自2017年“永恒之藍”勒索病毒事件之后，勒索病毒的花樣也越來越多，不同類型的變種勒索病毒層出不窮，從近幾年的應急響應數(shù)據(jù)來看，因感染勒索病毒的應急每年都占應急事件的五成以上，利用方式也多以“永恒之藍”漏洞，暴破和弱口令空口令等方式，受害者一旦感染勒索病毒，重要文件被加密，產(chǎn)生的影響和損失巨大。

一、服務器存漏洞感染勒索病毒

1.事件概述

某日，接到某醫(yī)院的服務器安全應急響應請求。該機構(gòu)反饋有幾臺服務器出現(xiàn)重啟/藍屏現(xiàn)象，應急響應人員初步判定為感染了勒索病毒。

應急響應人員對重啟/藍屏服務器分析后，判定均遭受“永恒之藍”勒索病毒，同時遭受感染的服務器中部分文件被加密。通過對服務器進行漏洞檢查發(fā)現(xiàn)服務器存在MS17-010漏洞，同時發(fā)現(xiàn)服務器開放了445端口。

通過本次安全事件，醫(yī)院信息系統(tǒng)暴露了諸多安全隱患，包括未定期開展安全評估工作，導致內(nèi)部服務器存在嚴重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強等。

2.防護建議

• 周期性對全網(wǎng)進行安全評估工作，及時發(fā)現(xiàn)網(wǎng)絡主機存在的安全缺陷，修復高風險漏洞，避免類似事件發(fā)生；
• 系統(tǒng)、應用相關(guān)的用戶杜絕使用弱口令；
• 有效加強訪問控制ACL策略，細化策略粒度，采用白名單機制只允許開放特定的業(yè)務必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進行訪問；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安全策略落實情況進行檢查，常態(tài)化信息安全工作；
• 加強安全意識，提高對網(wǎng)絡安全的認識，關(guān)注重要漏洞與網(wǎng)絡安全事件。

二、終端電腦遭遇釣魚郵件感染勒索病毒

1.事件概述

某日，到某電網(wǎng)公司的終端安全應急響應請求，有幾臺辦公終端出現(xiàn)部分Office文檔、圖片文檔、pdf文檔多了sage后綴，修改后變成亂碼。

應急響應人員接到請求后，通過對感染勒索病毒的機器樣機進行分析得知，此次感染的勒索病毒的類型為sage2.2勒索病毒。對于感染過程，響應人員分析該勒索病毒可能使用了包含欺騙性消息的惡意電子郵件，消息可以是各種類型，目的皆在使?jié)撛谑芎φ叽蜷_這些電子郵件的惡意.zip。

2.防護建議

• 對受感染的機器第一時間進行物理隔離處理；
• 部署終端安全管控軟件，實時對終端進行查殺和防護；
• 對個人PC中比較重要的穩(wěn)定資料進行隨時備份，備份應離線存儲；
• 繼續(xù)加強網(wǎng)絡與信息安全意識培訓教育。意外收到的或來自未知發(fā)件人的電子郵件，不要按照文字中的說明進行操作，不要打開任何附件，也不要點擊任何鏈接；
• 操作系統(tǒng)以及安裝在計算機上的所有應用程序（例如Adobe Reader，Adobe Flash，Sun Java等）必須始終如一地更新。

三、工業(yè)生產(chǎn)網(wǎng)與辦公網(wǎng)邊界模糊，感染勒索病毒

1.事件概述

某日，某大型制造企業(yè)的臥式爐、厚度檢測儀、四探針測試儀、銅區(qū)等多個車間的機臺主機以及MES（制造執(zhí)行系統(tǒng)）客戶端都不同程度地遭受蠕蟲病毒攻擊，出現(xiàn)藍屏、重啟現(xiàn)象。該企業(yè)內(nèi)部通過處理（機臺設備離線、部分MES服務器/客戶端更新病毒庫，更新主機系統(tǒng)補丁）暫時抑制了病毒的蔓延，但沒有徹底解決安全問題，因此緊急向工業(yè)安全應急響應中心求救。

