一、 概述

该单位信息中心实行内外网分离管理，分别部署一套瑞星杀毒软件网络版产品，已安装的客户端数量均在授权点数的百分之九十以上。单位员工约500人，至少每人一台计算机，大部分办公计算机是内网计算机，严禁接入互联网。需要查阅资料和处理非涉密信息时，可以使用外网计算机。

该单位信息中心有两名信息管理人员，负责公司全部的IT运行维护，工作压力较重，未设置专职人员负责病毒防范处理和瑞星产品的运行使用。同时，对瑞星产品的熟悉度较低。只要病毒问题没有影响到工作就等同于没有问题，对局域网内的病毒问题关注度较低。对于外网计算机，由于没有重要的信息和应用程序，经常通过系统还原处理病毒问题。

二、 网络状况

该单位网络拓扑图如下：

外网计算机功能较为单一，也没有引起信息管理员的重视，主要存在以下现象：计算机运行缓慢，U盘病毒泛滥，瑞星监控被人为关闭。目前采取的办法是每1个月进行一次系统还原。

由于人员短缺，该单位内网计算机管理较为混乱，对于信息的交互没有严格的管理，内网中并没有安排其它的安全和审计类软件，经常出现外来U盘直接插入内网计算机，进行数据的输入输出操作。通过U盘传播病毒的途径成为该单位内部网络的主要漏洞，同时系统密码简单、共享没有密码并且存在读写权限、存在大量系统漏洞，导致病毒一旦通过U盘传入内部网络后，迅速在局域网内传播，出现断网、计算机运行缓慢的现象，更有泄露公司重要数据的风险，严重影响日常工作，并存在重大安全隐患。该单位最近爆发的大规模病毒问题正是通过U盘传播引起的。

总结，内网是该单位的重中之重，信息管理员急需瑞星产品的使用培训，并针对目前的网络状况提供一份可行的安全解决方案。

三、 紧急响应

2月中旬，该单位内网爆发严重病毒问题，内网中的一个文件服务器染毒严重，计算机运行十分缓慢，导致内网文件办公工作处于停滞状态，据相关员工介绍，办公室内几台计算机先后插入同一个外来U盘后，开始出现病毒症状。具体表现如下：

1、客户端瑞星杀毒软件监控状态均为关闭状态，无法手动开启。

2、客户端瑞星杀毒软件点击杀毒没有反应。

3、安全模式被病毒破坏，无法进入安全模式，会出现蓝屏，代码为：0x00000078。

4、局域网内瑞星监控关闭的计算机大规模感染此病毒。

5、个别客户端计算机开机启动项加载完成后，软驱出现异响。

接到客户的电话，在充分了解情况后，瑞星网络安全工程师对该单位进行上门服务，挑选5台染毒严重且重要的客户端计算机进行手动处理。具体的处理流程如下：

1、将瑞星维护工具刻录成光盘带入内网使用。

2、进入正常模式，使用安全维护软件分析提取病毒样本。

3、.使用安全维护软件修复安全模式。

4、重启计算机进入安全模式，断网后，进行全盘杀毒。

5、进入正常模式，调高监控级别，接入网络后，病毒问题未复发。

6、对染毒较严重的几台计算机，采用同样的方法进行手动处理。

在将几台染毒情况较严重的客户端计算机处理完成后，保证客户单位的文件工作基本恢复正常，将病毒样本带回公司提交给研发部，研发人员通过加急分析处理，提供了专杀工具和病毒分析文档。专杀工具提供给客户后，指导客户操作，全网内的病毒问题得到及时解决，且没有再次复发。客户对应急响应的处理速度非常满意。病毒分析的部分信息如下：

四、 问题分析

在上门服务过程中，通过与该单位的信息管理人员沟通了解到，客户对瑞星产品的熟悉度较低，缺乏对病毒的防范和处理能力。希望能够提供一些合理的防范建议，减少染毒后的被动局面，尽量将工作做在出现问题前。在该单位信息管理人员的带领下，查看了一些客户端存在的问题，同时仔细检查了在中心指定的防毒策略。主要发现以下问题，后期通过文档的形式给用户提供了合理的处理方法和防范意见。

1、通过瑞星系统中心控制台查看，内网部分客户端出现监控红伞的问题，通过远程开启没有效果。客户表示，很多客户端还安装有其他类安全软件。从未设置过客户端密码。

2、通过瑞星系统中心控制台查看，内网部分客户端未升级到最新版。在控制台远程通知客户端立即升级没有反应。且有两台客户端的版本仍是2008版的程序。

3、内网瑞星产品未设置定时查杀策略，只依靠瑞星的实时监控进行防御。客户表示主要担心制定查杀计划对日常工作产生影响。

4、内网大部分客户端存在级别为高以上的安全漏洞。客户很少使用此功能，没有认识到系统漏洞造成的重大安全隐患。

5、内网计算机经常性通过U盘传播病毒。外来U盘在内网环境下随意使用，使用者缺乏安全措施，未对U盘自动播放设定禁止自动播放的安全策略。

6、外网计算机实时监控报告大量病毒，染毒文件主要为网页格式文本，染毒路径主要为系统临时文件夹。

五、 解决方案

1、首先，建议客户通过瑞星系统中心控制台设置客户端密码，防止客户端人为退出实时监控，形成防御漏洞。其次，建议客户到客户端本地查看，是否安装有其他安全类软件，建议卸载其他安全类软件后，将瑞星杀毒软件网络版客户端进行修复。

