數據安全的現在主要指的是兩方面，一是數據本身的安全，主要是指采用現代密碼算法對數據進行主動保護，二是數據防護的安全，主要是采用現代信息存儲手段對數據進行主動防護。數據安全已經成為競爭力。在面對敏感數據時，企業單位的數據安全能力越高，有權處理數據的類型和數量越多。在數據共享過程中為了保障數據的安全，可以規定相關組織具備相應的數據安全能力才可以對數據進行處理。

加強系統安全保護數據安全的措施有以下這些：

• 安裝和維護防病毒軟件：防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站，而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼，因此保持我們使用的防病毒軟件保持最新非常重要。

• 謹慎使用鏈接和附件：在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件，并在單擊電子郵件鏈接時小心謹慎，即使它們貌似來自我們認識的人。

• 阻止彈出廣告：彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能，可以啟用它來阻止彈出廣告。

• 使用權限有限的帳戶：瀏覽網頁時，使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染，受限權限可防止惡意代碼傳播并升級到管理賬戶。

• 禁用外部媒體自動運行和自動播放功能：禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。

• 更改密碼：如果我們認為我們的計算機受到感染，應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼，使攻擊者難以猜測。

• 保持軟件更新：在我們的計算機上安裝軟件補丁，這樣攻擊者就不會利用已知漏洞。如果可用，請考慮啟用自動更新。

• 資料備份：定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染，我們的信息不會丟失。

• 安裝或啟用防火墻：防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻，請啟用它。

• 使用反間諜軟件工具：間諜軟件是一種常見的病毒源，但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項，確保啟用。

• 監控賬戶：尋找任何未經授權的使用或異常活動，尤其是銀行賬戶。如果我們發現未經授權或異常的活動，請立即聯系我們的賬戶提供商。

• 避免使用公共Wi-Fi：不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。

CMSTP 繞過 UAC：方法1，通過INF RunPreSetupCommandSection 實現繞過UAC。方法2，通過COM接口直接利用UAC繞過。

UAC 是微軟在 Windows Vista 以后版本引入的一種安全機制，通過 UAC，應用程序和任務可始終在非管理員帳戶的安全上下文中運行，除非管理員特別授予管理員級別的系統訪問權限。UAC 可以阻止未經授權的應用程序自動進行安裝，并防止無意中更改系統設置。

CMSTP 是一個舊的遠程訪問配置工具，且附帶有一個名為 Config Manager Admin Kit 的配置向導。這個向導還會彈出一個 INF 配置文件，幫助攻擊者實施攻擊。

CMSTP 繞過 UAC

方法1：通過INF RunPreSetupCommandSection 實現繞過UAC

正如Odvar Moe在他的研究中發現的那樣，事實證明INF文件中的RegisterOCXSection并不是唯一容易被武器化的部分。查看由Connection Manager Admin Kit生成的另一個INF文件，可以插入任意二進制文件，以便在RunPreSetupCommandSection下執行。在本例中，我們生成一個shell，然后清除cmstp可執行文件。

需要一些新選項，確保在彈出的對話框中選中了“All Users/所有用戶”，然后單擊OK。

然后就有了shell。請注意，與前面的方法不同，可執行文件以這種方式運行，在不通知用戶的情況下提升了它們的安全上下文，從而繞過UAC。我們將在方法3中研究一種更隱蔽的方法來實現這一點，該方法不涉及彈出窗口。

注意Sysmon 12和Sysmon 13注冊表value add和value set事件：

Dllhost.exe在Sysmon 12中創建對象cmmgr32.exe，然后在隨后的Sysmon 13中將ProfileInstallPath值設置為C:ProgramDataMicrosoftNetworkConnectionsCm。

讓我們看看實際上產生cmd.exe的Sysmon 1事件：

在ParentCommand行字段中看到，Dllhost.exe使用帶有某種GUID的ProcessID選項。為了理解GUID在那里做什么,將重新運行，但這次使用修改的Sysmon配置，允許我們獲得Sysmon事件10s進程訪問。

為了限制事件10的收集孔徑，避免系統陷入停頓，我們將遵循Tim Burrell的做法，在這里設置Sysmon，以便我們只提取那些請求高度特權級別的進程訪問的Sysmon 10事件，或者在CallTrack中包含一個“unknown”字符串：

