一、工作目标
为防范病毒事件发生,同时确保在应对病毒事件发生时,反应及时、准备充分、决策科学、措施有力,最大限度降低影响。
二、防范措施
1. 对所有主机服务器、网络及安全设备高危端口(包括22、135、137、138、139、445、3389等端口)进行核查,并在不影响业务正常开展的情况下关闭勒索软件频繁利用的高危端口;
2.安装杀毒软件,每日进行全盘杀毒并实时监测阻断病毒。(火绒、天融信、360)
3.严格执行“十六不准”,杜绝弱口令,严禁不同系统使用相同口令,防范社攻和口令破解。
4.对主机进行安全更新,对各类操作系统进行安全补丁更新升级。(系统自动升级;技术部门通知;安全扫描发现)
5.对主机和应用定期开展漏洞扫描,发现漏洞及时修补。
6.强化攻击监测和防御,防止攻击者渗透内网植入病毒。
7. 做好数据备份,备份要采取脱机备份方式防止备份数据被病毒加密,根据业务需要对备份频率科学评估,统筹全量、增量备份。
三、应急措施
1.及时发现及时报告并采取措施,一旦发现设备感染病毒要立即断网,切断与局域网的有线和无线网络连接(拔掉网线,禁用无线网卡),防止病毒通过网络传播感染其他设备。
2.查看中毒设备所在局域网内主机监控软件告警和安全设备告警,查明是否有端口扫描,查明扫描的端口,查明该端口是否承载业务,在局域网内关闭交换机和主机层面未承载业务的端口,在局域网上联网络设备、安全设备上关闭未承载业务的端口。对于承载业务的端口要根据感染的可能性进行研判,并实时监测是否有被感染的情况,研判为稿风险或监测发现利用端口进行传播新增感染的要立即采取关闭端口的措施。
3. 在防火墙上设置访问控制,禁止被感染主机与其他设备通讯。
4. 再次在局域网内和与该局域网有连接的网络内核查各主机补丁情况,和口令设置,未打补丁的要立即将补丁更新到最新版本,存在弱口令的要立即整改。
5. 再采取以上措施的基础上彻底清除被感染的主机的病毒,确认病毒清除后使用备份数据恢复数据,确认无误后再接入网络并持续观察。