谈谈企业信息安全的那些事

最近勒索病毒大有卷土重来之势，搞得企业信息部门每天紧张兮兮，生怕某一天服务器被病毒勒索。

    其实信息部门的担心是不无道理的，因为大部分传统企业对信息安全缺乏足够的重视，主要表现为：
 

1）信息安全资金投入不足：

    主要表现为在信息安全方面无预算或少量预算，当信息部门提出相关信息安全方案后都会以价格过高为由PASS；信息安全建设能拖则拖；

2）信息安全基础设备功能不足：

    主要表现大部分企业信息安全设备简陋，或仅为普通防火墙，或使用一些路由设备自带的防护功能，由于功能简单，仅能做一般简单安全防护，同时由于缺乏专业技术人员，导致信息安全设备缺乏专业维护，相关病毒库无升级操作；

3）企业信息安全意识不足：

    主要表现在以下三个方面，

    第一，高层管理者认为信息安全投入高、太浪费；

    第二，员工日常工作中缺乏信息安全意识，例如随意打开陌生链接、邮件，不经杀毒随意打开陌生U盘等；

    第三，员工存在侥幸心理，自认为公司网络环境很安全，不会中毒；

4）专业信息安全维护人员配置不足：

    在以成本为基准的信息安全策略下，企业信息安全技术人员都是以IT管理员兼任，在专业度、能力、精力方面缺失，

    从以上四个方面可以看出，传统企业的信息安全面临着巨大的挑战和安全管理隐患，所以才给了勒索病毒可趁之机，正所谓“趁你病，要你命”，当前数字化环境下，无论是工作还是生活都离不开数字系统，企业的日常经营管理更离不开各种管理软件，在安全意识上的缺乏、安全配置上的漏洞，相当于后门大开，让黑客分子可以随意进出服务器读取数据而让企业无感知，轻则在服务器安装挖矿软件，让服务器沦为免费的矿机；重则中勒索病毒，数据全部被锁定，但从企业发觉那一刻起，为时已晚，因为此时数据已变成“被挟持”模式，后悔晚矣。

曾经有朋友问老杨中了勒索病毒是不是支付了所谓的“赎金”就可以恢复数据？

 NO！   NO！    NO！

    不要对犯罪分子抱有任何幻想！老杨分析如下：

    第一，勒索病毒目前已经成为了一个产业，该病毒在互联网上可以买到，且经过相关电脑高手加工以后又产生了各种的变种，也就是有毒没解药的模式，估计连放毒的人都没有解药；

    第二，不要相信犯罪分子的承诺，“赎金”以比特币的方式支付，无法追踪，即使提供账号估计犯罪分子也不会傻到用自己的真实信息；最关键的是你连对方是谁都不清楚，还抱有幻想的去付款，和犯罪分子谈诚信？

    第三，此次支付了所谓的“赎金”，那么就会给犯罪分子留下“好”印象，下次还继续勒索你；

有人问，公司有防火墙这些设备，那么病毒是如何攻入服务器的呢？

其实很简单，主要有以下几种常见的方式：

1、外网攻击：用漏洞扫描工具获取相关服务器信息，发动漏洞攻击；

 2、内网攻击：以局域网内中毒电脑为跳板，从局域网内攻入服务器，大家都知道堡垒从内部攻破最简单；

3、IT管理人员安全意识不强，在服务器直接插拔未杀毒验证的U盘，或在服务器上打开文件共享权限、远程桌面；

那么该如何防范呢？老杨认为应该从以下几方面进行：

1、在服务器访问机制上：

   1）服务器的应用系统如无必要关闭外网访问地址，分子公司改为用VPN形式访问内部系统；

   2）一定要关闭远程桌面功能；远程工具随用随开，结束直接关闭；切忌不能为了让软件公司维护方便而打开服务器的共享端口；

    3）发现服务器上突然有陌生的用户账户信息，马上删除，并进行相关排查；这说明服务器已经被入侵了；

  4）在端口管理上：服务器要关闭相关端口，如勒索病毒经常入侵的端口为：135、139、138、137和445;

2、在网络管理上：
 

  1）局域网内划分VLAN，做网络隔离措施，例如常用的WiFi，需做内部与访客网段区分；

 2）无线与有线网络需独立划分网段，打印机、物联设备也需划分独立网段；

 3）不同楼层间的交换机也需划分不同的IP段；

    这样可以有效杜绝局域网一台电脑中毒导致整个企业电脑被感染的现象；特别值得一提的是服务器一定要划分独立的IP段；

3、安全设备管理上：

  1）需购买专业的防火墙、服务器专用杀毒软件，定期升级病毒库；

    这个时候会有人问：服务器可以安装那种免费的杀毒软件吗？例如360杀毒？不能！由于免费杀毒软件是针对于普通PC电脑的，与服务器所用的系统是有区别的，因此服务器还是要安装专业的服务器版的杀毒软件。

