信息安全管理1

病毒防護(hù)1目錄第一章：病毒基礎(chǔ)知識(shí)第二章：計(jì)算機(jī)病毒的傳播途徑第三章：建立有效的病毒防范管理機(jī)制第四章：建立有效的應(yīng)急響應(yīng)機(jī)制第五章：防病毒技術(shù)介紹第六章：防病毒相關(guān)服務(wù)2第一章：病毒基礎(chǔ)知識(shí)1.1計(jì)算機(jī)病毒定義1.2計(jì)算機(jī)病毒的特性1.3病毒歷史及發(fā)展趨勢(shì)的演變1.4典型病毒的結(jié)構(gòu)1.5計(jì)算機(jī)病毒的分類(lèi)1.6計(jì)算機(jī)病毒的危害1.7計(jì)算機(jī)病毒的觸發(fā)方式1.8感染計(jì)算機(jī)病毒后的現(xiàn)象1.9目前病毒新技術(shù)和新特點(diǎn)3廣義定義:

能夠引起計(jì)算機(jī)故障,破壞計(jì)算數(shù)據(jù)的程序統(tǒng)稱(chēng)為計(jì)算機(jī)病毒。標(biāo)準(zhǔn)定義：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

1.1計(jì)算機(jī)病毒定義4傳染性：正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序上，而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。

隱蔽性：病毒通常附在正常程序中或磁盤(pán)隱蔽處，與正常程序通常是難以區(qū)分的。1.2計(jì)算機(jī)病毒的特性5潛伏性：大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿(mǎn)足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。

破壞性：任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。

不可預(yù)見(jiàn)性：從對(duì)病毒的檢測(cè)方面來(lái)看，病毒還有不可預(yù)見(jiàn)性。61.3病毒歷史及發(fā)展趨勢(shì)的演變病毒年表年代病毒情況198311月，第一例病毒被專(zhuān)家們?cè)谠囼?yàn)中證實(shí)1987

引導(dǎo)型病毒開(kāi)始在世界上傳播，并受到重視1989

我國(guó)首次發(fā)現(xiàn)病毒1989可執(zhí)行文件型病毒出現(xiàn)1992出現(xiàn)直接修改系統(tǒng)關(guān)鍵中斷的內(nèi)核的EWDIR2病毒1992伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。7年代病毒情況1994變形病毒出現(xiàn)1996我國(guó)發(fā)現(xiàn)“病毒生成機(jī)軟件”1996感染LotusAmiPro的文件的宏病毒(APM/GreenStripe)出現(xiàn)1997

采用JAVA、ACTIVE技術(shù)的惡意程序出現(xiàn)19982月，臺(tái)灣省的陳盈豪編寫(xiě)出了CIH-1.2版19992月，“美麗殺”病毒爆發(fā)2000I-WORM/LoveLetter“愛(ài)蟲(chóng)”網(wǎng)絡(luò)蠕蟲(chóng)病毒2003沖擊波病毒8病毒發(fā)展演變趨勢(shì)圖9典型的計(jì)算機(jī)病毒一般由三個(gè)功能模塊組成，即：引導(dǎo)模塊，傳染模塊，破壞模塊。

但是，不是所有的病毒均由此結(jié)構(gòu)組成，如有的SQL甚至沒(méi)有病毒體（即病毒文件），只駐留于內(nèi)存。1.4典型病毒的結(jié)構(gòu)10引導(dǎo)模塊：將病毒主體導(dǎo)入內(nèi)存并為傳染模塊提供運(yùn)行環(huán)境。傳染模塊：將病毒代碼傳到其它的載體上去.一般情況下傳染模塊分為兩部分，前部是一個(gè)條件判別程序，后部才是傳染程序主體。破壞模塊：同傳染模塊一樣，破壞模塊也帶有條件判別部分，因病毒均有潛伏期，破壞模塊只在符合條件時(shí)才進(jìn)行活動(dòng)。

