中國(guó)民用航空網(wǎng)通訊員余鵬訊：5月8日23時(shí)，西南空管局網(wǎng)絡(luò)中心電信網(wǎng)絡(luò)部值班員在例行巡檢中，發(fā)現(xiàn)停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)主用服務(wù)器進(jìn)程存在異常，癥狀高度疑似“挖礦病毒”，值班人員立即利用抓包軟件對(duì)服務(wù)器發(fā)送的數(shù)據(jù)包進(jìn)行分析，并聯(lián)系機(jī)場(chǎng)指揮中心，請(qǐng)對(duì)方確認(rèn)我方服務(wù)器是否在向源端服務(wù)器不斷發(fā)起攻擊。最終通過數(shù)據(jù)抓包分析和機(jī)場(chǎng)技術(shù)人員回復(fù)，確認(rèn)我方停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)主用服務(wù)器感染“挖礦病毒”。

技術(shù)人員在向網(wǎng)絡(luò)中心領(lǐng)導(dǎo)匯報(bào)系統(tǒng)現(xiàn)階段情況后，立即啟用停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)應(yīng)急預(yù)案，并通知引接停機(jī)位數(shù)據(jù)的各用戶單位進(jìn)行病毒排查工作。隨后，技術(shù)人員對(duì)系統(tǒng)備用服務(wù)器進(jìn)行全方位病毒掃描確認(rèn)狀態(tài)可用后，協(xié)調(diào)機(jī)場(chǎng)數(shù)據(jù)中心和民航二所技術(shù)人員于9日上午碰頭進(jìn)行技術(shù)論證。9日上午11時(shí)，經(jīng)過機(jī)場(chǎng)數(shù)據(jù)中心、民航二所、西南空管局網(wǎng)絡(luò)中心三家單位技術(shù)人員論證和推演，確認(rèn)停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)備用服務(wù)器未感染病毒、數(shù)據(jù)庫狀態(tài)可用、轉(zhuǎn)發(fā)軟件正常具備切換條件后，技術(shù)人員立即致電塔臺(tái)，申請(qǐng)進(jìn)行停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)主備切換工作。主備服務(wù)器切換工作在5分鐘內(nèi)完成，經(jīng)過10分鐘的數(shù)據(jù)分析及觀察后，技術(shù)人員聯(lián)系用戶確認(rèn)備用服務(wù)器停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)運(yùn)行正常，至此停機(jī)位系統(tǒng)主備切換完成。

由于本次病毒感染發(fā)現(xiàn)較早，并未產(chǎn)生藍(lán)屏、重啟等長(zhǎng)期深度感染癥狀，對(duì)后方停機(jī)位數(shù)據(jù)使用單位也并未造成實(shí)際影響。截至目前，停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)主用服務(wù)器的病毒已全部清除，同時(shí)對(duì)主用服務(wù)器的ACL訪問策略也進(jìn)行了調(diào)整。網(wǎng)絡(luò)中心電信網(wǎng)絡(luò)部將以本次病毒事件作為案例進(jìn)行深入分析，針對(duì)諸如停機(jī)位轉(zhuǎn)發(fā)系統(tǒng)之類私有網(wǎng)絡(luò)的安全工作進(jìn)行優(yōu)化，并將借此進(jìn)一步做好部門內(nèi)部網(wǎng)絡(luò)的監(jiān)測(cè)與預(yù)防工作，防患于未然，全力保障西南空管的安全運(yùn)行。