2、首先，建议客户将两台版本是2008版程序的客户端卸载，使用瑞星网站提供的最新安装包或通过系统中心制作的安装包进行安装。其次，对于未升级到最新版的客户端，到客户端本地查看，是否与系统中心客户端列表显示版本一致。如果客户端本地已是最新版本，那么原因是该客户端在系统中心的注册信息为更新过来。该客户端下次重启后就会显示正常。如果客户端确实不是最新版，通过手动通知客户端进行升级，根据报错，进行修复或升级操作。

3、定期地进行局域网全网查杀可以及时发现病毒，防止通过局域网快速传播。建议在系统中心控制台制定查杀计划，根据工作时间可以安排在中午吃饭时间进行定时查杀，到设定的结束时间后，杀毒会自动退出，不会对工作造成影响。

4.告知客户系统漏洞的重大危害，及时修补漏洞是十分重要的工作。针对客户内外网分离的网络环境，想客户讲解漏洞工具的具体使用方法。在外网环境下，可以设置自动下载补丁和自动安装补丁。在内网环境下，可以通过下载工具批量下载补丁，然后导入系统中心计算机，再进行客户端的漏洞修复工作。

5.建议客户应该严格把控U盘的使用。最好设立中间机，实现U盘的信息过度。同时，通过策略禁止U盘自动运行。方法包括：安装微软KB971029补丁，该补丁可以限制U盘的自动运行；通过计算机组策略禁止所有盘符下autorun.inf文件的创建；通过瑞星杀毒软件的U盘防护功能防止在各个盘符下创建autorun.inf文件等方法。

6.建议客户外网瑞星系统中心上设定客户端密码，防止用户手动退出。同时调高实时监控界别为高，加强主动防御的效果。并建议安装卡卡安装助手等安全辅助类软件，经常性扫描流氓软件和恶意插件。并保证漏洞及时更新。对U盘的自动运行进行限制。最好做到U盘插入后，先杀毒。

六、 意见建议

1、系统口令，建议使用高强度密码，至少每三个月更改一次新密码，注意不要与旧密码重复。目前很多病毒都会尝试使用的弱口令来获取系统权限，也会尝试使用本地保存的访问远程机器的账号密码去获取目标机器的管理权，定期更改密码和使用高强度密码可进一步提高局域网安全。

2、局域网共享，建议只保留只读共享，对于共享的写入权限，针对不同用户设定不同权限和密码。

3、漏洞修复，不论是外网还是内网，都要保证漏洞补丁的及时安装。对于外网客户端，可以开启系统本身的自动更新。对于内网用户，在系统中心将漏洞下载地址批量导出，使用下载工具进行下载，下载后，批量导入系统中心，再完成客户端的漏洞补丁安装工作。

4、U盘病毒防范，不论外网还是内网，限制U盘的自动运行，U盘插入客户端计算机后，先进行杀毒。限制U盘自动运行的方法有：安装微软KB971029补丁，该补丁可以限制U盘的自动运行；通过计算机组策略禁止所有盘符下autorun.inf文件的创建；通过瑞星杀毒软件的U盘防护功能禁止在U盘创建autorun.inf文件等方法。打开U盘可以通过更稳妥的方法：开始，运行，输入“*:”(*为U盘盘符)。尽量减少右键、双击、资源管理器等打开方式。

5、关注日志，瑞星杀毒软件网络版的日志管理工具，可以实时反馈客户端的病毒信息。通过查看发现病毒的方式、染毒路径、染毒名称等，对病毒进行有效的防范。针对染毒路径为系统还原路径的病毒，需要关闭系统还原后进行全盘杀毒；针对处理结果为删除失败的病毒，需要进入安全模式进行全盘杀毒，如仍不能删除，需及时将文件提交给瑞星网络安全工程师分析处理。针对反复出现的病毒信息，需断网杀毒判断是通过网络传播，还是在本地难以彻底清除，并联系瑞星网络安全工程师进行分析处理。

6、加强使用计算机的安全意识。可以通过以下方式降低感染病毒的几率：浏览可信度高的网站；下载官方软件使用；安装辅助类安全软件，防范流氓软件和恶意插件；开启系统本身的自动更新功能。插入u盘后，首先进行杀毒；设置文件夹选项，确认显示隐藏文件和文件扩展名，方便查看异常文件。

7、订购巡检服务：每月由瑞星公司的企业服务工程师上门对网络和病毒方面的问题进行及时分析和处理，并可由企业服务部分析得出的巡检报告对局域网的下一步方案实施提供依据，消除隐患。