内网被攻陷、电脑被锁定、文件被加密,要求支付高额赎金……上周末,全球多地爆发了新型“蠕虫”式勒索病毒,堪称一场“电脑浩劫”,不少电脑纷纷“中招”,其中不乏政府部门、企事业单位、高校的电脑。面对这场来势凶猛的病毒,公司安全管理部、企业信息化部、网运部、SOC等部门第一时间成立联合工作组,制定应对措施,防止发生大规模的传播和感染。目前,公司未接到一起电脑终端遭到病毒入侵的报告。
■记者 潘少颖
给每一个服务器穿上“保护衣”
从5月12日晚上起,关于勒索病毒的消息通过朋友圈等渠道开始传播,5月13日迅速发酵。5月13日一早,安管部牵头成立了由安管部、企业信息化部、网运部、SOC组成的工作群商讨对策。很快,他们在OA上发布了《关于加强防范通过文件共享传播勒索蠕虫病毒的通知》,提醒员工提高警惕。
“攻击对象不特定”是这次病毒的特征之一,服务器和个人终端是最容易受攻击的对象。因此,企信部在第一时间对负责范围内的机房进行远程监测,安排人员连夜打上补丁。同时,通知各单位的机房管理人员,参照企信部的做法,对各自负责的机房、端口进行隔离和加固。
应对一场大规模爆发的病毒,最重要的是处置得当,除了在网络侧、IT侧进行部署之外,电信营业厅也收到了工作组发出的关于应对这场病毒的防范举措。
考虑到不少员工会关心这个问题,安管部又牵头组建了面向员工的专家咨询易信群,公布了加入该群的二维码,员工都可以进群沟通。
给每一个员工发份“简单粗暴”的通知
事态的发展比想象得更严重,病毒不断产生新变种,只要开机上网,电脑和服务器中就可能被植入恶意程序,文件被加密锁定。因此,工作组决定临时封闭外网,并请员工做好个人办公电脑的加固工作。但是,那么多员工,怎么确保每个人都通知到位、怎么让他们知道该如何对电脑进行加固……几个问题摆在面前,更紧张的是,5月15日周一早上要迎来大规模的开机。
在企信部制定封网方案的同时,工作组又在OA上发布了请员工做好终端加固的相关通知,并且写明了加固方法。但正值周末,上OA的员工不会多,如果只在OA上布,得到信息的员工也不会很多。
这种情况下,“简单粗暴”不失为好的对策,把通知制作成PDF格式,并把文件名取为《周一上班第一件事:拔网线,再开机,打补丁》,几个步骤一目了然,自然就会引起员工关注。该文件在5月14日20点前,通过安全工作群、IT工作群、网运工作群、客服工作群等多渠道下发到各单位的主要领导、安全管理员、IT管理员手里,并通过他们传达给每位员工。同时,OA上也制作了弹窗公告,员工只要打开OA,就能看到终端加固的通知。为了以防万一,安管部、企信部还在各电信大楼安排了技术支撑力量,发现问题可以第一时间应对。
5月15日,企信部的相关人员早早来到工作岗位,对集中开机进行实时监测;各单位的安全管理员、IT支撑人员提前赶到单位进入临战状态;德律风物业也主动通知各相关楼宇服务员告知每一个上班的员工“先拔网线再开机”。
由于宣传通知到位、技术保障到位、员工执行到位,目前公司没有终端感染病毒,但相关部门仍在密切监视,防止病毒变异带来新危害。
幕后故事:和时间赛跑的周末
“还好,这个病毒爆发在周末,为采取措施赢得了一点宝贵的时间。”整个周末以及周一一直悬着心的安管部副总经理孙锦泉终于可以稍稍松一口气了。为了应对这个病毒,不少员工上个双休日连续两天都在工作,甚至通宵。于是,也就有了周日晚上,员工收到的PDF文件;周一上班,电梯口贴着《周一上班第一件事:拔网线,再开机打补丁》的通知;打开OA,看到《为有效应对勒索病毒,临时封闭外网,请员工做好终端加固》的弹窗公告。
在企信部网络安全主管李乐天看来,防范病毒的过程就是和时间赛跑的过程。企信部为机房打补丁,不少员工打了一个通宵;当想到要做OA公告弹窗时,又做到凌晨两三点;为了让员工给电脑进行“傻瓜式”打补丁,工作组连夜编写打补丁的步骤,截下每一个步骤的截图,来来回回用了两三个小时。
互联网安全操作中心(SOC)主任周伟峰告诉记者,工作组在制定方案、加固服务器的同时,不断查看各种关于这个病毒的资料,希望能有更有效的方法。终于,工作组找到一种非常规方法对服务器和个人终端进行监测,他们发现,感染该病毒的电脑会主动连接一个特定的域名,于是,请企信部把这个域名解析到内部的服务器上,一旦有公司的电脑连接到了这个域名,马上会发出警报,并且很快可以查到人和终端,防止在公司内部大规模传播。现在,这个方法还一直在使用。
联系编辑:高微