111.5計(jì)算機(jī)病毒的分類(lèi)按照通常習(xí)慣分為一下幾種：A）引導(dǎo)型B）文件型C）腳本病毒D）儒蟲(chóng)病毒E）木馬病毒F）邏輯炸彈12引導(dǎo)型病毒1．感染目標(biāo)：通過(guò)文件感染硬盤(pán)的引導(dǎo)區(qū)部分；2．傳播途徑：通過(guò)軟盤(pán),光盤(pán)等介質(zhì)進(jìn)行傳播；3．典型病毒：Stone13文件型病毒1．感染目標(biāo)：通過(guò)可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；2．傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；3.典型病毒：幽靈王14腳本語(yǔ)言:

腳本語(yǔ)言是介于HTML和Java、C++和VisualBasic之間的語(yǔ)言。它的語(yǔ)法和規(guī)則沒(méi)有可編譯的編程程序那樣嚴(yán)謹(jǐn)和復(fù)雜。

腳本病毒就是指在腳本語(yǔ)言中加入病毒代碼，利用網(wǎng)頁(yè)的等腳本載體傳播的病毒。

腳本型病毒15宏病毒

MicrosoftWord中對(duì)宏定義為：“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易?！?/p>

感染目標(biāo)：通過(guò)可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；

16蠕蟲(chóng)病毒

蠕蟲(chóng)是指具有通過(guò)網(wǎng)絡(luò)進(jìn)行自我繁殖功能的程序，傳染機(jī)理是利用網(wǎng)絡(luò)和電子郵件進(jìn)行復(fù)制和傳播。這一病毒利用了微軟視窗操作系統(tǒng)或者其他軟件系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播和網(wǎng)絡(luò)攻擊。

17木馬病毒

特洛伊木馬病毒，也叫黑客程序或后門(mén)病毒，病毒通過(guò)一套隱藏在合法程序中的命令，指示計(jì)算機(jī)進(jìn)行不合法的運(yùn)作。換句話說(shuō)就是指采用正常用戶(hù)無(wú)法察覺(jué)的方法潛入到對(duì)方內(nèi)部實(shí)施某種破壞（盜竊）行為。木馬程序的本質(zhì)就是一個(gè)遠(yuǎn)程控制軟件：遠(yuǎn)程控制軟件是在遠(yuǎn)方機(jī)器知道，允許的情況下，對(duì)遠(yuǎn)方機(jī)器進(jìn)行遠(yuǎn)程控制的軟件。

18邏輯炸彈

指被設(shè)置在合法程序中，通過(guò)事件或條件引發(fā)后，會(huì)破壞程序和數(shù)據(jù)的子程序段。

19新出現(xiàn)的病毒JAVA等網(wǎng)頁(yè)病毒；利用P2P軟件傳播的病毒；PDA等掌上電腦病毒；手機(jī)病毒等。

20按其它分類(lèi)方式劃分按照計(jì)算機(jī)病毒的破壞性質(zhì)分類(lèi)：1.良性病毒2.惡性病毒

21造成數(shù)據(jù)毀壞、丟失；破壞系統(tǒng)如硬盤(pán)、主板等硬件；影響網(wǎng)絡(luò)正常功能，甚至網(wǎng)絡(luò)癱瘓；破壞系統(tǒng)軟件；為系統(tǒng)留“后門(mén)”，為黑客竊取數(shù)據(jù)提供途徑；降低計(jì)算機(jī)系統(tǒng)性能。1.6計(jì)算機(jī)病毒的危害22年份病毒名稱(chēng)感染數(shù)量損失金額（美元）2000愛(ài)蟲(chóng)88億2001尼姆達(dá)>8百萬(wàn)臺(tái)60億2001紅色代碼>1百萬(wàn)臺(tái)26億2002求職信>6百萬(wàn)臺(tái)90億2003SQLSlammer>20萬(wàn)臺(tái)約9.5－12億2003沖擊波>140萬(wàn)臺(tái)損失還在繼續(xù)近年病毒爆發(fā)的情況及損失23特定日期或時(shí)間觸發(fā)；感染觸發(fā)；鍵盤(pán)觸發(fā)；啟動(dòng)觸發(fā)；訪問(wèn)磁盤(pán)次數(shù)觸發(fā)；CPU型號(hào)/主板型號(hào)觸發(fā)。

