緊急處置方案

1. 對于已中招服務(wù)器下線隔離。
2. 對于未中招服務(wù)器：
1）在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對特定IP開放。
2）開啟Windows防火墻，盡量關(guān)閉3389、445、139、135等不用的高危端口。
3）每臺服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15位、兩種組合以上）。

后續(xù)跟進(jìn)方案

1）對于已下線隔離中招服務(wù)器，聯(lián)系專業(yè)技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行日志及樣本分析。

服務(wù)器、終端防護(hù)

1. 所有服務(wù)器、終端應(yīng)強(qiáng)行實施復(fù)雜密碼策略，杜絕弱口令
2. 杜絕使用通用密碼管理所有機(jī)器
3. 安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
4. 及時安裝漏洞補(bǔ)丁
5. 服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追蹤溯源提供基礎(chǔ)

網(wǎng)絡(luò)防護(hù)與安全監(jiān)測

1. 對內(nèi)網(wǎng)安全域進(jìn)行合理劃分。各個安全域之間限制嚴(yán)格的 ACL，限制橫向移動的范圍。
2. 重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御，嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)。
3. 在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備，及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為。
4. 在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為，并為追蹤溯源提供良好的基礎(chǔ)。

應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份

1. 應(yīng)用系統(tǒng)層面，需要對應(yīng)用系統(tǒng)進(jìn)行安全滲透測試與加固，保障應(yīng)用系統(tǒng)自身安全可控。
2. 對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時備份，并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。
3. 建立安全災(zāi)備預(yù)案，一但核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務(wù)連續(xù)性。

cc

收藏 海報分享