****有限责任公司

信息系统反病毒应急响应处理预案（初稿）

一． 反病毒应急响应处理的组织机构

为了在病毒突发事件中协调关系，明确职责，统一布置公司信息系统的反病毒应急处理，公司建立病毒事件应急响应中心。

公司病毒事件应急响应中心以公司分管领导直接领导、以公司信息中心为主体建立。反病毒应急处理的现场负责人为信息中心主管领导。

二． 病毒事件分级

针对公司信息网络的状态和病毒侵袭事件的特点，按照以下的标准对病毒时间进行分级：

一级病毒事件：遭到病毒严重攻击，主要设备停机或主干网络堵塞，对信息系统的业务运作有重大影响，持续时间超过24小时。

二级病毒事件：病毒侵袭公司网络系统，使现有系统的运行性能或操作性能严重降低，或由于网络性能失常或安全事件严重影响信息网络主要业务运作，持续时间超过8小时。

三级病毒事件：病毒侵袭公司网络系统并在小范围内发作，现有系统的操作性能受损，但大部分系统业务运作仍可正常工作，持续时间超过8小时。

四级病毒事件：病毒侵袭公司网络系统，在网络交换设备、网络安全设备、服务器、存储设备等的功能或配置方面需要信息咨询或技术支持。但病毒事件对信息系统的业务运作几乎没有影响，持续时间超过48小时。

一般定义，四级病毒事件属于日常运行维护范畴；三级病毒事件仍作为日常运行维护处理，但需要向信息中心主管领导汇报；二级病毒事件和一级病毒事件属于应急响应处理项目，病毒事件从三级升级到二级时，系统管理人员应自动转入应急响应处理，同时向公司主管领导汇报。

三． 故障响应

各级病毒事件的最晚响应时间为：

响应时间 一级病毒事件 二级病毒事件 三级病毒事件 四级病毒事件

1小时 系统管理人员

信息中心领导

系统管理人员

2小时 分管副总经理 信息中心领导 系统管理人员

4小时 技术支持专家 分管副总经理

技术支持专家

信息中心领导 系统管理人员

12小时 技术支持专家 技术支持专家 四． 资源和环境资源准备

1. 防病毒软件工具

本公司配备以下防杀毒软件：

趋势防毒墙网络版软件（主要的网络防杀毒软件）

趋势防毒墙服务器版软件（主要的网络防杀毒软件）

瑞星杀毒软件网络版（备用的网络防杀毒软件）

诺顿防病毒软件（特定设备上使用的防杀毒软件）

金山毒霸杀毒软件（备用的单机版杀毒软件）

在信息中心机房应保存趋势防病毒软件最新版本的光盘，并确认可以通过网络迅速取得该软件最新版本的病毒码。备用和特定设备的杀毒软件光盘也必须保存在信息中心机房内，并及时进行版本更新。

2. 操作系统及补丁包

a. 信息中心主机房应常备以下操作系统的光盘：

IBM AIX 5L for POWER

SUN Solaris

Windows 2000 Advanced Server中文版

Windows 2000 Server中文版

Windows 2000 Professional中文版

Windows NT Server中文版

Windows NT Workstation中文版

Windows XP中文版

Windows 98中文版 （第二版）

b. 信息中心主机房应常备以下操作系统补丁包的光盘：

Windows NT Service Pack 6

Windows 2000 Service Pack 4

Windows XP Service Pack

3. 拨号通讯设备

拨号通讯设备在公司信息网络与因特网的连接出现故障，无法直接升级杀毒软件和从服务商得到技术服务时使用。平时应保持其完整可用。

a. 56k调制解调器一台

b. 直拨电话线一路

c. 配套的连接电缆和驱动软件

五． 病毒事件的处理

1. 更新防毒墙服务器版和防毒墙网络版

通过配置服务器使之从****更新服务器下载组件来更新，下载任何可用更新之后，服务器会基于“更新>客户机部署”下“自动部署”屏上指定的部署时间表来将这些更新部署到客户机。