1.7計(jì)算機(jī)病毒的觸發(fā)方式241.8感染計(jì)算機(jī)病毒后的現(xiàn)象計(jì)算機(jī)啟動(dòng)和運(yùn)行與速度以往相比明顯減慢；文件莫名其妙有丟失；在系統(tǒng)異常重啟和出現(xiàn)異常錯(cuò)誤；鍵盤(pán)、打印、顯示有異?，F(xiàn)象；有特殊文件自動(dòng)生成；25磁盤(pán)空間自動(dòng)產(chǎn)生壞簇或磁盤(pán)空間減少;沒(méi)做寫(xiě)操作時(shí)出現(xiàn)“磁盤(pán)有寫(xiě)保護(hù)”信息;在系統(tǒng)進(jìn)程中出現(xiàn)可疑的進(jìn)程；在啟動(dòng)項(xiàng)中發(fā)現(xiàn)可疑啟動(dòng)項(xiàng)；網(wǎng)絡(luò)數(shù)據(jù)流出現(xiàn)異?；虺霈F(xiàn)大量有共性的異常數(shù)據(jù)包。261.密碼破解技術(shù)應(yīng)用此技術(shù)的病毒可對(duì)win2000以上的操作系統(tǒng)的密碼進(jìn)行破解。此類(lèi)病毒一般會(huì)帶有約幾百單詞數(shù)量（有時(shí)會(huì)更大的）的字典庫(kù)

，可對(duì)“弱口令”進(jìn)行破解，因此需要至少六位的數(shù)字字母混合的系統(tǒng)口令。例：愛(ài)情后門(mén)病毒1.9目前病毒新技術(shù)和新特點(diǎn)272.漏洞技術(shù)利用操作系統(tǒng)和軟件系統(tǒng)（主要是微軟的軟件系統(tǒng)）漏洞進(jìn)行攻擊;即發(fā)送不正常的數(shù)據(jù)包，使獲得的系統(tǒng)出現(xiàn)錯(cuò)誤，從而使病毒奪取對(duì)方電腦的控制權(quán)。

例：沖擊波利用rpc漏洞，震蕩波利用LSASS漏洞

283.端口監(jiān)聽(tīng)技術(shù)（原多見(jiàn)于木馬程序）Moodown.y病毒利用自身的SMTP發(fā)信引擎來(lái)發(fā)送病毒郵件，監(jiān)聽(tīng)82端口，等待攻擊者連接，可自動(dòng)下載并執(zhí)行新的病毒。振蕩波病毒的最新變種監(jiān)聽(tīng)1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并實(shí)現(xiàn)一個(gè)tftp服務(wù)器，并進(jìn)行攻擊。294.多線程掃描技術(shù)現(xiàn)在常見(jiàn)病毒多采用此技術(shù)，此技術(shù)可加速網(wǎng)絡(luò)病毒的傳播速度。如I-Worm.Sasser.e（振蕩波.e）開(kāi)辟128個(gè)線程掃描網(wǎng)絡(luò)，傳播病毒。30主動(dòng)通過(guò)網(wǎng)絡(luò)和郵件系統(tǒng)傳播傳播速度極快擴(kuò)散面廣變種多、快網(wǎng)絡(luò)時(shí)代病毒的新特性：31使用傳統(tǒng)手段難于根治、容易引起多次疫情具有病毒、蠕蟲(chóng)和后門(mén)（黑客）程序的多種特性病毒向能對(duì)抗反病毒軟件和有特定目的的方向發(fā)展32第二章：計(jì)算機(jī)病毒的傳播2.1計(jì)算機(jī)病毒的工作環(huán)節(jié)2.2計(jì)算機(jī)病毒的傳播途徑2.3有防護(hù)的內(nèi)部網(wǎng)絡(luò)中的病毒傳播2.4物理隔離網(wǎng)絡(luò)中的病毒傳播2.5政府機(jī)關(guān)網(wǎng)絡(luò)病毒問(wèn)題的現(xiàn)狀332.1計(jì)算機(jī)病毒的工作環(huán)節(jié)完整的計(jì)算機(jī)病毒工作環(huán)節(jié)應(yīng)包括以下幾個(gè)方面：傳染源：病毒總是依附于某些儲(chǔ)存介質(zhì)，如電子郵件、軟盤(pán)、硬盤(pán)等構(gòu)成傳染源。