需要讓Sysmon知道通過運行以下命令來使用更新后的配置：

sysmon -c <modified_config.xml>

重新運行時，會看到另外幾個Sysmon 10事件。其中特別有趣的是，Dllhost.exe訪問TargetImage cmd.exe。

注意CallTrack數據。其中一個被調用的DLL是cmlua.dll，[@hFireF0X]將它作為包含一個名為CMLUAUTIL的自動提升的COM接口調用。當使用方法2時，將再次看到CMLUAUTIL。

方法2：通過COM接口直接利用UAC繞過

正如@hFireF0X在他的tweet中所說的，cmlua.dll分別通過cmlua.dll和cmstplua.dll引用自動提升COM接口CMLUAUTIL和CMSTPLUA。在他的UAC繞過項目UACME(https：/github.com/hfire0x/UACME)中，列舉了幾個實現繞過的方法，但是#41包含了一個PoC，可以執行我們在方法1中看到的相同的攻擊，除了不處理cmstp.exe，它是彈出對話框，并且依賴DLL與COM接口進行對接，直接與它們進行對接。

如果使用這個方法，對Sysmon可見性的潛在影響是什么？

要在2018年7月開始執行這種UACME驅動的攻擊，我們需要在“Compiled”和“Source”目錄仍然有效的情況下獲取UACME REPO的前一次提交(他已經刪除了我們所需的可執行文件，因此需要使用2018年5月或6月的提交)。在Compiled目錄下，讓我們運行“Akagi32.exe 41”。

如果我們回到方法2中所分析的Sysmon 10事件，其中Dllhost.exe訪問cmd.exe并查看CallTrack，則沒有提到cmlua.dll。還請注意，沒有Sysmon 12或13事件。這表明查找cmlua.dll或注冊表adds / mods 可能很難：

讓我們重新訪問Sysmon 1事件，其中dllhost.exe產生cmd.exe。事實證明，我們在ParentCommandLine字段中看到的GUID實際上是我們連接到的COM對象的類ID，在本例中是支持自動提升的CMSTPLUA。

然后，檢測方法1和2的一個潛在的高級方法是在ParentCommand行中對dllhost.exe以及CMSTPLUA的GUID發出警報：

Sysmon 1，其中ParentCommandLine包含dllhost.exe并包含CMSTPLUA COM對象的GUID(3E5FC7F9-9A51-4367-9063-A120244FBEC7)

下面按優先級從高到低的順序總結一下各種運算符，每一條所列的各運算符具有相同的優先級，對于同一優先級的多個運算符按什么順序計算也有說明，雙目運算符就簡單地用“左結合”或“右結合”來說明。

• 標識符、常量、字符串和用()括號套起來的表達式是組成表達式的最基本單元，在運算中做 操作數，優先級最高。

• 后綴運算符，包括數組取下標[]、函數調用()、結構體取成員.、指向結構體的指針取成員- >、后綴自增++、后綴自減–。如果一個操作數后面有多個后綴，按照離操作數從近到遠的順序 （也就是從左到右）依次運算，比如a.name++，先算a.name，再++，這里的.name應該看成a的 一個后綴，而不是把. 看成雙目運算符。

• 單目運算符，包括前綴自增++、前綴自減–、 sizeof、類型轉換()、取地址運算&、指針間接 尋址*、正號+、負號-、按位取反~、邏輯非! 。如果一個操作數前面有多個前綴，按照離操作數從近到遠的順序（也就是從右到左）依次運算，比如!\a，先算~a，再求!。

• 乘*、除/、模%運算符。這三個運算符是左結合的。 5、加+、減-運算符。左結合。

• 移位運算符<<和>>。左結合。

• 關系運算符< > <= >=。左結合。

• 相等性運算符==和!=。左結合。

• 按位與&。左結合。

• 按位異或^。左結合。

• 按位或|。左結合。

• 邏輯與&&。左結合。

• 邏輯或||。左結合。

• 條件運算符:?。在第 2 節 “if/else語句”講過Dangling-else問題，條件運算符也有類似的問 題。例如a ? b : c ? d : e是看成(a ? b : c) ? d : e還是a ? b : (c ? d : e) ？ C語言規 定是后者。

