J3qx

information archive

Инструкция для инженеров Системного отдела по порядку действий в случае массового вирусного заражения в ЦО.

Posted by j3qx на Сентябрь 15, 2013

Инструкция для инженеров Системного отдела по порядку действий в случае массового вирусного заражения в ЦО.

Источники информации.

Определение проблемы.

Порядок действий.

Особые условия.

Порядок уведомления.

Источники информации:

  1. Инженеры Системного отдела ЦО.
  2. Инженеры технической поддержки ЦО.
  3. Инженеры технической поддержки филиалов.
  4. Сотрудники ДИТ ЦО.
  5. Пользователи ЦО.
  6. Директор ИТ ЦО, либо лицо, его замещающее.

Информация поступает в устной форме. В обязательном порядке фиксируется время поступления информации.

Определение проблемы.

  • Определение проблемы. Необходимо ответить на вопросы:
    • Кто первый определил наличие проблемы? Необходимо зафиксировать время.
    • В чем выражается проблема?
    • Носит ли проблема массовый характер?
    • Однотипна ли симптоматика у возможно пораженных?.
    • Имеются ли подобные симптомы на филиальской сети?

Сразу после локализации проблемы делается уведомление.

Порядок действий:

  1. Производится отключение от внешних сетей (для предотвращения инфильтрации в сеть провайдера с дальнейшим принудительным отключением со стороны провайдера). На СУС запускается терминал, производится подключение к внешнему коммутатору (b4-wansw). Осуществляется вход в привилегированный режим («EN»). Производится вход в режим конфигурирования («CONF T»). Выполняется команды «INT RANGE FA 1/0/1 – 48» и «SHU». Временные затраты – не более 5 минут от момента идентификации массового вирусного инцидента.
  2. Производится отключение всей филиальской сети:
    1. На СУС запускается скрипт управления филиалами, «7 — Switch on/off filials», «4 – Down all VPN filials».
    2. На СУС запускается скрипт управления филиалами, «7 — Switch on/off filials», «2 – Down filial». Затем выбирается LL-филиал. Повторяется для каждого LL-филиала.

    Временные затраты на всю процедуру – не больше 5 минут.

  3. Начинается изучение заведомо пораженного компьютера:
    1. Производится его отключение от ЛВС.
    2. Детализируется и формализуется симптоматика.
    3. Открывается порт на коммутаторе ЛВС в VLAN, через который производится выход на провайдера. В этот порт включается ноутбук Системного отдела (не рекомендуется включать стационарный компьютер – возможна инфильтрация в сеть провайдера).
    4. С подключенного компьютера осуществляется нечеткий поиск в Интернете по соответствующей тематике. Временные затраты – не определены.
  4. Этот пункт связан с большим валом пользовательских запросов. Делается ВОЛЕВЫМ решением. Производится веерное отключение портов ЛАН. В связи с особенностями топологии (некоторая не стабильность) рекомендуется соответствующим скриптом не пользоваться. Рекомендуется отключать в ручном режиме:
    1. На СУС запускается терминал, производится подключение к коммутатору. Осуществляется вход в привилегированный режим («EN»). Производится вход в режим конфигурирования («CONF T»).
    2. Осуществляется выбор группы портов (один физический коммутатор) «INT RANGE FA 1/0/1 – 48».
    3. Производится блокирование портов «SHU».
    4. Пункты 4.2 – 4.3 производятся для каждой группы портов (физических коммутаторов).
    5. Пункты 4.1 – 4.4 производятся для каждого этажного (и корпусного) коммутаторного стека. Временные затраты – не более 20 минут.
    6. Необходимо помнить, что НЕЛЬЗЯ БЛОКИРОВАТЬ:
      1. Порты СУС (ОБА). A1-access fa 3/0/47, fa 3/0/48.
      2. Порты внутреннего внешнего коммутатора a0-wansw.
      3. Необходимо открыть:
        1. Порт внешнего коммутатора b4-wansw, который подключен к провайдеру (FA 1/0/14).
        2. Порт на этажном коммутаторе, к которому подключен ноутбук для выхода в Интернет.
  5. Осуществляется уведомление телефонными средствами:
  6. Осуществляется контакт с фирмами-производителями антивирусного программного обеспечения:
    1. «Лаборатория Касперского» т. +7-495-797-87-00, +7-495-645-73-93, +7-495-956-70-00.
    2. «Антивирусная лаборатория Данилова» т. +7-495-789-45-87.
    3. «NOD32» т. +7-495-727-35-48, +7-495-694-37-77.
    4. «PANDA» т. +7-495-646-03-56, +7-343-216-36-51, +7-343-216-36-52.
  7. Производится самостоятельное исследование вирусного инцидента с целью создания средства лечения.
  8. Ставится задача инженерам на филиалах по поиску и локализации возможного вирусного инцидента.
  9. Периодически делаются уведомления о ходе работ и перспективах.
  10. Восстановление работоспособности возможно только при условии:
    1. Найденного антивирусного средства.
    2. Полной санации ВСЕХ рабочих станций и серверов.
  11. Порядок восстановления:
    1. Включение ЛАН. В связи с особенностями топологии (некоторая не стабильность) рекомендуется соответствующим скриптом не пользоваться. Рекомендуется включать в ручном режиме:
    2. На СУС запускается терминал, производится подключение к коммутатору. Осуществляется вход в привилегированный режим («EN»). Производится вход в режим конфигурирования («CONF T»).
    3. Осуществляется выбор группы портов (один физический коммутатор) «INT RANGE FA 1/0/1 – 48».
    4. Производится разблокирование портов «NO SHU».
    5. Пункты 11.3 – 11.4 производятся для каждой группы портов (физических коммутаторов).
    6. Пункты 11.2 – 11.5 производятся для каждого этажного (и корпусного) коммутаторного стека.
    7. По Журналу портов производится отключение неиспользуемых портов этажных коммутаторов.
  12. Затем Включаются LL-филиалы:
    1. На СУС запускается скрипт управления филиалами, «7 — Switch on/off filials», «1 – Up filial». Затем выбирается LL-филиал. Повторяется для каждого LL-филиала.
  13. В последнюю очередь включаются VPN-филиалы:
    1. На СУС запускается скрипт управления филиалами, «7 — Switch on/off filials», «3 – Up all VPN filials».
  14. Делается уведомление. После этого вирусный инцидент считается законченным.
  15. Пишется служебная записка на имя Директора ИТ ЦО или лица его замещающего с подробным описанием инцидента в хронологическом порядке с указанием времени. Необходимо описывать действия каждого сотрудника и их последствия.
  16. На основании вышеупомянутой служебной записки организуется совещание, главной целью которого – предотвращение подобного в будущем. Вторичная цель совещания – оптимизация деятельности сотрудников для уменьшения временных потерь и предотвращения ошибочных действий.
  17. Производится отслеживание вирусной активности со стороны филиалов. Подозреваемый филиал НЕМЕДЛЕННО отключается с соответствующим уведомлением.