一般情况下，****每天（有时是几个小时）都会更新组件。

发生任何级别的病毒事件，都必须首先检查并更新防毒墙服务器版和防毒墙网络版。

a. 更新防毒墙服务器版信息服务器

(1) 更新组件

防毒墙服务器版的更新组件包括： 程序组件

病毒码文件

扫描引擎

(2) 使用立即下载更新信息服务器

1) 单击边栏上的“更新>更新”或单击主菜单上的“执行>更新”。

2) 单击“更新”主窗口上的“立即下载”。将出现显示到更新完成为止所剩时间的进度条。

(3) 配置信息服务器预设下载

1) 单击边栏上的“更新>更新”或单击主菜单上的“执行>更新”。

2) 在“下载”下，单击配置。出现“下载选项”窗口。

3) 单击“预设设置”选项卡。

4) 输入或选择下载频率、时间。

5) 选择“重试”复选框以指示在初始下载操作不成功时尝试重新连接下载服务器，并输入或选择次数与每个重试之间的延迟。

6) 单击“确定”。下载的文件将保存在信息服务器的以下目录中：

\trend\sprotect\spntshare

b. 更新防毒墙网络版服务器

防毒墙网络版提供下列更新服务器的方法：

(1) 基于时间表更新服务器

1) 单击边栏上的“更新>服务器更新>自动更新”。显示自动更新屏。

2) 选中“启用防毒墙网络版服务器的预设更新”复选框。

3) 在“组件”框中，选择要更新的组件。

4) 在“更新时间表”下，指定执行预设更新的时间表。

5) 在“更新源”下面，选择要从中下载更新的位置。

6) 如要使服务器在更新尝试失败后继续重试，应选中“程序更新重试”下面的“更新尝试失败后继续重试”复选框。选择“重试次数”和“时间间隔”。

7) 单击“保存”。

(2) 手动更新服务器

1) 单击边栏上的“更新>服务器更新>手动更新”。显示手动更新屏，显示当前组件、版本号以及上次更新的日期等。

2) 在“更新源”下面，选择从更新服务器接受更新还是从其他更新源接受更新并键入源URL。

3) 单击“更新”。服务器会检查****更新服务器上有无更新的组件。如果有可用更新，则会显示在“****可用的更新”屏中，包括组件名称和版本号。

4) 选中要更新的组件的复选框。

5) 单击“更新”。服务器会下载更新的组件。

c. 更新标准服务器

(1) 预设部署

默认情况下，防毒墙服务器版会在安装标准服务器的时候自动创建三项默认任务：扫描、统计和部署，当下载更新后，会自动向标准服务器分发最新更新。手动创建任务的操作步骤：

1) 在域浏览树上选择信息服务器、域或标准服务器。

2) 单击主菜单上的“执行>新建任务”或单击边栏上的“任务>新建任务。

3) 单击“创建”。 4) 在创建新任务窗口的现有任务列表中选择希望包含在此任务中的功能。

5) 单击“添加任务项“向选定任务列表添加选定的功能。选择“创建为预设任务”复选框。

6) 单击“创建”。出现“任务向导”窗口。

7) 单击“下一步”。在“预设设置“中输入或选择频率、日期、时间等。

8) 单击“下一步”继续，为立即扫描指定目标。扫描任务必须运行在指定的驱动器上。一般应选择所有本地驱动器。

9) 单击边栏上的“任务>现有任务”或单击主菜单上的“执行>现有任务”。检查现有任务列表。

(2) 立即部署。

当发现全部或部分标准服务器未得到及时更新，应使用立即部署功能向标准服务器部署保存在信息服务器中的更新。

立即部署的操作：

1) 单击边栏上的“更新>更新”或从主菜单单击“执行>更新”。

2) 单击“立即部署”。出现确认窗口。单击“是”继续，出现部署窗口。服务器树中将显示每个服务器组件的当前版本。默认情况下，将选定病毒码版本复选框。

3) 选择需要更新的组件的复选框。要更新标准服务器中的所有组件，可选择服务器复选框。

4) 单击“部署”激活部署过程，或单击“取消”停止。

d. 更新防毒墙网络版客户机

(1) 使用“自动部署”更新

1) 单击边栏上的“更新 > 客户机部署 > 自动部署”。显示“自动部署”屏幕。

2) 在“事件触发部署”下，选择部署更新的时间以及是否扫描客户机。正常情况下应选择“防毒墙网络版服务器下载完新组件后立即部署到客户机”和“在客户机重启时部署到客户机上”。

