紧急处置方案
1. 对于已中招服务器下线隔离。
2. 对于未中招服务器:
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
后续跟进方案
1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。
服务器、终端防护
1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令
2. 杜绝使用通用密码管理所有机器
3. 安装杀毒软件、终端安全管理软件并及时更新病毒库
4. 及时安装漏洞补丁
5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础
网络防护与安全监测
1. 对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。
2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3. 在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。
4. 在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。
应用系统防护及数据备份
1. 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。
2. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。
3. 建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。