动程序 当系统刚开始启动或是一个应 用程序被载入时 这些病毒将执行他们的动作 因此会花更多时间来载 入程式 3 对一个简单的工作 磁盘设备似乎花了比预期长的时间 例如 储存一页的文字若需一秒 但病毒可能会花更多时间来寻找未感 染档案 4 不寻常的错误讯息出现 例如你可能得到以下的讯息 write protect error on driver A 表示病毒已经试图去存取磁盘并感染之 特别是当这种讯息出现繁复时 表 示你的系统已经中毒了 5 硬盘的指示灯无缘无故的频繁闪动 当你没有存取磁盘 但磁碟机指示灯却在频繁闪动 电脑这时已经受到 病毒感染了 6 系统记忆体容量忽然大量减少 有些病毒会消耗可观的记忆体容量 曾经执行过的程序 再次执行时 突 然告诉你没有足够的空间可以利用 表示病毒已经存在你的电脑中了 7 磁盘可利用的空间突然减少 这个讯息警告你病毒已经开始复制了 8 可执行档的大小改变了 正常情况下 这些程序应该维持固定的大小 但有些较不聪明的病毒 会 增加程式的大小 9 坏轨增加 有些病毒会将某些磁区标注为坏轨 而将自己隐藏其中 于是往往扫毒 软体也无法检查病毒的存在 例如 Disk Killer 会寻找 3 或 5 个连 续未用的磁区 并将其标示为坏轨 10 程序同时存取多个磁盘设备 11 记忆体内增加来路不明的常驻程式 12 档案奇怪的消失 13 档案的内容被加一些奇怪的资料 14 档案名称 副档名 日期 属性被更改过 对发现病毒的报警 当客户端发现有病毒 通过报警的消息方式传送到部 门的防病毒管理员和信息部的防病毒管理员 同时制度规定不允许用户打开发 现有病毒的文件 另外 需要注意的事项如下 系统用户发现病毒时 首先客户端的防病毒系统会杀病毒 当病毒 能够被杀掉 通知防病毒管理员病毒的名称 管理员在把情况记录 到病毒日志中 系统用户发现病毒 但不能够杀掉病毒 根据情况考虑 a 文件不重要 把含病毒的文件删除掉 同时通知管理员该情况 让 管理员记录病毒日志 并且到网站上下载最新的杀毒引擎 如果最新 的杀毒引擎仍不能杀死病毒 须马上与防病毒厂商联系 把病毒的名 称及类型告诉厂商 b 对于非常重要的文件 发现有病毒杀不掉 同时又不能删除文件时 不能够让用户直接打开文件 这样病毒就直接运行了 所以我们必须 要有制度规定用户不可以打开含有病毒的文件 正确的处理为 把含 有病毒的文件放到文件隔离区的相应文件夹中 同时通知最高的防病 毒管理员 然后管理员在把含有病毒的文件发给厂商处理 获得最新 的杀毒引擎后 把隔离区的文件病毒杀掉 在返还给用户 系统用户没有发现客户端的病毒报警 但发现电脑系统或网络发生 非正常情况 防病毒管理员提供最近病毒发作的特征 在内部网上 公布 及时通知管理员 管理员马上升级最新的病毒数据库及杀毒 引擎 对公司的网关 文件服务器及客户端进行全面的杀毒 如果 最新的杀毒引擎仍不能杀死病毒 须马上与防病毒厂商联系 把病 毒的名称及类型告诉厂商 2 4 处理流程处理流程 2 4 1 保留日志保留日志 事件日志对于安全事件的处理和调查非常重要 病毒事件可能在其刚刚发 生时就暴露 也可能在发生的过程中或发生以后才被发现 因此所有病毒事件 都应该有一份书面的经过调查证明足够客观的日志 而且应该把日志妥善保存 以免被修改 由于在线日志很容易被修改和删除 所以手工记录是必要的 应 该记录的信息有 与病毒事件相关的所有电话的日期和时间 相关事件发生 或者发现 的日期和时间 处理相应事件所用的时间 值班人员或事件协调小组通知的人员和与事件相关的人员 受影响的系统名称 或 IP 地址 受影响的程序和网络 另外 需要注意 记录病毒事件恢复过程中采取的每一步措施 也是非常 重要的 恢复一个被病毒侵入的系统是一件很麻烦的事 可能要耗费大量的时 间 因此经常会使人作出一些草率的决定 记录自己所做的每一步可以帮助避 