傳染媒介：病毒傳染的媒介由工作的環(huán)境來(lái)定，可能是網(wǎng)絡(luò)，也可能是可以移動(dòng)的存儲(chǔ)介質(zhì)，例如軟磁盤(pán)等。病毒激活：是指將病毒裝入內(nèi)存，并設(shè)置觸發(fā)條件，一旦觸發(fā)條件成熟，病毒就開(kāi)始其作用，如：自我復(fù)制到傳染對(duì)象，進(jìn)行各種破壞活動(dòng)等。34病毒觸發(fā)：計(jì)算機(jī)病毒一旦被激活，立刻發(fā)生作用，觸發(fā)的條件是多樣化的，可以是內(nèi)部時(shí)鐘，系統(tǒng)的日期，用戶(hù)標(biāo)志符，也可能是系統(tǒng)的一次通信等。病毒表現(xiàn)：表現(xiàn)是病毒的主要目的之一，有時(shí)在屏幕顯示出來(lái)，有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)?？梢赃@樣說(shuō)，凡是軟件技術(shù)能夠觸發(fā)到的地方，都在其表現(xiàn)范圍內(nèi)。病毒傳染：傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中，病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。

352.2目前存在病毒的傳播途徑36網(wǎng)絡(luò)病毒攻擊圖工作站工作站網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器郵件中惡意附件攻破多個(gè)網(wǎng)站服務(wù)器以前攻破的網(wǎng)站服務(wù)器瀏覽器進(jìn)攻文件共享Internethub路由器372.3有防護(hù)的辦公網(wǎng)絡(luò)中的病毒傳播病毒傳入途徑：終端漏洞導(dǎo)致病毒傳播；郵件接收導(dǎo)致病毒傳播；外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)部用戶(hù)繞過(guò)邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入；網(wǎng)頁(yè)中的惡意代碼傳入；大型內(nèi)部網(wǎng)絡(luò)，一般均有防火墻等邊界防護(hù)措施，但是還經(jīng)常會(huì)出現(xiàn)病毒，病毒是如何傳入的呢？38系統(tǒng)漏洞傳播；系統(tǒng)郵件傳播；儲(chǔ)存介質(zhì)傳播；共享目錄傳播；病毒在此類(lèi)網(wǎng)絡(luò)內(nèi)的傳播途徑392.4物理隔離網(wǎng)絡(luò)中病毒的傳播外部帶有病毒的介質(zhì)接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)部用戶(hù)私自在將所使用的終端接入因特網(wǎng)導(dǎo)致病毒被引入；國(guó)家機(jī)關(guān)和軍隊(duì)、銀行等為了保護(hù)網(wǎng)絡(luò)，一般均采用物理隔離措施，這類(lèi)網(wǎng)絡(luò)理論上應(yīng)該是安全的，不過(guò)也有病毒的出現(xiàn)，這類(lèi)網(wǎng)絡(luò)，病毒主要是靠幾種途徑傳入的：40系統(tǒng)漏洞傳播；儲(chǔ)存介質(zhì)傳播；郵件傳播；物理隔離網(wǎng)絡(luò)病毒內(nèi)病毒的傳播途徑：41新病毒傳入問(wèn)題老病毒根除問(wèn)題一般網(wǎng)絡(luò)的病毒問(wèn)題主要有兩個(gè)方面，即：2.5政府機(jī)關(guān)網(wǎng)絡(luò)病毒問(wèn)題的現(xiàn)狀42政府機(jī)關(guān)網(wǎng)絡(luò)防病毒可能需要面臨的問(wèn)題：難以確定網(wǎng)絡(luò)內(nèi)設(shè)備的用戶(hù)聯(lián)網(wǎng)狀況;無(wú)法快速準(zhǔn)確定位病毒源;了解病毒源后，無(wú)法方便的對(duì)病毒源進(jìn)行阻斷。