    2）有条件的企业多一些专业安全设备投入，建立内网防御、外网防护的安全保障措施；

4、日常工作行为上：

1）员工不要在工作电脑随意打开陌生邮件链接；

2）不要随意打开不熟悉人发送的可疑文件；

3）不要随意在电脑搜索安装软件，一定要去官网下载安装程序，因为非官方的软件下载渠道可能在软件内植入了木马病毒；

4）外部U盘在打开前一定要记得先杀毒；

5）不要在工作电脑随意进行文件共享操作；

6）不要随意打开电脑的远程桌面功能；

5、在机制管理上：

    信息中心应多开展信息安全培训，定期发布网络安全趋势及病毒预警信息，这样做既可以提高企业全员信息安全意识，又可以让领导层感知信息安全的重要性，为信息安全投入打下良好的基础。

如果不幸中了勒索病毒怎么办？

    第一，马上切断已中毒服务器的网络连接，很简单就是拔网线，防止病毒的进一步扩散；同时要马上汇报主管领导，制订相关方案；

    第二，不要尝试联系病毒制造者，付费解密，有可能被诈骗；

    第三，联系正规大厂解密数据；但不能保证文件100%全部解密；

    第四，同时开展局域网内排查工作，消除其他服务器、电脑设备安全隐患；

    第五，联系系统供应商，做好恢复软件系统的准备工作；

    第六，事后复盘，升级相关防护措施；

中了勒索病毒，信息部门一定不要怕遭受批评而刻意隐瞒，如实汇报，调动公司资源解决问题才是王道！

如何将中毒后的损失降到最低？

    有没有定期对服务器数据进行备份是关键！

    由于缺乏足够的安全意识，或苦于没有资金投入，有部分企业将系统的应用与数据库部署在一台服务器中，这样做暂时看似节省了服务器的投入，但一旦中毒，将面临应用数据、数据库数据全部丢失的风险；因此建议软件的应用与数据库分开部署；

    数据库文件要定期异地备份，不要以为在服务器硬盘内能正常备份就是安全的，一旦中毒数据全毁，所以为了数据安全，必须异地备份。有条件的企业都购买了异地容灾备份系统，那么没条件的可以备份在存储设备，备份在专用移动硬盘也是没有问题的，但注意该移动硬盘必须是专用的。一旦中毒，可以利用该备份进行数据恢复，降低损失。

    另外，数据备份仅是治标不治本的措施，要想彻底改善问题，针对数据安全，有条件的企业可以考虑购置超融合平台，实行服务器虚拟化管理，超融合平台底层为liux架构，相比Windows服务器系统更多一层安全，另外超融合平台还具有多副本备份机制，一旦服务器中毒可以快速进行服务器整机还原，而传统的服务器恢复要经历格式化硬盘、重新安装系统、安装运行环境、数据恢复等环节，可能需一两天或者更久的时间，而超融合的快速恢复机制只需几分钟。

    另外异地容灾备份，如果资金允许，也同时考虑建设，数据多地备份才安全。

有人也会问：用云服务器是不是就不会中病毒？

错！

    云服务器相对于企业自建的机房在安全方面相对较好，但不能保证100%不中毒，因为部署在云服务器中的信息系统在维护过程会与PC机产生数据交互，病毒就有可乘之机，而企业以为云服务器很安全，会忽略部署杀毒产品，在使用云服务器时经销商或厂家也会提示企业购买其数据安全产品，如不购买，或企业不自行部署杀毒软件，云服务器中毒的概率还是会有滴！

有人这个时候会问：老杨会推荐相关网络安全厂家吗？
 

对不起，不推荐！老杨只做知识经验分享，不带货！

因为：
 

第一，对厂家不熟悉；

第二，对产品不了解；

第三，对厂家服务能力不清楚；

第四，每个企业应用场景不同；

第五，要对各位关注老杨的朋友负责；

所以在公众号老杨不带货！不推荐！

信息安全，任重道远，企业需在：

    意识上重视

    行为上约束

    资金投入上支持

    管理机制上明确

    而作为信息安全责任主管部门的信息中心需在技术上、能力上、日常管理中科学应对，用专业技术堵塞漏洞，用日常管理为信息安全保驾护航。

来源：湘江数评

作者：老杨