恶意程式码事故应变的第三阶段是遏制。下列事项是遏制阶段所应该执行的活动：


>确认受感染系统

清楚确认受感染系统总是遏制的第一步骤。不幸地，基于目前资讯科技环境的动态特性，这也是非常复杂的程序。下列的建议可以在管理环境中协助确认受感染的系统：


>使用最新病毒识别码以及更新过的抗电脑病毒侦测与修复引擎，在所有系统上执行完整的病毒扫描。因为没有任何单一抗电脑病毒软件或恶意程式码侦测工具能够涵盖所有种类的恶意程式码，所以需要使用一种或以上的抗电脑病毒扫描工具，以确保能够侦测到所有的恶意程式码；


>复查所有路由器与防火墙的记录档；


>提供如何确认感染的指引给用户；


>配置IPS或IDS以辨认与感染相关的活动；


>执行封包追踪(packetsniffing)，以寻找符合恶意程式码特征的网络通讯。


>遏制爆发
遏制爆发可以有好几种方式进行；以下是一般常见策略：


>使用自动化工具
像抗电脑病毒软件或恶意程式码侦测工具，IDS与IPS等自动化工具可以遏制恶意程式码的散播。倘使现存的抗电脑病毒保护系统无法侦测到恶意程式码，甚至应用最新签名档也无效时，就应该寻找抗电脑病毒软件供应商的支援，以建立可以涵盖恶意程式码的新签名档。


>中断网络连接
立刻切断受感染系统与整个网络的连接，可以有效遏制恶意程式码爆发。可以透过在网络装置上加上接达控制，或实体地切断网络导线中断网络的连接。某些情况下，为了遏制恶意程式码散播到机构的其他区域，暂时将网络段从主干网络上切断是必要的。无论如何，遏制策略将一定会影响该网络与其他未受感染系统的作业。


>停用服务
恶意程式码会透过网络服务，如可分享的网络磁碟等来散播。暂时性地堵截或甚至关闭被恶意程式码利用的网络服务可协助遏制事故。


>消除漏洞
恶意程式码会透过攻击具漏洞的网络服务而散播。比方像安装保安修补程式在具漏洞的系统上，来处理甚至已遭恶意程式码盘剥的漏洞，消除繁殖的管道，进而遏制恶意程式码的散播。此外，某些如可分享网络磁碟丧失接达控制等错误配置，也会被恶意程式码利用。矫正任何的错误配置可以遏制恶意程式码的散播。


>用户的参与
像在一个小型远端分部办公室或非管理办公室环境中，可处理爆发的技术支援人员是有限的，用户参与的效果在这个时候对于遏制程序就十分显着。当系统确定遭到感染时，应提供用户如何确认感染以及该采取什么步骤的清楚指示，例如在受感染系统上执行抗电脑病毒移除工具。


>保存所有已采取行动的记录
在这个阶段保存所有已采取行动的记录是很重要的，因为某些遏制步骤需要对网络基建与系统的配置或设定作暂时性修改。这些修改在事故之后需要移除。

最重要，是要了解停止了恶意程式码的进一步感染并不代表防止了受感染系统被进一步的损害。例如，停用网络连接可以遏制感染，然而，恶意程式码仍可删除受感染系统上的档案。因此，要尽快地或与遏制程序同步进行完整的杜绝程序。

<回上一页