工業(yè)安全應急響應中心人員到達現(xiàn)場后，經(jīng)對各生產(chǎn)線的實地查看和網(wǎng)絡分析可知，當前網(wǎng)絡中存在的主要問題是工業(yè)生產(chǎn)網(wǎng)和辦公網(wǎng)網(wǎng)絡邊界模糊不清，MES與工控系統(tǒng)無明顯邊界，各生產(chǎn)線未進行安全區(qū)域劃分，在工業(yè)生產(chǎn)網(wǎng)中引入了WannaMine3.0、“永恒之藍”勒索蠕蟲變種，感染了大量主機，且勒索蠕蟲變種在當前網(wǎng)絡中未處于活躍狀態(tài)（大部分機臺設備已離線）。

2.防護建議

• 制定MES（制造執(zhí)行系統(tǒng)）與工控系統(tǒng)的安全區(qū)域，規(guī)劃制定安全區(qū)域劃分；
• 隔離感染主機：已中毒計算機關(guān)閉所有網(wǎng)絡連接，禁用網(wǎng)卡，未進行查殺的且已關(guān)機的受害主機，需斷網(wǎng)開機；
• 切斷傳播途徑：關(guān)閉潛在終端的網(wǎng)絡共享端口，關(guān)閉異常的外聯(lián)訪問；
• 查殺病毒：使用最新病毒庫的終端殺毒軟件，進行全盤查殺；
• 修補漏洞：打上“永恒之藍”漏洞補丁并安裝工業(yè)主機安全防護系統(tǒng)。

四、服務器配置不當感染勒索病毒

1.事件概述

某日，接到某交通運輸行業(yè)的應急響應請求，某重要服務器感染勒索病毒，導致業(yè)務系統(tǒng)無法正常運行。

應急響應人員抵達現(xiàn)場后，通過對受感染服務器進行分析，發(fā)現(xiàn)服務器感染Crysis勒索病毒變種，操作系統(tǒng)桌面及啟動項目錄中發(fā)現(xiàn)病毒樣本payload1.exe，系統(tǒng)大部分文件被加密。同時2個境外IP在勒索時間節(jié)點利用administrator賬號遠程桌面登錄到了目標主機，人工投毒并進行橫向擴散。

通過對現(xiàn)場情況進行分析和對事件進行推斷，本次事件主要是由于服務器配置不當，直接對外映射了遠程桌面端口，進而攻擊者有針對性地對rdp遠程登錄暴破、人工投毒執(zhí)行的勒索攻擊。

2. 防護建議

• 系統(tǒng)、應用相關(guān)用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務器主動發(fā)起外部連接請求，對于需要向外部服務器推送共享數(shù)據(jù)的，應使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進行限制；
• 部署高級威脅監(jiān)測設備，及時發(fā)現(xiàn)惡意網(wǎng)絡流量，同時可進一步加強追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 建議在服務器或虛擬化環(huán)境上部署虛擬化安全管理系統(tǒng)，提升防惡意軟件、防暴力破解等安全防護能力；
• 定期開展對系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安全策略落實情況進行檢查，常態(tài)化信息安全工作；
• 加強人員安全意識培養(yǎng)，不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。

五、專網(wǎng)被攻擊，58家醫(yī)院連鎖感染勒索病毒

1.事件概述

某日，某地骨科醫(yī)院爆發(fā)勒索病毒，不到一天，全省另外57家醫(yī)院相繼爆發(fā)勒索病毒，每家醫(yī)院受感染服務器數(shù)量為3-8臺不等，受災醫(yī)院網(wǎng)絡業(yè)務癱瘓，無法正常開展診療服務。

現(xiàn)場排查顯示，此次事件可認定為人工投毒，感染的病毒為Globelmposte家族勒索病毒，受感染醫(yī)院專網(wǎng)前置機因使用弱口令而被暴破，在成功感染第一家醫(yī)院后，攻擊者利用衛(wèi)生專網(wǎng)暴破3389登錄到各醫(yī)院專網(wǎng)前置機，再以前置機為跳板向醫(yī)院內(nèi)網(wǎng)其他服務器暴破投毒，感染專網(wǎng)未徹底隔離的其他57家醫(yī)院。

通過本次安全事件，醫(yī)院信息系統(tǒng)暴露了諸多安全隱患，包括未定期開展安全評估工作，導致內(nèi)部服務器存在嚴重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強等。

2.防護建議

• 系統(tǒng)、應用相關(guān)用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務器主動發(fā)起外部連接請求，對于需要向外部服務器推送共享數(shù)據(jù)的，應使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進行限制；
• 有效加強訪問控制ACL策略，細化策略粒度，按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡區(qū)域以及服務器之間的訪問，采用白名單機制只允許開放特定的業(yè)務必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進行訪問，如FTP、數(shù)據(jù)庫服務、遠程桌面等管理端口；
• 部署高級威脅監(jiān)測設備，及時發(fā)現(xiàn)惡意網(wǎng)絡流量，同時可進一步加強追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 后續(xù)完善強化安全域劃分與隔離策略；修改弱密碼；關(guān)閉防火墻一切不必要的訪問端口；配置完善全流量采集分析能力；
• 構(gòu)建安全行業(yè)生態(tài)合作，有效利用威脅情報和應急服務，提升安全防護和處置水平。

六、OA服務器遠程桌面映射公網(wǎng)，感染勒索病毒

1. 事件概述

某日，接到某地熱電企業(yè)應急響應請求，該企業(yè)現(xiàn)場包括收費系統(tǒng)、化檢站遠程監(jiān)測系統(tǒng)、用戶室溫檢測系統(tǒng)、郵件系統(tǒng)等23個系統(tǒng)被加密。該企業(yè)屬于大型政企機構(gòu)，停產(chǎn)后果難以估量，因此發(fā)出應急響應請求。

應急人員抵達現(xiàn)場后，對受害主機初步分析，確定病毒為Sodinokibi勒索病毒，且主機日志大多被清除。

通過對多臺主機殘留日志關(guān)聯(lián)分析，配合上網(wǎng)行為系統(tǒng)訪問日志分析，確認感染源頭為部署在虛擬化區(qū)域的OA服務器。黑客入侵后取得了管理員權(quán)限，又以此為跳板攻擊其他主機。經(jīng)現(xiàn)場調(diào)研發(fā)現(xiàn)，除管理疏忽存在漏洞外，該企業(yè)為了方便運維將OA服務器遠程桌面映射到了互聯(lián)網(wǎng)上，并且有弱口令甚至是空口令的情況，導致遭受此次攻擊。

2.防護建議

• 定期進行內(nèi)部人員安全意識培養(yǎng)，禁止將敏感信息、內(nèi)網(wǎng)端口私自暴露至公網(wǎng)，所有賬號系統(tǒng)必須設置口令且禁止使用弱口令；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進行檢查。

七、內(nèi)網(wǎng)主機使用弱口令致感染勒索病毒

1.事件概述

某日，接到某國有企業(yè)應急響應請求，該企業(yè)感染勒索病毒、多個主機文件被加密，要求協(xié)助對攻擊路徑進行溯源。

應急人員通過對主機/服務器的進程、文件、日志等排查分析，發(fā)現(xiàn)主機審核策略配置存在缺陷，部分審計未開啟，系統(tǒng)被植入惡意程序等現(xiàn)象，確認多臺機器感染Hermes837勒索病毒，被病毒加密后的文件后綴為“Hermes837”。

攻擊者利用IPC暴力破解，成功登錄內(nèi)網(wǎng)主機和辦公主機，在辦公主機進行安裝TeamViewer，創(chuàng)建ProcessHacker服務，修改密碼等一系列操作，以內(nèi)網(wǎng)主機為跳板，在SMB服務器安裝惡意程序KProcessHacker 。最終導致多臺機器感染Hermes837勒索病毒，文件被加密。

2.防護建議

• 系統(tǒng)、應用相關(guān)用戶杜絕使用弱口令，應使用高復雜強度的密碼，加強內(nèi)部人員安全意識，禁止密碼重用的情況出現(xiàn)；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態(tài)化；
• 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 配置并開啟相關(guān)關(guān)鍵系統(tǒng)、應用日志，對系統(tǒng)日志進行定期異地歸檔、備份，避免在攻擊行為發(fā)生時，導致無法對攻擊途徑、行為進行溯源等，加強安全溯源能力；
• 建立安全災備預案，一旦核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務連續(xù)性。

八、8003端口映射在公網(wǎng)感染勒索病毒

1.事件概述

某日，接到某醫(yī)療衛(wèi)生行業(yè)應急響應求助，現(xiàn)場發(fā)現(xiàn)一臺服務器被加密，希望對加密服務器進行排查，并追溯攻擊來源。

應急人員接到應急請求抵達現(xiàn)場后排查發(fā)現(xiàn)，內(nèi)網(wǎng)2臺服務器和11臺終端感染Phobos家族最新變種勒索病毒。應用服務器B的應用系統(tǒng)8003端口映射在公網(wǎng)上，內(nèi)網(wǎng)多臺設備均未安裝任何補丁，且開放445、3389等常被攻擊者利用的端口。

經(jīng)過一系列排查分析，最終確認攻擊者利用應用服務器B存在的已知漏洞，上傳webshell后門獲得服務器B的應用權(quán)限，進行提權(quán)后，關(guān)閉終端安全軟件，上傳惡意程序mssecsvr.exe。并以應用服務器B作為跳板機，對內(nèi)網(wǎng)發(fā)起掃描，通過暴力破解獲取服務器A的3389端口的賬號、密碼，遠程登錄服務器A，上傳勒索病毒程序mssecsvr.exe，利用內(nèi)網(wǎng)開放的445端口將病毒進行橫向擴散，最終導致內(nèi)網(wǎng)多臺設備感染勒索病毒被加密。

2.防護建議

• 服務器、操作系統(tǒng)啟用密碼策略，杜絕使用弱口令，應使用高復雜強度的密碼，如包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務器主動發(fā)起外部連接請求，對于需要向外部服務器推送共享數(shù)據(jù)的，應使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進行限制；
• 關(guān)閉服務器3389、445、139、135等不必要的高危端口，建議內(nèi)網(wǎng)部署如堡壘機等類似的設備，并只允許堡壘機IP訪問服務器的遠程管理端口（如445、3389、22等）；
• 對內(nèi)網(wǎng)開展安全大檢查，檢查的范圍包括但不限于惡意進程、惡意服務、異常賬號以及后門清理、系統(tǒng)及網(wǎng)站漏洞檢測等；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安全策略落實情況進行檢查，常態(tài)化信息安全工作。

九、私自下載破解軟件致服務器感染勒索病毒

1.事件概述

某日，某公司十余臺服務器感染勒索病毒，文件遭勒索加密，因此發(fā)起應急響應請求，查詢中毒原因。

應急人員抵達現(xiàn)場后，查看加密文件后綴及勒索病毒界面，判斷該病毒是Phobos家族勒索病毒。通過現(xiàn)場對多臺受害服務器進行日志分析，并與相關(guān)工作人員溝通，發(fā)現(xiàn)公司內(nèi)部員工曾使用個人電腦通過非官方渠道下載各類破解版軟件，導致個人電腦感染勒索病毒。同時內(nèi)網(wǎng)多臺服務器均開放3389遠程桌面服務端口，勒索病毒進入內(nèi)網(wǎng)后對內(nèi)網(wǎng)服務器進行RDP暴破，暴破成功后釋放勒索病毒，加密文件。

2.防護建議

• 加強內(nèi)部訪問策略，禁止或限制個人電腦進入內(nèi)網(wǎng)，如業(yè)務需要，增加訪問控制策略；
• 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進行檢查，禁止通過非官方渠道下載應用軟件，及時修復漏洞、安裝補丁，將信息安全工作常態(tài)化。

十、服務器補丁安裝不及時感染勒索病毒

1.事件概述

某日，某藥業(yè)公司一臺服務器遭受勒索病毒攻擊，緊急向應急響應中心求助，希望盡快排查并溯源。

安全應急響應中心專家通過對受感染服務器進行日志分析，排查確認感染fair勒索病毒。分析中發(fā)現(xiàn)文件最早加密時間為2022-02-20 14:40 左右，排查此時間段前登錄記錄，發(fā)現(xiàn)存在大量國外IP登錄的記錄。對登錄IP進行威脅情報排查，發(fā)現(xiàn)大多IP都為惡意IP，其中有惡意IP通過windows登錄類型10：遠程交互（遠程桌面或遠程協(xié)助訪問計算機）的方式登錄過受害服務器。

通過對現(xiàn)場情況進行分析發(fā)現(xiàn)，該藥業(yè)公司服務器存在補丁安裝不及時、多張網(wǎng)卡情況、根據(jù)以上排查信息、也不排除攻擊者掃描到相關(guān)漏洞進行攻擊的可能性。

2.防護建議

• 對已被感染勒索病毒的服務器進行斷網(wǎng)處理，并進行隔離，以免進一步感染其他主機。對于未中招服務器，盡量關(guān)閉不常用的高危端口；
• 有效加強訪問控制策略，按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡區(qū)域以及服務器之間的訪問，在服務器部署工業(yè)主機安全防護系統(tǒng)，使用白名單的機制只允許業(yè)務必要端口開放；
• 部署工業(yè)安全監(jiān)測系統(tǒng)，進行鏡像流量分析和威脅檢測，及時發(fā)現(xiàn)網(wǎng)絡中的安全風險，同時加強追蹤溯源能力，提供可靠的追溯依據(jù)。

十一、擅自修改網(wǎng)絡配置致服務器感染勒索病毒

1.事件概述

某日，接到醫(yī)療行業(yè)某機構(gòu)應急響應求助，現(xiàn)場一臺剛上線服務器感染勒索病毒，所有文件被加密。

應急人員通過對加密文件進行查看，確認受害服務器感染的是Phobos勒索病毒，文件加密時間為事發(fā)當日凌晨4點。應急人員對受害服務器日志進行分析發(fā)現(xiàn)，從事發(fā)前一周開始，公網(wǎng)IP（x.x.x.75）持續(xù)對受害服務器RDP服務進行賬號密碼暴力破解，并于事發(fā)前一晚20點第一次登錄成功。事發(fā)當日凌晨1點，公網(wǎng)IP（x.x.x.75）再次登錄RDP服務賬號，使用黑客工具強制關(guān)閉服務器中安裝的殺毒軟件，向內(nèi)網(wǎng)進行了橫向滲透、端口掃描及RDP暴破等行為，但均利用失敗，并于事發(fā)當天凌晨3點向受害服務器釋放勒索病毒。

最終發(fā)現(xiàn)，正常運維人員訪問RDP服務需要通過堡壘機訪問，運維人員為了方便管理，將RDP服務8735端口的網(wǎng)絡流量通過netsh端口轉(zhuǎn)發(fā)到服務器3389端口到公網(wǎng)，導致RDP服務開放至公網(wǎng)被攻擊者利用。

2.防護建議

• 定期進行內(nèi)部人員安全意識培訓，禁止擅自修改服務器配置，禁止使用弱密碼等；
• 服務器、操作系統(tǒng)啟用密碼策略，杜絕使用弱口令，應使用高復雜強度的密碼，如包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 部署高級威脅監(jiān)測設備，及時發(fā)現(xiàn)惡意網(wǎng)絡流量，同時可進一步加強追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態(tài)化。

十二、用戶名口令被暴力破解感染勒索病毒

1.事件概述

某日，接到某政府部門的應急響應求助，要求對被勒索服務器進行排查分析并溯源。

應急人員通過查看加密文件，確認感染VoidCrypt勒索病毒。對多臺被感染服務器進行日志分析，發(fā)現(xiàn)存在大量用戶名口令暴破并暴破成功的記錄。查看服務器C主機進程發(fā)現(xiàn)存在FRP代理程序，與運維管理員溝通了解到，運維管理員為了方便管理將服務器C的3389遠程桌面端口映射到了公網(wǎng)。

經(jīng)排查研判后最終確定，攻擊者利用服務器C對外開放的3389端口對用戶名和密碼進行暴力破解，并成功獲取服務器C的控制權(quán)，進而以服務器C作為跳板，對內(nèi)網(wǎng)進行小規(guī)模掃描暴破獲取服務器B的權(quán)限，再進一步以服務器B作為跳板，繼續(xù)對內(nèi)網(wǎng)進行掃描暴破獲取服務器A的權(quán)限，利用服務器A為跳板機進行內(nèi)網(wǎng)暴破攻擊，在獲得其他主機用戶名口令后，通過遠程登錄執(zhí)行勒索程序。

2.防護建議

• 系統(tǒng)、應用相關(guān)用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；
• 加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態(tài)化；
• 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 對內(nèi)網(wǎng)的安全域進行合理劃分，各個安全域之間限制嚴格的ACL，限制橫向移動的范圍；
• 建立安全災備預案，一旦核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務連續(xù)性。