简体中文 English
  • 您现在的位置:首页 > IT知识中心

    全面防范勒索病毒攻击方案

    作者:admin; 来源:admin   浏览:1次   时间:2018-6-26 1:27:24

    网络整改与安全建设\全面防范勒索病毒攻击方案

    1.漏洞扫描设备(远程安全评估系统)
      每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。
      此次永恒之蓝的勒索攻击,是黑客利用了美国国家级黑客工具的泄露,微软在月初针对泄露工具发布了MS17-010漏洞补丁,由于我司电脑终端过多,人工检查工作量特别巨大,检查工作无法全面覆盖,以致个别系统被攻击造成损失。寻根溯源,目前我司缺乏一套完整、有效的漏洞管理工作流程,缺少漏洞第一时间发现的自动化工具,无法落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。  
    绿盟远程安全评估系统 (NSFOCUS Remote Security Assessment System, 简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘。
      对于攻击者来说,IT系统的方方面面都存在脆弱性,这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。
     
      绿盟远程安全评估系统能够全方位检测IT系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
      安全管理不只是技术,更重要的是通过流程制度对安全脆弱性风险进行控制,很多公司制定了安全流程制度,但仍然有安全事故发生,人员对流程制度的执行起到关键作用,如何融入管理流程,并促进流程的执行是安全脆弱性管理产品需要解决的问题。
     
      安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节,结合绿盟科技NSFOCUS安全研究团队的工作,绿盟远程安全评估系统能够参与安全流程中的预警、检测、分析管理、审计环节,并通过事件告警督促安全管理人员进行风险修补。
      详细产品介绍请见《RSAS-V6.0-产品白皮书》


    1.2桌面终端安全管理系统

      由华企信安公司独立自主研发的华企信安终端管理系统,将终端安全管理平台、网络接入控制平台无缝结合,支持超大规模的网络快速部署,实现最完美优化整合。
       核心服务端:作为逻辑层的核心,在控制台和客户端之间起着中心枢纽的作用;
       数据库系统:支持基于MySQL和SqlServer数据库系统;
       准入控制设备:可选的,干路方式或者旁路方式对于网络接入控制的硬件设备;
       终端安全管理平台:系统整体人机交互平台,优秀的人性化是她最大的特点!
       客户端:在被管理的计算机上运行的华企信安代理程序(Agent)。
      华企信安终端管理解决方案,提供多种模块供用户选择,适应不同规模的网管理需求。管理人员可以在信息中心通过华企信安服务端统一配置安全策略、汇总终端信息以及进行其它的管理维护工作,并通过层级立即下发到所有终端,极大的提高了配置效率。为了便于多位管理人员在网络的不同位置实施不同的管理,华企信安终端管理系统提供多控制台机制,既保证了平台的灵活、易用又保证了平台的安全、实效。
      为了提供良好的可扩展性,华企信安平台采用了经典的三层(Client/Server/Database)架构,这种三层架构使得该平台可以提供强大的多级管理机制,用户可以根据自己网络的规模和复杂程度,搭建不同形式的管理结构,从而实现无规模限制的任意多级管理,可以支持跨越省、市、区、县多区域的统一管理。
      以下为重点关注模块简介:
      A、软/硬件资产管理
      在一个规模较大的局域网内,如果没有一个有效的技术手段,仅仅想了解单位内有多少台计算机,每台计算机属于哪个部门或 使用者,也不是一个易于完成的任务,更何谈详细了解局域网内的软硬件资产情况。
    华企信安平台可以详细展示网内计算机软硬件资产信息,若资产发生变更则立即报警,防止资产流失。具体方案如下:
       自动收集软硬件清单:管理员可以查询部分或所有计算机的软件和硬件配置信息,解决计算机设备配置情况统计难问题。
       资产统计报表:可对计算机的硬件信息,如CPU、内存、硬盘、显卡等信息进行数据统计和对其进行详细或粗略的查询,轻松解决局域网中计算机众多,对其硬件配置不好统计的难题,并能够提供详细的报表。
       资产变更报警及统计:由于技术水平和素质的差异,计算机使用者常会有意无意的破坏或更换了计算机的硬件设备,硬盘、内存条丢失时有发生,这不仅是单位硬件资产上的损失,更严重的后果是无形的信息技术资产的流失。华企信安平台当检测到硬件资产发生变化时,将立即发出报警,并定位问题计算机,使网管人员及时发现资产流失。
      B、操作系统管理
      在具有数量众多终端计算机主机的局域网中,很容易出现私自安装或重装操作系统行为,严重影响终端计算机操作系统的规范化工作,更可能造成管理漏洞,威胁网络和终端信息安全。华企信安平台提供操作系统管理功能,能够对终端主机的操作系统的安装、更换行为进行监控和审计,对安装有多个操作系统的终端计算机能够禁止其启动,当出现违规行为时,能够报警并记录报警和审计信息。
      C、封堵各类系统漏洞
      C1、操作系统补丁管理
      众所周知,微软推出的常用软件存在很多安全漏洞,如操作系统、IE、Office和SQL Server等。这些安全漏洞是网络中病毒泛滥和网上攻击等问题的重要原因之一。因此,针对这些安全漏洞及时完整地打上安全补丁,是净化网络环境的最重要的基础性工作之一。然而,由于安全补丁的数量众多,而局域网中计算机也逐年增多,因此,这项工作几乎不可能靠手工完成。为此,华企信安产品提供了实用的安全补丁自动升级功能模块。支持安全补丁信息自动更新、计算机补丁漏洞自动扫描、补丁文件自动下载及分发,并可完成客户端补丁自动静默安装。
       支持对微软操作系统、IE、Office及SQL Server等进行补丁自动发现及分发操作;
       支持无人值守的补丁分发;
       所有补丁文件下载均直接通过Internet连接微软网站获得,华企信安的技术人员针对每一个补丁进行测试筛选后,方可将索引链接地址添加至平台中,避免某些补丁给用户带来不便。
       提供补丁安装检查机制,可以检查终端计算机安装补丁的补丁是否符合要求,对于未安装补丁的终端计算机可发出报警或立即阻断其通讯。
      C2、通讯端口安全管理
      计算机随意开放TCP/IP通讯端口,给黑客和网络恶意攻击等留有后门,造成多种不安全隐患。华企信安平台提供通讯端口管理功能对计算机的端口进行扫描,能够查看端口的开放情况,并可设置通讯端口黑名单,及时封堵安全隐患入侵通道。
         C3、网络共享文件管理
       网络中的共享资源,如文件夹等,也是传播病毒、引入网络攻击和信息外泄的途径之一。华企信安平台可使网管人员及时准确地掌握共享资源的分布情况,并且可以停止和禁用共享,及时阻断病毒传播和机密泄露途径。
         D全网无死角杀毒
      计算机病毒的干扰是用户局域网管理的主要烦恼之一,然而为什么购买了杀毒软件还是不能彻底解决病毒问题呢?主要原因是杀毒软件本身保证不了在网络中彻底杀毒,就连全部安装指定的杀毒软件这个基本条件也是杀毒软件本身所无法保证的。如果不能实现统一彻底杀毒,目前常见的网络蠕虫病毒就很容易卷土重来。针对这种情况,华企信安为了实现统一杀毒、无死角杀毒,提供如下机制:
       监控网内杀毒软件产品分布情况,及时发现未安装杀毒软件或者未安装指定杀毒软件的计算机;
       监控杀毒软件病毒库更新情况;
       无死角同一时间统一运行杀毒软件,对未开机的计算机在开机后即刻自动杀毒补课。