Особые условия:

  • Все действия сотрудников системного отдела направлены (в порядке уменьшения приоритета):
    • Минимизации вероятности инфильтрации во внешние сети.
    • Минимизации времени аварийного простоя ЛАН/ВАН/Филиальской сети.
    • Минимизации времени простоя серверного оборудования.
    • Минимизации урона вследствие вирусного инцидента.
    • Минимизации времени простоя компьютеров пользователей ЦО.
    • Минимизации времени простоя компьютеров пользователей филиальской сети.
  • Большинство решений принимается волевым решением.
  • Необходимо держать в курсе событий вышестоящее руководство.
  • В таких ситуациях появляются «пятиминутные люди», которым «нужно только пять минут. Волевым решением необходимо пресекать их появление – в ситуации с неопределенной инфекцией любой подключенный к сети компьютер несет в себе неопределенную угрозу. Поэтому «пятиминутным людям» не делается никаких исключений – мотивация: см. Особые условия 1).
  • В таких ситуациях появляются «жалобщики» — люди, которые угрожают жалобами вплоть до первых лиц. С такими людьми НИКАКИХ переговоров не ведется – они сразу переадресовываются Директору ИТ ЦО или лицу, его замещающему.
  • Возможны ситуации, которые требуют расширенного рабочего дня – настоятельно рекомендуется не пользоваться бедствием для извлечения личной выгоды.

Порядок уведомления:

  • Уведомление рассылается по электронной почте. При неработоспособности электронной почты делается по каналам телефонной связи или лично.
  • Адрес получателя: alert@example.com
  • В теме письма необходимо написать «!!! VIRUS !!!».
  • В теле письма по порядку:
    • Дата в формате ДД/ММ/ГГГГ, время события в формате ЧЧ:ММ.
    • В этой же строке: «Действие:»:
      • «Зафиксирован случай массового заражения»
      • «Произведено отключение … филиала»
      • «Произведено отключение всех филиалов»
      • «Произведено отключение ЛАН»
      • «Произведено подключение ЛАН»
      • «Произведено подключение всех филиалов»
      • «Произведено подключение … филиала»
      • «Вирусный инцидент закрыт».
    • На следующей строке: «Причина: вирусный инцидент».
    • На следующей строке: «Прогноз: «. Пишется прогноз времени в часах для восстановления 25% работоспособности (ЛАН, внутренняя почта).
    • В свойствах письма включается посылка подтверждений о получении и прочтении письма
  • Письмо отсылается.
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: