第二天

　　根据Sygate实验室的分析，即使一到两只蠕虫，在疯狂发包的情况下，都能够瘫痪桌面交换机乃至楼层交换机。由于全网统一杀毒非常困难，且逐个端点杀毒的时间太长，采用病毒治理的方法不可能在剩余的两天时间内完成领导的要求。于是Sygate建议分两步走，首先在网络端点上对病毒进行隔离，杜绝其对网络的冲击。其次再谋求根除病毒，并修复系统漏洞。

　　由于Sygate客户端有主机防火墙的模块。利用该模块我们可以做应用程序控制，以及连接控制。Sygate系统还有自学习的能力，它能够自动发现网络中所有的应用程序。利用这两个功能，我们在中控台上轻松制定出一个网络程序黑名单，将所有学习回来的蠕虫及病毒列入其中。黑名单中的程序将失去访问网络的权限。这样即使安装有Sygate的网络节点感染了上述病毒，这些病毒也被隔离在本地系统之上，无法扩散和影响网络。

　　有意思的是，五毒虫病毒包含大量与常见进程同名的二进制文件，例如IEXPLORE.EXE，NetMeeting.exe，COMMAND.EXE等。这些进程企图混淆视听，逃避安全方案中黑名单的制裁。Sygate特有的应用程序指纹自动生成功能，帮助用户死死锁定恶意程序，而不影响正常进程的使用。

　　同时我们还配置了规则，封闭了上述病毒使用到的一些端口。这个规则配合HIDS模块，可以起到双保险的作用，防止没有感染的终端被病毒入侵。

　　随后，应急响应小组以各种方式动员用户安装sygate客户端，在随后的两天时间里，很快部署了600多个节点，覆盖了网络中的所有的终端。网络最终恢复到稳定的状态。

　　第三天

　　最后一天，我们利用Sygate系统进行统计分析，总结事故的直接原因：

　　1. 补丁缺失严重，未打关键补丁的机器比例高大65%。例如，财务办公区所有Win2000__仅打了SP3.机器买回来后，系统就再也没有更新过。

　　2. 不能上互联网的区域反而成了重灾区。例如计费网和OA服务器区。因为不能连接互联网，所以安全意识疏忽，系统也疏于升级。

　　3. 很多笔记本终端上收集到多个IP，原来他们在连接到内网的同时，还使用CDMA连接到互联网。因为CDMA的使用对于部分用户来说是免费的，这样导致交叉感染。

　　4. 大量的机器使用空口令，为口令蠕虫大开方便之门

　　最后增加了如下规则

　　1. 在内部架设SUS服务器，设定规则，所有Sygate客户端将重定向到内部SUS服务器，自动升级补丁

　　2. 强制检查关键补丁，如果关键补丁缺失，开启IE，自动连接到内部安全网站的相关页面，帮助用户了解问题，并提供下载链接

　　3. 一旦Sygate客户端检查到重大病毒进程在运行，自动分发病毒专杀工具到用户主机。

　　4. 给笔记本用户设置两套自适应规则，当在内网时，禁止其使用CDMA拨号适配器

　　5. 启用了强口令，系统文件保护，禁止匿名访问等一系列系统加固策略