免作出草率的决定 还可以留作以后的参考 2 4 2 隔离系统隔离系统 迅速将受到病毒感染的系统和网络中的其他系统隔离开 如果怀疑是蠕虫 事件 则应该断开网络与外网的连接 网络隔离是防止蠕虫扩散的一种方法 但由于工程师可能需要到相应网站 上去下载杀毒软件的升级包 因此与外网隔离会对后来的清理工作带来一些麻 烦 IT 主管负责决定是否和外网隔离 并指派人记录所有采用的行为 不要将系统断电 不要重新引导系统 有些病毒会在系统重启时破坏磁盘 中的数据 同时也可能破坏有用的信息或者消除一些证据 如果在恢复过程中 没有断开被病毒侵入系统和网络的连接 在进行恢复 的过程中 恶意的病毒入侵者 如果存在的话 就可能连接到主机 破坏正在 进行的恢复工作 2 4 3 确定问题确定问题 尽量找出病毒或者蠕虫文件和进程并将其隔离 在删除文件和杀掉进程之 前 先做一个系统快照并妥善保存 如果找到了病毒或蠕虫代码 将其移到安全的地方或者用磁带将其保存 然后删除中毒的文件 列出所有活动的网络连接 在技术人员的帮助下对系统 做快照 如果其他地方曾经遭受类似事件 请向他们咨询 也许会很快找到解决办 法 并记录所有的行为 2 4 4 消除病毒或蠕虫消除病毒或蠕虫 杀掉所有可疑的进程 dump 系统到磁带 贴好标签 妥善保存 删除所 有怀疑中毒的文件或病毒文件 对于蠕虫事件 只有所有系统都处理完毕并采 取了防护措施后才能重新恢复与外网的连接 更新防病毒软件的病毒引擎和最新的病毒定义库 并用这个最新的病毒引 擎和病毒定义库来彻底查杀系统中的病毒 如果病毒是已知的 就可以到各大防病毒软件厂商的网站去下载最新的病 毒专杀工具 并用这些专杀工具来彻底查杀系统中的病毒 对于未知的病毒 应该将可疑的文件打包提交给著名的反病毒厂商寻求帮 助 tw 这些防病毒厂商会对这些可疑的文件进行检查 提取可能存在的病毒样本 并开发出新的杀病毒引擎和病毒定义代码库 并将感染病毒之后的文件进行修 复 最后将安全的文件反馈给客户 注意 有的病毒由于不是依附在其他文件上 或者是破坏了原有的文件 这样的病毒可能不能正确地杀除 此时需要对病毒实施隔离 关于隔离区的设置 建议 建立一个专门的隔离服务器 设立专门的隔离 区 为每个部门建立一个文件夹 然后为部门的每个人建立一个文件夹 当发 现重要文件的病毒杀不掉 先放到隔离区中 同时要做好文件夹的访问控制工 作 2 4 5 加固系统加固系统 加固系统或者升级杀毒软件使系统免受进一步的破坏 在采用这些措施之 前 有必要对系统的损坏程度进行评估 并对恶意代码进行分析 一旦系统恢复到安全状态 任何的修复措施和升级包都应该先做实验 证 明安全后才能采用 记录所有的行为 强烈建议安装所有的安全补丁 要使系统能够抵御外来的病毒攻击 不被 再次侵入 这是最重要的一步 应该关注所有针对自己系统的升级和补丁信息 只配置系统要提供的服务 取消那些没有必要的服务 检查并确信其配置 文件没有脆弱性以及该服务是否可靠 通常 最保守的策略是取消所有的服务 只启动你需要的服务 2 4 6 恢复到日常状态恢复到日常状态 在将系统恢复到正常工作状态之前 应该通知第一部分提到的所有相关人 员 恢复后 通知用户 最好要求所有用户都改变口令 在恢复和外部的连接 之前 确定所有受到影响的地方都成功地恢复到正常状态 记录所有行为 2 4 7 公布消息公布消息 如果病毒 蠕虫事件比较严重 那么在病毒事件发生和调查的过程中可能 会引来外界的格外关注 此时应该注意消息的保密 将消息透露给不适当的人 特别是媒体的记者可能会导致不良的后果 因此所有消息的公布都应该得到 ISO 的同意或 ISO 指派的负责人同意 媒体的采访要求应该向部门领导汇报 诸如事件所牵涉的帐户 程序和系 统等特殊信息不能通过电话提供给任何无关人员 即使他声称是受到影响的其 他节点的安全负责人 一些