• 賦值=和各種復合賦值（*= /= %= += -= <<= >>= &= ^= |=）。右結合。

• 逗號運算符。左結合。

威脅智能識別是關于網絡攻擊的基于證據的信息，由網絡安全專家整理并進行分析。可用于威脅智能識別的工具有以下幾種：

• 惡意軟件反匯編程序：這些工具可將惡意軟件反向工程，以了解它的工作方式，并幫助安全工程師確定如何防范未來的類似攻擊。

• 安全信息和事件管理 (SIEM) 工具：SIEM 工具支持安全團隊實時監控網絡，收集有關反常行為和可疑流量的信息。

• 網絡流量分析工具：網絡流量分析工具可收集網絡信息，并記錄網絡活動，這些信息可使入侵檢測更加輕松。

• 威脅智能識別社區和資源收集：能夠聚合已知入侵指標和社區生成的有關威脅的數據、可自由訪問的網站，是威脅智能識別非常有價值的來源。其中有些社區支持協作研究，并提供有關如何預防和戰勝威脅的可行建議。

加強域名解析服務器安全的措施有以下這些：

• 采用DNS轉發器：DNS轉發器是為其余DNS服務器實現DNS查找的DNS服務器。采用DNS轉發器的關鍵目的是減輕DNS處置的壓力，把查詢要求從DNS服務器轉給轉發器，從DNS轉發器潛在地更大DNS高速緩存中獲益。采用DNS轉發器的另一個優勢是它阻止了DNS服務器轉發來源于互聯網DNS服務器的查找要求。假如你的DNS服務器儲存了你內部的域DNS資源記錄的情況下，這一點就特別關鍵。不要讓內部DNS服務器進行遞歸查詢并立即聯絡DNS服務器，反而是讓它采用轉發器來處置未授權的請求。

• 基于特征的DNS攻擊檢測：針對已知的攻擊模式，保護方案采用特征檢測，攔截和響應攻擊。確保DNS服務器在面對已知威脅時能夠在不被篡改的情況下保持運行。

• 威脅情報：面對不斷變化和更新的攻擊手段，威脅適應技術借助威脅情報進行防御。通過對新技術的研究和分析，以及客戶自身網絡環境的變化，威脅適應技術可以自動升級以應對新的攻擊。重要的是，威脅適應技術的安全升級不需要補丁或離線，大大保證了業務的連續性。

• 刷新DNS服務器緩存：使用該方法可以防止類似緩存投毒攻擊，防止緩存投毒攻擊只需要刷新DNS服務器緩存即可，將解析記錄的TTL值配置為相對較小的數值，縮短緩存存在時間，從而便可以避免持續被投毒攻擊影響。

• 解析鎖定：使用解析鎖定可以對抗域名劫持攻擊，以保證DNS服務器不被修改，甚至解析也無法隨意變更。選擇正規專業的DNS服務商，可以獲得性能較為強大的域名解析和域名監測服務，及時發現域名異常狀態并快速解決。

• 安裝SSL證書：SSL證書具備服務器身份認證功能，可以使DNS劫持導致的連接錯誤情況及時被發現和終止，同時HTTPS協議可以在數據傳輸中對數據進行加密傳輸，保護數據不被竊取和修改。

互聯網發展應該堅持的4項基本原則如下：

• 尊重網絡主權：《聯合國憲章》確立的主權平等原則是當代國際關系的基本準則，覆蓋國與國交往的各個領域，其原則和精神也應該適用于網絡空間。我們應該尊重各國自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動。

• 維護和平安全：一個安全穩定繁榮的網絡空間，對各國乃至世界都具有重大意義。在現實空間，戰火硝煙仍未散去，恐怖主義陰霾難除，違法犯罪時有發生。網絡空間，不應成為各國角力的戰場，更不能成為違法犯罪的溫床。各國應該共同努力，防范和反對利用網絡空間進行的恐怖、淫穢、販毒、洗錢、賭博等犯罪活動。不論是商業竊密，還是對政府網絡發起黑客攻擊，都應該根據相關法律和國際公約予以堅決打擊。維護網絡安全不應有雙重標準，不能一個國家安全而其他國家不安全，一部分國家安全而另一部分國家不安全，更不能以犧牲別國安全謀求自身所謂絕對安全。