難以監(jiān)控系統(tǒng)安全補(bǔ)丁安裝情況;缺乏有效的技術(shù)手段保證管理制度的貫徹。43第三章：建立有效的病毒防范管理機(jī)制3.1建立防病毒管理機(jī)構(gòu)3.2防病毒管理機(jī)制的制定和完善3.3制定防病毒管理制度3.4用技術(shù)手段保障管理的有效性3.5加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行44無(wú)論什么樣先進(jìn)的病毒保障系統(tǒng)，使用者、控制者最終都是人。所以防病毒首要的事情是建立防病毒管理機(jī)構(gòu)，以領(lǐng)導(dǎo)、協(xié)調(diào)防病毒工作和處理應(yīng)急響應(yīng)事件。3.1建立防病毒管理機(jī)構(gòu)45防病毒管理機(jī)構(gòu)組成圖46機(jī)構(gòu)內(nèi)各組織的防病毒工作的協(xié)調(diào)管理；防病毒責(zé)任的分配；系統(tǒng)內(nèi)部各單位間的防病毒組織的合作。防病毒管理機(jī)構(gòu)應(yīng)注意的問(wèn)題47防病毒需求分析：只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，正確的安全分析需求是保證網(wǎng)絡(luò)系統(tǒng)的安全的根源。防病毒風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)管理是對(duì)需求分析結(jié)果中存在的威脅和業(yè)務(wù)需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，以可以接受的投資，進(jìn)行最大限度的病毒防范工作。3.2防病毒管理機(jī)制的制定和完善48制定防病毒策略:根據(jù)組織和部門(mén)的防病毒需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論，制定切實(shí)可行的計(jì)算機(jī)網(wǎng)絡(luò)防病毒策略。定期防病毒審核:安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。因?yàn)榫W(wǎng)絡(luò)防病毒是一個(gè)動(dòng)態(tài)的過(guò)程，防病毒的需求可能會(huì)發(fā)生變化；為了在防病毒需求發(fā)生變化時(shí)，策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

49防病毒管理機(jī)制的實(shí)行過(guò)程

A．制定計(jì)劃B．進(jìn)行實(shí)施C．監(jiān)控審評(píng)D．維護(hù)改進(jìn)501.網(wǎng)絡(luò)管理員管理制度

3.3制定防病毒管理制度防病毒日常管理責(zé)任防病毒策略管理責(zé)任病毒應(yīng)急響應(yīng)事件責(zé)任2.網(wǎng)絡(luò)一般用戶(hù)管理制度

