湖南民族职业学院

蠕虫和病毒传播处置预案

2018年12月

一、 总则

第一条 目的

本预案为蠕虫和病毒攻击和传播的安全事件处理专项预案，其目的主要是为了进一步规范对蠕虫和病毒攻击和传播安全事件的处理方法和处理程序，提高对此类安全事件的反应速度。

第二条 基本原则

1．防范为主，加强监控。通过加强信息安全防范意识，提高网络系统的安全性。完善信息安全事件的日常监测、发现机制，及时采取有效的应对措施，迅速控制事件影响范围，力争将损失降到最低程度，从而缓解或抵御病毒爆发事件的安全威胁。

2．以人为本，协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施，及时获取充分而准确的信息。通过跟踪研判，果断决策，迅速处置，以最大程度地减少危害和影响。

3．规范操作，常备不懈。加强防病毒技术储备，规范应急处置措施与操作流程，确保应急预案切实有效，实现信息安全突发事件应急处置的科学化、程序化与规范化。

第三条 适用范围

本预案适用于本单位中遇到病毒攻击情况下的应急响应工作。

二、 术语与定义

第四条 计算机病毒

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力，能够快速蔓延，并难以根除。

第五条 蠕虫病毒

蠕虫病毒（worm）和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络快速发展使得蠕虫可以在短短的时间内蔓延整个网络，造成整个网络瘫痪！

三、 病毒分析阶段

第六条 事件分析

（1） 使用netstat –ano命令查看操作系统是否存在异常连接。

（2） 查看windows、recycle目录下是否存在异常文件。

（3） 通过Pchunter等进程查看工具，查看是否存在异常进程在运行，定位至程序存放目录。

（4） 分析病毒传播机制，如通过文件共享传播、通过邮件或文档传播，通过网络传播等。

四、 病毒处置阶段

第七条 通过防火墙的访问控制策略，对感染主机的对外访问数据进行控制，防止蠕虫对其他网段的主机进行感染。

第八条 当发现内网主机被蠕虫感染时，通过交换机切断感染主机联网，防止感染主机在内网的大肆传播。

第九条 当发现计算机感染有病毒后，应立即将该主机从网络上隔离出来。并及时对可能导致病毒大量传播的计算机设备进行网络隔离。可能导致蠕虫病毒大量传播的设备包括：

（1） 文件服务器

（2） 电子邮件服务器

（3） WEB服务器

（4） 数据库服务器

（5） 其他公用的计算机。

第十条 关闭不必要服务，如windows下的 Alerter、Clipbook、Computer Browser、Internet Connection Sharing、Messenger、Telnet等服务。

第十一条 通知运维部门或办公网技术部门，对存在漏洞的主机到补丁服务器下载补丁进行漏洞修复，防治病毒进一步传播。

第十二条 更新相关病毒网关的病毒数据库来阻止病毒通过外部网络入侵。

第十三条 使用主机杀毒软件或网络版杀毒软件（及时更新到最新的病毒库），通过管理控制台对全网主机进行杀毒扫描。

第十四条 使用主机杀毒软件或网络版杀毒软件（及时更新到最新的病毒库）对可能受影响的桌面系统、移动终端进行扫描杀毒。

五、 业务恢复阶段

第十五条 完成病毒的根除工作后，需加固系统或者升级杀毒软件使系统免受进一步的破坏。

第十六条 建立系统的基线数据库。在确认病毒被彻底根除之后，恢复经过安全加固后的应用系统或服务器的网络连接，并进行严密监控。

六、 总结分析阶段

第十七条 各业务系统主机、桌面电脑、移动终端应安装主机杀毒软件或网络版杀毒软件，并应定期对病毒库进行更新，以降低被病毒感染与传播的事件影响。

第十八条 为提高应急处理的速度，提高应急响应小组成员对病毒攻击处理的熟练程度，应定期对应急处置规程进行演练。

第十九条 演练在业务系统受到病毒事件攻击的情况下，应急响应小组成员对此类事件的发现、防护和恢复工作可迅速完成，降低对业务系统的影响或快速的恢复业务系统运行。

第二十条 应急演练结束后应对操作规程进行评估，应根据病毒技术的发展和系统的变化及时对规程进行修订，修订后的规程经评审通过后发布生效。