中國信通院發(fā)布《勒索攻擊安全防護(hù)要點(diǎn)》

　　當(dāng)前，以勒索攻擊為代表的網(wǎng)絡(luò)攻擊危害持續(xù)加深。為強(qiáng)化勒索攻擊防范應(yīng)對(duì)，中國信息通信研究院日前研究制定《勒索攻擊安全防護(hù)要點(diǎn)》（以下簡稱《要點(diǎn)》），《要點(diǎn)》提出，要事前夯實(shí)風(fēng)險(xiǎn)防范基礎(chǔ)，事中做好攻擊應(yīng)急響應(yīng)，事后開展網(wǎng)絡(luò)安全加固，同時(shí)做好保障服務(wù)支撐。

　　在事前夯實(shí)風(fēng)險(xiǎn)防范基礎(chǔ)方面，《要點(diǎn)》提出，全面摸清資產(chǎn)家底，及時(shí)下線停用系統(tǒng)，按照最小化原則，減少資產(chǎn)在互聯(lián)網(wǎng)上暴露，特別是避免重要業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等核心信息系統(tǒng)在互聯(lián)網(wǎng)上暴露。開展風(fēng)險(xiǎn)隱患排查。定期開展漏洞隱患排查，針對(duì)采用的網(wǎng)絡(luò)產(chǎn)品，及時(shí)進(jìn)行版本升級(jí)，第一時(shí)間修補(bǔ)漏洞。嚴(yán)格訪問控制。根據(jù)業(yè)務(wù)需要細(xì)致劃分隔離區(qū)、內(nèi)網(wǎng)區(qū)、接入?yún)^(qū)等網(wǎng)絡(luò)域，限制網(wǎng)絡(luò)域間的訪問，并通過 防火墻限制惡意地址鏈接、遠(yuǎn)程訪問數(shù)據(jù)庫等。備份重要數(shù)據(jù)。根據(jù)系統(tǒng)、文件和數(shù)據(jù)的重要程度分類分級(jí)進(jìn)行數(shù)據(jù)存儲(chǔ)與備份，并及時(shí)更新備份數(shù)據(jù)。強(qiáng)化安全監(jiān)測，提升安全意識(shí)，制定應(yīng)急預(yù)案。

　　在事中做好攻擊應(yīng)急響應(yīng)方面，《要點(diǎn)》提出，要隔離感染設(shè)備。確認(rèn)遭受勒索攻擊后，立即采取斷網(wǎng)、斷電的方式隔離勒索病毒感染設(shè)備，關(guān)閉設(shè)備無線網(wǎng)絡(luò)、藍(lán)牙連接等，禁用網(wǎng)卡并拔掉感染設(shè)備全部外部存儲(chǔ)設(shè)備。要排查感染范圍。在已隔離感染設(shè)備的情況下，對(duì)勒索攻擊影響業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)及備份數(shù)據(jù)等情況進(jìn)行排查。同時(shí)，研判攻擊事件。通過感染的勒索病毒涉及的勒索信息、加密文件、可疑樣本、彈窗信息等對(duì)勒索病毒進(jìn)行分析。及時(shí)開展處置。充分調(diào)動(dòng)本單位內(nèi)部網(wǎng)絡(luò)安全力量處置勒索攻擊事件。

　　在事后開展網(wǎng)絡(luò)安全加固方面，《要點(diǎn)》指出，要利用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)，確認(rèn)數(shù)據(jù)恢復(fù)范圍、順序及備份數(shù)據(jù)版本。要排查網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，重點(diǎn)排查弱口令、賬戶權(quán)限、口令更新和共用等問題。要更新網(wǎng)絡(luò)安全管理措施，修訂完善網(wǎng)絡(luò)安全管理工作制度，對(duì)遭受的勒索攻擊事件進(jìn)行復(fù)盤分析，并更新網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案。同時(shí)，增強(qiáng)網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)預(yù)警、監(jiān)測處置、指揮調(diào)度等技術(shù)能力。

　　此外，做好保障服務(wù)支撐，強(qiáng)化對(duì)勒索攻擊的全網(wǎng)監(jiān)測預(yù)警。綜合運(yùn)用基礎(chǔ)電信網(wǎng)絡(luò)監(jiān)測處置技術(shù)手段，強(qiáng)化對(duì)勒索病毒感染、通聯(lián)等惡意行為的實(shí)時(shí)監(jiān)測，及時(shí)預(yù)警重大勒索攻擊風(fēng)險(xiǎn)。加強(qiáng)勒索攻擊威脅信息共享，匯聚勒索病毒樣本特征、攻擊情報(bào)等信息，進(jìn)一步加強(qiáng)勒索攻擊威脅信息共享。