• 促進開放合作：“天下兼相愛則治，交相惡則亂。”完善全球互聯網治理體系，維護網絡空間秩序，必須堅持同舟共濟、互信互利的理念，擯棄零和博弈、贏者通吃的舊觀念。各國應該推進互聯網領域開放合作，豐富開放內涵，提高開放水平，搭建更多溝通合作平臺，創造更多利益契合點、合作增長點、共贏新亮點，推動彼此在網絡空間優勢互補、共同發展，讓更多國家和人民搭乘信息時代的快車、共享互聯網發展成果。

• 構建良好秩序：網絡空間同現實社會一樣，既要提倡自由，也要保持秩序。自由是秩序的目的，秩序是自由的保障。我們既要尊重網民交流思想、表達意愿的權利，也要依法構建良好網絡秩序，這有利于保障廣大網民的合法權益。網絡空間不是“法外之地”。網絡空間是虛擬的，但運用網絡空間的主體是現實的，大家都應該遵守法律，明確各方權利義務。要堅持依法治網、依法辦網、依法上網，讓互聯網在法治軌道上健康運行。同時，要加強網絡倫理、網絡文明建設，發揮道德教化引導作用，用人類文明優秀成果滋養網絡空間、修復網絡生態。

入侵檢測技術有以下三種分類：

• 基于知識的模式識別類型：這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

• 基于知識的異常識別類型：這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

• 協議分析類型：這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。

1. 山東新潮信息技術有限公司(編號：DJCP2010370103)

   • 地址：山東省濟南市二環東路東環國際廣場A座27層
   • 聯系人：林燕
   • 聯系方式：18553132253

2. 聯通系統集成有限公司山東省分公司(編號：DJCP2010370104)

   • 地址：山東省濟南市市中區經三路77號
   • 聯系人：馬欽德
   • 聯系方式：18653176933

3. 山東維平信息安全測評技術有限公司(編號：DJCP2010370105)

   • 地址：山東省濟南市高新區新宇路南首齊魯軟件園大廈二層202房間
   • 聯系人：姜竹萍
   • 聯系方式：13791042005

4. 山東省電子信息產品檢驗院(編號：DJCP2010370106)

   • 地址：山東省濟南市山大路185號
   • 聯系人：李玉珍
   • 聯系方式：13475969143

5. 青島速科評測實驗室有限公司(編號：DJCP2010370107)

   • 地址：山東省青島市市北區遼源路257號6號樓201
   • 聯系人：邵靜
   • 聯系方式：13791909608

6. 山東道普測評技術有限公司(編號：DJCP2010370108)

   • 地址：山東省濟南市高新區銀荷大廈4-501-3
   • 聯系人：韓曉龍
   • 聯系方式：13698636880

7. 濟南時代確信信息安全測評有限公司(編號：DJCP2011370109)

   • 地址：山東省濟南市高新區舜華路750號大學科技園北區D座2單元2層
   • 聯系人：蘇瑾
   • 聯系方式：15953111136

8. 浪潮軟件集團有限公司軟件評測實驗室(編號：DJCP2016370110)

   • 地址：山東省濟南市浪潮路1036號浪潮科技園505樓南6層
   • 聯系人：宋常芝
   • 聯系方式：0531-85105607

9. 濟南三澤信息安全測評有限公司(編號：DJCP2016370111)

   • 地址：山東省濟南市高新區舜華路109號科匯大廈C座503室
   • 聯系人：楊帆
   • 聯系方式：13695319895

10. 濟南谷盾信息技術有限公司(編號：DJCP2019370187)

    • 地址：濟南市英雄山路147號金鐘大廈十樓
    • 聯系人：魯維達
    • 聯系方式：18953128293

瞻博防火墻默認web地址端口為80，但有時為了安全起見或應用需要，得更改Juniper防火墻默認的http管理端口為其它端口，一般使用“system management port number 端口號”命令來修改默認端口號為其他端口號，修改完端口號后訪問時需要在防火墻地址后添加冒號和相應端口號來訪問。