513.賬戶(hù)及口令管理制度4.設(shè)備管理規(guī)章制度入網(wǎng)設(shè)備防病毒管理制度服務(wù)器管理制度便攜機(jī)管理制度介質(zhì)管理52管理制度需要注意的問(wèn)題：減少?gòu)牡谌降南到y(tǒng)下載軟件；組建一支隊(duì)伍，監(jiān)測(cè)和調(diào)查病毒事件；病毒庫(kù)必須隨時(shí)更新；重要的數(shù)據(jù)必須備份，并每月檢查一次；533.4用技術(shù)手段保障管理的有效性通過(guò)技術(shù)手段可保障管理制度有效貫徹執(zhí)行，通過(guò)技術(shù)手段，可以對(duì)以下的管理進(jìn)行加強(qiáng)：保證補(bǔ)丁安裝執(zhí)行情況；監(jiān)督最先感染上病毒的區(qū)域；54保障網(wǎng)絡(luò)隔離的制度得以施行；監(jiān)督外來(lái)未知設(shè)備隨意接入內(nèi)網(wǎng)的情況；使用廣域網(wǎng)病毒監(jiān)控： 完成各分區(qū)病毒軟件安裝情況監(jiān)視 完成各分區(qū)病毒感染情況歷史統(tǒng)計(jì)分析55防病毒機(jī)制運(yùn)行參考圖

56防病毒管理機(jī)制的執(zhí)行需要很多技術(shù)手段，有些技術(shù)手段屬于專(zhuān)業(yè)反病毒范疇，反病毒服務(wù)商了解病毒技術(shù)細(xì)節(jié)，更能準(zhǔn)確的通過(guò)技術(shù)培訓(xùn)提高下屬網(wǎng)管網(wǎng)絡(luò)反病毒全面知識(shí)。

3.5加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行57具體的培訓(xùn)可以分為以下幾種：針對(duì)普通人員的培訓(xùn)針對(duì)網(wǎng)管（或網(wǎng)絡(luò)安全員）的培訓(xùn)針對(duì)突發(fā)病毒的培訓(xùn)58第四章：

建立有效的病毒應(yīng)急響應(yīng)機(jī)制4.1建立應(yīng)急響應(yīng)中心4.2病毒事件分級(jí)4.3制定應(yīng)急響應(yīng)處理預(yù)案4.4應(yīng)急響應(yīng)流程4.5應(yīng)急響應(yīng)的事后處理594.1建立應(yīng)急響應(yīng)中心為了在病毒突發(fā)事件中協(xié)調(diào)各方關(guān)系，分清職責(zé)，統(tǒng)一處理病毒事件，應(yīng)建立病毒事件應(yīng)急響應(yīng)中心。病毒應(yīng)急響應(yīng)中心組織機(jī)構(gòu)的建立可參考防病毒管理機(jī)構(gòu)。60應(yīng)急響應(yīng)中心特別要注意以下幾個(gè)方面：設(shè)立總負(fù)責(zé)人，負(fù)責(zé)協(xié)調(diào)管理應(yīng)急事件建立應(yīng)急相應(yīng)小組（小組成員可包括單位相關(guān)人員和安全服務(wù)商的相關(guān)人員）分清各方職責(zé)聯(lián)系方式必須準(zhǔn)確有效614.2病毒事件分級(jí)分級(jí)應(yīng)參考以下幾個(gè)標(biāo)準(zhǔn)：擴(kuò)散范圍擴(kuò)散速度危害程度防治復(fù)雜程度624.3制定應(yīng)急響應(yīng)處理預(yù)案根據(jù)病毒的等級(jí)，制定相應(yīng)的病毒應(yīng)急響應(yīng)處理預(yù)案，此預(yù)案可包括以下幾點(diǎn)：病毒預(yù)案庫(kù)應(yīng)急響應(yīng)啟動(dòng)標(biāo)準(zhǔn)應(yīng)急處理流程注意：制定好的應(yīng)急預(yù)案應(yīng)進(jìn)行測(cè)試后方投入使用63啟動(dòng)應(yīng)急響應(yīng)預(yù)案的幾個(gè)參考條件：有15％的電腦同時(shí)感染同種類(lèi)型的病毒，且現(xiàn)場(chǎng)人員確認(rèn)無(wú)法在2小時(shí)內(nèi)清除；病毒已經(jīng)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，且現(xiàn)場(chǎng)人員無(wú)法立刻解決；出現(xiàn)的病毒現(xiàn)有的殺毒軟件無(wú)法解決；未知原因的網(wǎng)絡(luò)阻塞。644.4應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)具體流程如下：接收初步的資料查明原因，總結(jié)特征確認(rèn)是否為大規(guī)模病毒事件提供該事件的公告原稿消息發(fā)布事件庫(kù)升級(jí)或程序升級(jí)，放到部中心網(wǎng)站啟動(dòng)應(yīng)急響應(yīng)預(yù)案處理65啟動(dòng)應(yīng)急響應(yīng)預(yù)案流程圖66通常的病毒應(yīng)急反應(yīng)預(yù)案流程圖674.5應(yīng)急響應(yīng)的事后處理事后處理過(guò)程可參考如下步驟：提交病毒應(yīng)急響應(yīng)事后報(bào)告找出網(wǎng)絡(luò)防病毒的薄弱點(diǎn)教訓(xùn)總結(jié)視情況啟動(dòng)處罰程序68第五章：防病毒介紹5.1目前主要的防病毒技術(shù)概述5.2網(wǎng)絡(luò)防病毒的措施概述5.3網(wǎng)絡(luò)防病毒5.4補(bǔ)丁加固5.5邊界接入檢查和節(jié)點(diǎn)控制5.6病毒預(yù)警技術(shù)69病毒特征碼識(shí)別技術(shù)自動(dòng)解壓技術(shù)實(shí)時(shí)監(jiān)視技術(shù)啟發(fā)式查毒技術(shù)帶毒殺毒技術(shù)病毒隊(duì)列技術(shù)