(2) 使用“手动部署”更新客户机

1) 单击边栏上的“更新 > 客户机部署 > 手动部署”。显示“手动部署”屏幕。

2) 在“部署目标“下面，选择更新所有组件过期的客户机或选择指定的客户机。

3) 选顶所有要更新的客户机后，单击“通知”。服务器应开始通知每个客户机下载更新。

(3) 使用“立即更新”更新客户机

1) 右键单击防毒墙网络版客户机系统托盘中的防毒墙网络版图标。出现防毒墙网络版快捷菜单。

2) 单击“立即更新”。显示“立即更新设置”屏。

3) 系统未设“代理服务器”，单击“立即更新”即可。应出现显示组件下载进度的状态屏。

2. 病毒扫描

实时扫描监控服务器上所有输入和输出文件的感染特征，因此可以防止将被感染文件复制到服务器或从服务器复制被感染文件。 实时扫描是系统默认的日常任务。

立即扫描将立即检查全部或某台服务器是否受病毒攻击。在系统发生病毒事件或怀疑某服务器已被感染，应使用“立即扫描”检查所有服务器是否处于无病毒状态。

a. 在系统控制服务器上执行“立即扫描”的步骤：

1) 单击域浏览树上的信息服务器、域或标准服务器。

2) 单击边栏上的“立即扫描>立即扫描”或“执行>立即扫描”。

3) 在“立即扫描配置”窗口中，应选择“所有本地驱动器”、“所有文件”、“扫描OLE层”，设优先级为“高”。

4) 单击“立即扫描”。

b. 在Windows标准服务器上运行立即扫描

1) 打开标准服务器上的“资源管理器”。

2) 单击安装ServerProtect所在的文件夹，默认位置是：

3) C:\Program Files\Trend\Sprotect

4) 双击。将执行立即扫描。

5) 可使用如下所示的带停止开关参数的命令停止立即扫描：

C:\Program Files\Trend\Sprotect\ /STOP

c. 网络客户机的立即扫描

1) 单击边栏上的“客户机”。显示客户机的域树屏幕。

2) 单击域树中响应的图标选择要运行“立即运行”的域或客户机。要选择所有的域和客户机，应单击根图标。

3) 单击边栏上的“立即扫描”。出现“立即扫描”屏幕，显示选择的客户机或域。

4) 在计算机下，选择要运行“立即扫描”的客户机，然后单击“启动通知”。服务器将向客户机发送一个运行“立即扫描”的请求。

3. “病毒爆发”控制

趋势防毒墙网络版提供了控制网络病毒爆发的几种方法，包括监控网络上的可疑活动、阻塞重要的客户计算机端口和文件夹等。

“病毒爆发”控制在发生二级及以上病毒事件时使用。

a. 使用“爆发阻止”

(1) 阻塞共享文件夹

1) 单击边栏上的“爆发阻止“。显示客户机的域树屏幕。

2) 单击域树中的图标以选择想要启用“爆发阻止“的域或客户机。要选择所有的域和客户机，应单击根图标。

3) 单击边栏上的“立即部署”。显示“爆发阻止设置”屏幕。

4) 在“爆发阻止设置”下，选择“共享文件夹阻塞”。

5) 单击“激活设置”，启用选定域或客户机上的“爆发阻止”。显示当前的爆发阻止设置。

(2) 阻塞端口

1) 单击边栏上的“爆发阻止“。显示客户机的域树屏幕。

2) 单击域树中的图标以选择想要启用“爆发阻止“的域或客户机。要选择所有的域和客户机，应单击根图标。

3) 单击边栏上的“立即部署”。显示“爆发阻止设置”屏幕。