內(nèi)網(wǎng)被攻陷、電腦被鎖定、文件被加密，要求支付高額贖金……上周末，全球多地爆發(fā)了新型“蠕蟲”式勒索病毒，堪稱一場“電腦浩劫”，不少電腦紛紛“中招”，其中不乏政府部門、企事業(yè)單位、高校的電腦。面對這場來勢兇猛的病毒，公司安全管理部、企業(yè)信息化部、網(wǎng)運部、SOC等部門第一時間成立聯(lián)合工作組，制定應(yīng)對措施，防止發(fā)生大規(guī)模的傳播和感染。目前，公司未接到一起電腦終端遭到病毒入侵的報告。

■記者　潘少穎

給每一個服務(wù)器穿上“保護衣”

從5月12日晚上起，關(guān)于勒索病毒的消息通過朋友圈等渠道開始傳播，5月13日迅速發(fā)酵。5月13日一早，安管部牽頭成立了由安管部、企業(yè)信息化部、網(wǎng)運部、SOC組成的工作群商討對策。很快，他們在OA上發(fā)布了《關(guān)于加強防范通過文件共享傳播勒索蠕蟲病毒的通知》，提醒員工提高警惕。

“攻擊對象不特定”是這次病毒的特征之一，服務(wù)器和個人終端是最容易受攻擊的對象。因此，企信部在第一時間對負責(zé)范圍內(nèi)的機房進行遠程監(jiān)測，安排人員連夜打上補丁。同時，通知各單位的機房管理人員，參照企信部的做法，對各自負責(zé)的機房、端口進行隔離和加固。

應(yīng)對一場大規(guī)模爆發(fā)的病毒，最重要的是處置得當(dāng)，除了在網(wǎng)絡(luò)側(cè)、IT側(cè)進行部署之外，電信營業(yè)廳也收到了工作組發(fā)出的關(guān)于應(yīng)對這場病毒的防范舉措。

考慮到不少員工會關(guān)心這個問題，安管部又牽頭組建了面向員工的專家咨詢易信群，公布了加入該群的二維碼，員工都可以進群溝通。

給每一個員工發(fā)份“簡單粗暴”的通知

事態(tài)的發(fā)展比想象得更嚴重，病毒不斷產(chǎn)生新變種，只要開機上網(wǎng)，電腦和服務(wù)器中就可能被植入惡意程序，文件被加密鎖定。因此，工作組決定臨時封閉外網(wǎng)，并請員工做好個人辦公電腦的加固工作。但是，那么多員工，怎么確保每個人都通知到位、怎么讓他們知道該如何對電腦進行加固……幾個問題擺在面前，更緊張的是，5月15日周一早上要迎來大規(guī)模的開機。

在企信部制定封網(wǎng)方案的同時，工作組又在OA上發(fā)布了請員工做好終端加固的相關(guān)通知，并且寫明了加固方法。但正值周末，上OA的員工不會多，如果只在OA上布，得到信息的員工也不會很多。

這種情況下，“簡單粗暴”不失為好的對策，把通知制作成PDF格式，并把文件名取為《周一上班第一件事：拔網(wǎng)線，再開機，打補丁》，幾個步驟一目了然，自然就會引起員工關(guān)注。該文件在5月14日20點前，通過安全工作群、IT工作群、網(wǎng)運工作群、客服工作群等多渠道下發(fā)到各單位的主要領(lǐng)導(dǎo)、安全管理員、IT管理員手里，并通過他們傳達給每位員工。同時，OA上也制作了彈窗公告，員工只要打開OA，就能看到終端加固的通知。為了以防萬一，安管部、企信部還在各電信大樓安排了技術(shù)支撐力量，發(fā)現(xiàn)問題可以第一時間應(yīng)對。

5月15日，企信部的相關(guān)人員早早來到工作崗位，對集中開機進行實時監(jiān)測；各單位的安全管理員、IT支撐人員提前趕到單位進入臨戰(zhàn)狀態(tài)；德律風(fēng)物業(yè)也主動通知各相關(guān)樓宇服務(wù)員告知每一個上班的員工“先拔網(wǎng)線再開機”。

由于宣傳通知到位、技術(shù)保障到位、員工執(zhí)行到位，目前公司沒有終端感染病毒，但相關(guān)部門仍在密切監(jiān)視，防止病毒變異帶來新危害。

幕后故事：和時間賽跑的周末

“還好，這個病毒爆發(fā)在周末，為采取措施贏得了一點寶貴的時間。”整個周末以及周一一直懸著心的安管部副總經(jīng)理孫錦泉終于可以稍稍松一口氣了。為了應(yīng)對這個病毒，不少員工上個雙休日連續(xù)兩天都在工作，甚至通宵。于是，也就有了周日晚上，員工收到的PDF文件；周一上班，電梯口貼著《周一上班第一件事：拔網(wǎng)線，再開機打補丁》的通知；打開OA，看到《為有效應(yīng)對勒索病毒，臨時封閉外網(wǎng)，請員工做好終端加固》的彈窗公告。

在企信部網(wǎng)絡(luò)安全主管李樂天看來，防范病毒的過程就是和時間賽跑的過程。企信部為機房打補丁，不少員工打了一個通宵；當(dāng)想到要做OA公告彈窗時，又做到凌晨兩三點；為了讓員工給電腦進行“傻瓜式”打補丁，工作組連夜編寫打補丁的步驟，截下每一個步驟的截圖，來來回回用了兩三個小時。

互聯(lián)網(wǎng)安全操作中心（SOC）主任周偉峰告訴記者，工作組在制定方案、加固服務(wù)器的同時，不斷查看各種關(guān)于這個病毒的資料，希望能有更有效的方法。終于，工作組找到一種非常規(guī)方法對服務(wù)器和個人終端進行監(jiān)測，他們發(fā)現(xiàn)，感染該病毒的電腦會主動連接一個特定的域名，于是，請企信部把這個域名解析到內(nèi)部的服務(wù)器上，一旦有公司的電腦連接到了這個域名，馬上會發(fā)出警報，并且很快可以查到人和終端，防止在公司內(nèi)部大規(guī)模傳播。現(xiàn)在，這個方法還一直在使用。

聯(lián)系編輯：高微