5.1目前主要的防病毒技術(shù)概述705.2防病毒軟件的結(jié)構(gòu)掃描應(yīng)用掃描引擎病毒定義庫(kù)防病毒軟件的3個(gè)組成部分防病毒軟件71

掃描應(yīng)用用戶(hù)接口日志文件報(bào)警功能掃描引擎搜索病毒的邏輯算法CPU仿真器精密編程邏輯病毒定義庫(kù)：內(nèi)有病毒的特征碼72常見(jiàn)的本地網(wǎng)絡(luò)防病毒構(gòu)架5.3網(wǎng)絡(luò)防病毒73監(jiān)控平臺(tái)單元構(gòu)成74常見(jiàn)的廣域網(wǎng)網(wǎng)絡(luò)防病毒構(gòu)架75防病毒網(wǎng)關(guān)由于目前的防火墻并不能防止目前所有的病毒進(jìn)入內(nèi)網(wǎng)，所以在某些情況下，需要在網(wǎng)絡(luò)的數(shù)據(jù)出入口處和網(wǎng)絡(luò)中重要設(shè)備前配置防病毒網(wǎng)關(guān)，以防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)。76防病毒網(wǎng)關(guān)按照功能上分有兩種:保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件器的防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)按照部署形式分為：透明網(wǎng)關(guān)代理網(wǎng)關(guān)77透明網(wǎng)關(guān)代理網(wǎng)關(guān)78郵件服務(wù)器的防病毒保護(hù)對(duì)郵件服務(wù)器系統(tǒng)自身加固郵件防病毒網(wǎng)關(guān)郵件防病毒由于目前的病毒大部分均是通過(guò)郵件傳播的，所以對(duì)于郵件服務(wù)器的保護(hù)是十分重要的。79客戶(hù)端防病毒引導(dǎo)安全系統(tǒng)安裝安全系統(tǒng)日常加固日常使用安全80服務(wù)器防病毒服務(wù)器防病毒時(shí)，除了注意主機(jī)還應(yīng)注意防病毒應(yīng)該注意的問(wèn)題外，還應(yīng)該注意到服務(wù)器的可用性和穩(wěn)定性，也需要注意對(duì)重要數(shù)據(jù)經(jīng)常備份等問(wèn)題。81集中監(jiān)控中心集中監(jiān)控中心功能圖82升級(jí)服務(wù)中心83補(bǔ)丁加固是今年來(lái)網(wǎng)絡(luò)面臨的新問(wèn)題，對(duì)于大型機(jī)關(guān)和企業(yè)網(wǎng)絡(luò)，靠有限的人力人工去進(jìn)行終端的安全加固是不現(xiàn)實(shí)的。為此，微軟提出了兩個(gè)解決方案：SMS：MicrosoftSystemManagement

