根据当前的网络安全形势，结合政企单位的业务特点，最终得出勒索病毒防护的安全需求：

1.构建安全防御体系

需要建立完善的安全防御体系，充分考虑到每一个可能被突破的薄弱环节。从网络架构、网络传输、区域边界、攻击防御、服务器加固、终端安全、虚拟化安全及接入安全等各方面建立安全防护措施，形成完整的安全防御体系。

2.增强威胁检测能力

需要增强内部网络中安全威胁的检测能力，实现对内部网络中威胁的持续检测，对突发安全威胁能及时采取遏制的措施，保证内部信息系统可以适应动态的安全环境。

3.建立响应处置机制

树立防御系统随时可能被攻破的观念，为减少攻击造成的损失需要建立应急响应处置机制。

建立应急响应流程，减少处理中流程错误情况；

建立自动化的响应处置，加快处理速度；

溯源取证，了解攻击来源途径。

4.建立预测预警机制

建立与安全厂商实时联动的安全预警中心，实时可获取最新的安全动态，更新自身的安全系统及威胁情报信息，在下一次攻击发生之前与安全厂商共同完成对内的预警动作。

 

方案内容

自适应安全模型

在安全建设中需要适合的安全建设模型进行指导，才能有效的利用技术及安全产品，做到同步规划、同步建设、同步运营的目标；自适应安全模型构建安全体系是当前安全业界推荐的主流建设模型。自适应防护架构的关键能力包括如下：

1.“防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

2.“检测能力”用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为政企单位应该假设自己已处在被攻击状态中。

3.“响应能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来事故。

4.“预测能力”使安全系统可从外部监控下的黑客行动中学习，以主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。
 

 

自适应安全模型

 

防御能力建设

1.智慧防火墙系统

在互联网接入区域边界及其他区域边界处部署智慧防火墙，通过防火墙上规则、威胁情报及云端威胁情报中心对内部网络失陷主机进行定位。“失陷主机”是指被攻击者成功侵入，行为特征符合“受到控制”或“发起恶意行为”的主机。由于失陷主机受控或发起恶意行为往往难寻规律、隐蔽性强，绝大部分已存在失陷主机的组织根本无法感知。因此，需要在政企单位互联网边界处建立检测发现失陷主机并具备及时处理的机制，防止因为失陷主机造成的信息外泄或者对外发起恶意攻击，使政企单位面临经济损失及法律风险。

2. 终端安全管理系统

内网终端是网络攻击的发起点和落脚点，终端安全在网络安全体系中处于核心地位，所以需要在网络内部终端及服务器上部署奇安信天擎终端安全管理系统。天擎终端安全管理系统能为用户构建有效抵御已知病毒、勒索病毒、漏洞、未知恶意代码和高级威胁APT攻击的终端安全防御体系。天擎通过EDR模块还可以天眼威胁感知系统联动，准确检测内部的失陷主机并通过天擎进行响应处置，同时天擎还可以与智慧防火墙进行联动，对内部风险主机或失陷主机进行安全管控。天擎终端安全管理系统还可以对大部分勒索病毒进行检测和查杀，并提供敲诈先赔服务。

天擎终端安全管理系统主要可以解决以下安全问题：

解决终端木马、病毒查杀问题；

解决勒索病毒检测和防护问题；

解决违规终端接入的问题；

解决终端违规软件难以管控问题；

解决终端漏洞，及时进行补丁修复；

解决终端安全状况统一管控问题。

3.终端安全准入系统

在内部网络部署终端安全准入系统，实现从终端发现、访客注册、认证授权、合规检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程。所有终端接入网络，访问核心区域资源都必须进行身份认证，同时进行入网安全检查，不符合的需进行隔离和修复，直到达到合规入网的管理规范要求为止。终端安全准入系统可以提高天擎客户端的部署率，保障入网终端是在安全可控范围内，保证内网的安全。

4.服务器安全加固系统

在物理服务器系统上部署服务器安全加固系统，通过内核级加固、强制访问控制、应用自保护、沙盒等技术等提高服务器操作系统对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁，全方位保障服务器操作系统、业务系统和数据内容的安全。系统支持主流的硬件平台、操作系统和应用，同时支持物理机和虚拟化架构（xen、vmware、hyper-v等），支持异构网络部署，实现跨平台的统一管理。

5.虚拟化安全管理系统

在内网虚拟化平台上部署虚拟化安全管理系统，实现对虚拟化系统的安全防护。虚拟化安全管理系统主要包括防病毒、Webshell扫描、防暴力破解、防火墙、入侵防御及虚拟化加固等功能模块。产品旨在解决在虚拟化环境下的安全问题，提供对宿主机、虚拟机、虚拟机应用的三层防护能力，采用低耗的技术架构，全面兼容企业物理和虚拟环境，保障业务系统的稳定性和连续性。主要支持的虚拟化平台包括VMware vCenter、Citrix XenServer、H3C CAS、Hyper-V、Huawei FusionSphere等主流虚拟化平台。