紧急通知！勒索病毒处理最佳落地实施方案！

勒索病毒解决方案

一、企业信息系统安全全图

内网安全建设分区防护办法

各区域所面临的风险及相应采取的安全防护手段：

1.边界域：

面临的威胁：主要威胁来自于外部入侵、病毒蠕虫和越权访问，

防护手段：主要采取访问控制、安全远程接入和入侵防御。

采用的安全设备：防火墙、防病毒网关、IPS

2.核心计算(服务器区)域：

面临的威胁：主要威胁来自于内部人员的越权、滥用、操作失误和抵赖等。

防护手段： 主要采取基于应用并结合身份认证的行为审计，辅助以访问控制和入侵检测等手段。对重要的服务器采用专门的防御。

采用的安全设备：入侵检测、安全审计、WEB防火墙

3.网络基础设施域：

面临的威胁：主要威胁来自于网络设备故障、网络泄密以及物理环境安全性的威胁

防护手段： 主要采取基于保密性的网络传输加密、基于完整性的网络认证和基于可用性的备份及冗余等手段。

4.管理支撑域：

面临的威胁：主要威胁来自于网络传输泄密、非授权访问和滥用以及内部人员抵赖。

防护手段： 管理域的防护手段主要采取带外管理和网络加密、身份认证和访问控制以及审计和检测等手段。

采用的安全设备：安全管理平台、堡垒机、终端安全管理、漏洞扫描。

二、防范措施

客户端、服务器、网络端：

1、安装企业网络版杀毒软件和防火墙，同时将病毒库、特征库升级最新版本

2、断网自查，断开有线、无线网络连接

3、终端用户对于陌生外来链接杜绝点击

4、组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置

5、终端及服务器端更新安全补丁、包含系统及应用软件，对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本

6、关闭电脑共享设置，包括文件和打印机，远程协助设置等等

7、严格禁止使用未经认证的U盘、移动硬盘等可执行摆渡攻击的设备

8、在网络端实现和加强以下管控，身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范

9、及时备份终端工作重要资料，对于核心服务器后台重要数据必须制定完备的备份计划，同时验证备份成功

三、处理方法

按照分步建设，按需部署的原则，本次内网安全建设应该在核心计算域、互联域上进行部分重点建设，目的在于将急需解决的安全问题优先解决，优先购买效果明显的网络安全设备，把好钢用在刀刃上。

此次建设在原有的网络架构中增加内网防火墙、准入控制软件、数据备份一体机等设备。

计划新增的设备及功能

1、内网防火墙

部署位置：在内网服务器区前部署1台内网防火墙

部署效果：

当前，攻击行为呈现多层次化;与以往不同的是攻击不再以网络层为主，这些攻击包括：非法信息传输、病毒传播、恶意软件的传播与注入、资源滥用、利用服务器漏洞进行应用层攻击等。在内部网络中，办公网络的PC，同样有可能因为中毒(U盘感染)或人为恶意对服务器群发起攻击。因此，需要在服务器区前部署内网防火墙，对内网的访问进行从第三层到第七层的数据包过滤与状态检测，过滤掉不安全服务和非法用户。

2、终端准入控制

部署位置：在终端上安装准入控制客户端，服务器区部署策略服务器

部署架构：

通过策略服务器控制所有安装有准入控制端的终端，实现策略下发，执行以及监控等。系统可以通过级联的方式进行无限制的多级级联部署，各级服务器独立管理，一级服务器可以随时查看各下级服务器数据。

部署效果：

终端外设管理

准入控制系统的外设管理能够灵活控制和监控计算机终端硬件资源的使用情况，比如控制计算机终端的并口、串口、移动存储设备、手机、蓝牙、USB等外设的使用情况，能够自动收集终端曾经使用过的USB设备的历史记录，并能够单独禁用无法确定其用途的USB设备，保障USB接口的正常使用，更能够通过对未知设备进行自动检测和采样，实现对未知和新增设备的有效控制和管理。灵活并有效保护企业机密，确保企业员工与外界的数据交换在管理人员可控的环境中进行，防止通过终端外设进行非法外联，并减小病毒传播的风险。

补丁管理

准入控制系统的补丁管理自动帮助计算机终端及时安装最新的Windows操作系统的Service Pack或安全更新，IE浏览器相关补丁和Windows应用程序补丁。准入控制系统具备灵活的应用补丁管理框架，不仅可以支持常见的Windows应用程序补丁，例如IE补丁、MS Office补丁、SQL Server、Adobe Reader补丁，还可以在线扩展Windows应用程序补丁支持，而无需升级客户端。

威胁主动防御

准入控制系统具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每个计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全基线控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。通过检查IP数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。并可以通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。

3、数据备份容灾

以上措施均为防护措施，加入防护措施失效，内网感染病毒造成数据丢失，还需要数据备份系统保存过去的数据，通过恢复备份的数据挽回损失。

部署位置：数据中心机房

部署效果：数据通过网络集中定时备份到一体机中，当操作系统崩溃、病毒恶意篡改或数据库逻辑故障导致数据不可用时，可以通过恢复操作将数据恢复出来，达到数据不丢失的目标。备份软件可以同时支持员工PC和数据中心服务器的备份。

四、预算清单和预期收益

[object HTMLImageElement]

真正实现内网安全，明确网络的安全边界，强化终端的访问权限及安全策略，弥补现有网络安全缺陷;

准入控制系统可以有效防止非法设备随意接入，提高PC的安全状况;

全面、安全、建议的备份系统实现企业的全面数据保护;

加固了终端自身安全性，从而大量减少了病毒、木马等的入侵行为，减少了网络出现故障的几率;

通过对用户终端的实名管理，对终端硬件资产进行监控，对资产变动进行定位和告警，有效防止硬件资产的流失;

防止用户的私自非法外联行为，对用户的正常网络行为进行有效监管;

规范用户日常终端使用，提升工作效率;

减少IT运维工作的投入，全面实现高科技技术监管。

本文由兴沣达上传并发布，未经许可，不得转载。