      该产品管理模块众多,功能强大,具体产品说明请见《华企信安桌面终端安全管理技术白皮书》

    1.3 IPS防火墙
         传统的安全设备,一是以本地规则库为核心,无法有效检测已知威胁;二是没有数据智能,无法感知未知威胁;三是没有联动智能,无法对网络进行协同防御。面对诸如0-day、APT及未知威胁等越来越多样化和层次化的攻击,逐渐变得力不从心。归根结底,现在的安全和产品体系还在用单机的、私有的思路来解决网络的、公有的已知威胁。而面对未知的安全威胁,我们不能再孤军作战,而必须是协同共享。
      360网神新一代智慧防火墙系统是360网神自主创新的新一代防火墙安全系统,基于360网神NDR(基于网络的检测与响应)安全体系。在强劲性能与更先进架构的支撑下,集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能,并完成了与360天眼、天擎及病毒云、URL云、应用云、云沙箱、情报云等多项系统的协同防御功能,在扩展了协同防御能力的基础上,由防火墙的分析中心、数据中心、处置中心三大中心实现对威胁的分析、定位、处置一体化过程。是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的新一代安全防御系统。
      本次安全建设,选用360网神新一代智慧防火墙,并选装IPS防护模块和防病毒模块,能够第一时间侦测到网络中的安全攻击数据量,并及时联动防火墙ACL进行阻断。
    具体产品功能及介绍,请见《360网神新一代智慧防火墙NSG3000系列产品白皮书》

    1.4 离线备份-离线磁带库
           现有的离线备份为定期移动硬盘存储。弊端首先是效率低。通过usb存储设置。每秒50M左右。公司目前文件服务器共有文件2T左右。而且备份过程中如果有员工在移除该文件或修改该文件。复制就会报错,需要有人不定时查看才可以,上万份文件不可能人工核验备份完整性,此种备份方式可能造成丢失文件。。
        所以建议增加一台磁带库,磁带库通过6GB光纤线与冷备服务器HBA卡相连,实现无人工干预的数据备份。备份完成自带效验,备份完成后将磁带取下保管。能够防止极端情况下,联机的备份被破坏。
        另外,因为离线磁带库可以实现无人工干预的备份方法,所以备份周期可以设置频繁。例如每月一次。或季度一次等策略。