當前，以勒索攻擊為代表的網絡攻擊危害持續加深，安全419關注到，中國信息通信研究院研究制定《勒索攻擊防護要點》，旨在聚焦風險化解重點環節，夯實風險防范基礎，切實加強勒索攻擊應急處置、安全加固等重點工作。

　　一、事前夯實風險防范基礎

　　01 全面摸清資產家底

　　全面梳理本單位資產情況，建立完善、定期更新本單位資產臺賬，明確資產歸屬責任主體，摸清資產底數。

　　定期開展安全基線排查和風險評估，全面掌握資產風險點位、安全措施等現狀，強化資產安全防護。

　　02 收斂互聯網暴露面

　　及時下線停用系統，按照最小化原則，減少資產在互聯網上暴露，特別是避免重要業務系統、數據庫等核心信息系統在互聯網上暴露。

　　關閉不必要的端口和服務，如遠程訪問服務3389端口和22端口，降低外來網絡攻擊風險。

　　03 開展風險隱患排查

　　定期開展漏洞隱患排查，針對采用的網絡產品，及時進行版本升級，第一時間修補漏洞。采用漏洞掃描設備和產品，對漏洞掃描設備進行集中管理，建立完整、持續的漏洞發現和管理手段，定期開展巡檢，將供應鏈廠商產品、駐場人員等納入網絡安全管理范疇，定期開展供應鏈安全風險隱患排查。

　　04 嚴格訪問控制

　　根據業務需要細致劃分隔離區、內網區、接入區等網絡域，限制網絡域間的訪問，并通過防火墻限制惡意地址連接、遠程訪問數據庫等。

　　按照權限最小化原則開放必要的訪問權限，及時更新訪問控制規則。

　　采用動態口令等兩種或兩種以上進行身份鑒別，用戶口令長度應不低于8位并定期更新。

　　05 備份重要數據

　　根據系統、文件和數據的重要程度分類分級進行數據存儲和備份，主動加密存儲和定期備份包括不同業務系統、存儲位置等多源異構數據在內的重要敏感數據，并及時更新備份數據。對存儲重要敏感數據的硬件設備采取全盤加密、加密存儲數據的扇區等措施，防范因勒索攻擊引發的數據泄露事件。

　　06 強化安全監測

　　在網絡側，部署流量監測、阻斷等類型網絡安全防護手段，加強針對勒索病毒通聯行為的實時監測、封堵處置。

　　在終端側，安裝具有主動防御功能的安全軟件，不隨意退出安全軟件、關閉防護功能等，并設立和定期更新應用軟件白名單。

　　07 提升安全意識

　　以培訓、演練等形式提升勒索攻擊風險防范意識：不點擊來源不明的郵件附件；打開郵件附件前進行安全查殺；不從不明網站下載軟件；不輕易運行腳本文件和可執行程序；不混用工作和私人外接設備；在工作設備與移動存儲設備外接時，關閉移動存儲設備自動播放功能并定期進行安全查殺。

　　08 制定應急預案

　　制定涵蓋勒索攻擊在內的網絡安全突發事件應急預案，明確牽頭部門、職責分工、應急流程和關鍵舉措，一旦發生勒索攻擊事件，立即啟動預案，第一時間開展應急處置工作。綜合采取實戰攻防、沙盤推演等形式，開展以勒索攻擊應急處置為核心的網絡安全演練，提升實戰化攻擊防御能力。

　　二、事中做好攻擊應急響應

　　09 隔離感染設備

　　確認遭受勒索攻擊后，立即采取斷網、斷電的方式隔離勒索病毒感染設備，關閉設備無線網絡、藍牙連接等，禁用網卡并拔掉感染設備全部外部存儲設備。立即修改感染設備的登錄密碼、同一局域網下的其他設備密碼、最高級系統管理員賬號登錄密碼等。

　　10 排查感染范圍

　　在已隔離感染設備的情況下，對勒索攻擊影響業務系統、生產系統及備份數據等情況進行排查，根據感染設備異常訪問、非法外聯等情況，排查數據泄霍情況，確認勸索攻擊影響。

　　對于感染情況不明的設備，提前進行磁盤備份，在隔離網內現場或線上排查，避免啟動設備時因殘留勒索病毒再次感染。

　　11 研判攻擊事件

　　通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對勒索病毒進行分析，提取勒索病毒通信特征、樣本文件和傳播途徑等重要信息，并通過本地網絡日志信息、勒索病毒樣本文件等研判勒索攻擊入侵渠道。

　　第一時間向地方通信主管部門報告勒索攻擊事件。

　　12 及時開展處置

　　充分調動本單位內部網絡安全力量處置勒索攻擊事件，將勒索病毒主控端惡意域名、惡意 IP 地址等加入本單位網絡通信黑名單，阻斷通聯行為。

　　利用勒索病毒解密工具、已公開的加密密鑰、數據加密缺陷等嘗試破解勒索病毒，恢復加密數據。

　　必要時，積極聯系具備應對勒索攻擊專業能力的網絡安全企業、機構等尋求協助。

　　三、事后開展網絡安全加固

　　13 利用備份數據恢復數據

　　根據遭受勒索攻擊影響相關設備數據備份的情況，綜合衡量恢復數據的時間成本和重要程度等因素，確認數據恢復范圍、順序及備份數據版本，利用備份數據進行數據恢復。

　　14 排查修補網絡安全風險

　　深入排查和整改勒索攻擊利用的網絡安全防護薄弱環節，重點排查弱口令、賬戶權限、口令更新和共用等問題，及時更新系統、軟件、硬件等版本并修補漏洞。

　　15 更新網絡安全管理措施

　　根據勒索攻擊事件暴露出網絡安全的問題，針對性修訂完善網絡安全管工作理制度，對遭受的勒索攻擊事件進行復盤分析，并更新網絡安全突發事件應急預案。

　　16 補齊網絡安全技術能力

　　綜合勒索攻擊事件情況，深入查找本單位網絡安全技術能力短板弱項，補齊補強覆蓋網絡安全威脅風險預警、監測處置、指揮調度等技術能力，強化勒索攻擊防范應對。

　　四、做好保障服務支撐

　　17 強化勒索攻擊全網監測預警

　　綜合運用基礎電信網絡監測處置技術手段，強化勒索病毒感染、通聯等惡意行為實時監測，及時預警重大勒索攻擊風險。

　　根據勒索病毒特征，加強針對勒索病毒主控端惡意域名、惡意 IP 地址等的全網封堵，及時阻斷勒索病毒傳播。

　　18 加強勒索攻擊威脅信息共享

　　依托網絡安全威脅信息共享工作機制，匯聚勒索病毒樣本特征、攻擊情報等信息，進一步加強勒索攻擊威脅信息共享，指導強化勒索攻擊防范應對工作，加快提升勒索攻擊防御合力。

更多信息可以來這里獲取==>>電子技術應用-AET<<