SUS：SoftwareUpdateServices

5.4補(bǔ)丁加固84

SMS技術(shù)是基于主域控制技術(shù)，通過(guò)域控制器對(duì)管轄的計(jì)算機(jī)的安全補(bǔ)丁進(jìn)行統(tǒng)一的升級(jí)和管理。此方法存在的問(wèn)題是國(guó)內(nèi)一般不使用主域控制形式進(jìn)行網(wǎng)絡(luò)管理,另外，對(duì)于終端使用多操作系統(tǒng)的網(wǎng)絡(luò)使用此技術(shù)升級(jí)所需的工作量也比較大。SMS技術(shù)85SUS技術(shù)此技術(shù)應(yīng)用了當(dāng)前微軟WindowsUpdate的技術(shù)，即客戶(hù)端可通過(guò)內(nèi)網(wǎng)建立的SUSServer自動(dòng)下載升級(jí)補(bǔ)丁。采用此方法的優(yōu)點(diǎn)是簡(jiǎn)單方便，但是此系統(tǒng)也有不易實(shí)施的缺點(diǎn)。86目前存在第三方的補(bǔ)丁分發(fā)技術(shù)，此類(lèi)技術(shù)一般是輔助SUS進(jìn)行安全補(bǔ)丁統(tǒng)一監(jiān)控升級(jí)。第三方技術(shù)

網(wǎng)絡(luò)補(bǔ)丁分發(fā)系統(tǒng)應(yīng)用構(gòu)架

875.5邊界接入檢查和節(jié)點(diǎn)控制邊界接入檢查和節(jié)點(diǎn)控制的目的：保障網(wǎng)絡(luò)隔離徹底有效；進(jìn)行外來(lái)筆記本電腦隨意接入控制；對(duì)感染病毒計(jì)算機(jī)快速定位，并安全、迅速、有效的切斷其與網(wǎng)絡(luò)的連接；對(duì)未安裝防病毒軟件的終端進(jìn)行統(tǒng)計(jì)、遠(yuǎn)程強(qiáng)制安裝；有效進(jìn)行網(wǎng)絡(luò)IP設(shè)備資源管理；88可監(jiān)控移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過(guò)安全過(guò)濾和檢查，就接入內(nèi)部網(wǎng)絡(luò)；可監(jiān)控違反規(guī)定將專(zhuān)網(wǎng)專(zhuān)用的計(jì)算機(jī)（帶出網(wǎng)絡(luò)）連入到其他網(wǎng)絡(luò)的行為；IP管理功能、IP和MAC綁定功能；可監(jiān)控網(wǎng)絡(luò)終端的補(bǔ)丁安裝情況，可對(duì)未安裝防病毒系統(tǒng)的終端進(jìn)行強(qiáng)制安裝；對(duì)安全事件源的實(shí)時(shí)、快速、精確定位，并可強(qiáng)制斷開(kāi)其網(wǎng)絡(luò)連接。邊界接入檢查和節(jié)點(diǎn)控制需要的功能：89邊界檢查和節(jié)點(diǎn)控制系統(tǒng)部署圖90病毒預(yù)警技術(shù)一般是采用分布式的結(jié)構(gòu)，進(jìn)行集中管理報(bào)警，分散控制。病毒預(yù)警的具體可采