中国民用航空网通讯员余鹏讯:5月8日23时,西南空管局网络中心电信网络部值班员在例行巡检中,发现停机位转发系统主用服务器进程存在异常,症状高度疑似“挖矿病毒”,值班人员立即利用抓包软件对服务器发送的数据包进行分析,并联系机场指挥中心,请对方确认我方服务器是否在向源端服务器不断发起攻击。最终通过数据抓包分析和机场技术人员回复,确认我方停机位转发系统主用服务器感染“挖矿病毒”。
技术人员在向网络中心领导汇报系统现阶段情况后,立即启用停机位转发系统应急预案,并通知引接停机位数据的各用户单位进行病毒排查工作。随后,技术人员对系统备用服务器进行全方位病毒扫描确认状态可用后,协调机场数据中心和民航二所技术人员于9日上午碰头进行技术论证。9日上午11时,经过机场数据中心、民航二所、西南空管局网络中心三家单位技术人员论证和推演,确认停机位转发系统备用服务器未感染病毒、数据库状态可用、转发软件正常具备切换条件后,技术人员立即致电塔台,申请进行停机位转发系统主备切换工作。主备服务器切换工作在5分钟内完成,经过10分钟的数据分析及观察后,技术人员联系用户确认备用服务器停机位转发系统运行正常,至此停机位系统主备切换完成。
由于本次病毒感染发现较早,并未产生蓝屏、重启等长期深度感染症状,对后方停机位数据使用单位也并未造成实际影响。截至目前,停机位转发系统主用服务器的病毒已全部清除,同时对主用服务器的ACL访问策略也进行了调整。网络中心电信网络部将以本次病毒事件作为案例进行深入分析,针对诸如停机位转发系统之类私有网络的安全工作进行优化,并将借此进一步做好部门内部网络的监测与预防工作,防患于未然,全力保障西南空管的安全运行。