防火墻主要是借助硬件和軟件的作用于內部和外部網絡的環境間產生一種保護的屏障，從而實現對計算機不安全網絡因素的阻斷。功能主要包括：

• 包過濾

  包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制

  審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理

  遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT

  絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向NAT，即SNAT和DNAT。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省IP資源，有利于降低成本。DNAT主要用于實現外網主機對內網和DMZ區主機的訪問。

• 代理

  目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC地址與IP地址的綁定

  把MAC地址與IP地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換IP地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費

  流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。

  統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN

  在以往的網絡安全產品中，VPN是一個單獨產品，現在大多數廠商把VPN與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

分布式防火墻廣義上包括網絡防火墻，主機防火墻，集中管理三個部分：

• 網絡防火墻：他承擔傳統邊界防火墻看守大門的職責；

• 主機防火墻：他解決了邊界防火墻不能很好解決來自內部攻擊和結構限制的缺點；

• 集中管理：他解決了由分布式就是而帶來的管理問題；

數據庫備份時把把數據庫的結構，包括數據、約束、索引、視圖等全部另存為一個文件。

使用 mysqldump 備份的語句：

mysqldump 是 MySQL 用于備份數據庫的實用程序。它主要產生一個 SQL 腳本文件，其中包含從頭重新創建數據庫所必需的命令 CREATE TABLE INSERT 等。

使用 mysqldump 備份的語句：

mysqldump -u root 數據庫名>備份文件名;   #備份整個數據庫
mysqldump -u root 數據庫名 表名字>備份文件名;  #備份整個表

mysqldump 是一個備份工具，因此該命令是在終端中執行的。

數據庫恢復是在備份為前提的情況下進行的，先使用命令新建一個空的數據庫 test：

CREATE DATABASE test;  #新建一個名為test的數據庫

再次 Ctrl+D 退出 MySQL，然后輸入語句進行恢復，把剛才備份的 bak.sql 恢復到 test 數據庫：

mysql -u root test < bak.sql

我們輸入命令查看 test 數據庫的表，便可驗證是否恢復成功：

use test  # 連接數據庫 test
SHOW TABLES;  # 查看 test 數據庫的表

計算機網絡按覆蓋范圍分類可分為以下三類：

• 局域網：局域網的覆蓋范圍一般是方圓幾千米之內，其具備的安裝便捷、成本節約、擴展方便等特點使其在各類辦公室內運用廣泛。局域網可以實現文件管理、應用軟件共享、打印機共享等功能，在使用過程當中，通過維護局域網網絡安全，能夠有效地保護資料安全，保證局域網網絡能夠正常穩定的運行。

• 城域網：城域網(Metropolitan Area Network)是在一個城市范圍內所建立的計算機通信網，簡稱MAN。屬寬帶局域網。由于采用具有有源交換元件的局域網技術，網中傳輸時延較小，它的傳輸媒介主要采用光纜，傳輸速率在100兆比特/秒以上。

• 廣域網：廣域網（英語：Wide Area Network，縮寫為 WAN），又稱外網、公網。是連接不同地區局域網或城域網計算機通信的遠程網。通常跨接很大的物理范圍，所覆蓋的范圍從幾十公里到幾千公里，它能連接多個地區、城市和國家，或橫跨幾個洲并能提供遠距離通信，形成國際性的遠程網絡。廣域網并不等同于互聯網。

降低OT網絡勒索軟件風險的措施如下：

• 正確備份系統：如果企業受到勒索軟件的攻擊，可能需要從頭開始重建所有技術基礎設施。因此，企業具有足夠的備份來加快進程是非常重要的。不要假設企業已有的備份程序可以勝任這項任務——在考慮勒索軟件的情況下檢查它們。例如，由于勒索軟件攻擊通常先于長達數月的惡意軟件感染，因此考慮將備份存儲更長的時間，以便擁有一份干凈、未受感染的備份副本。此外，企業改變備份策略，以便并非所有備份都在某臺服務器或平臺中。利用內部部署、云平臺和異地選項來確保最大的覆蓋范圍。

• 擴大風險治理的范圍：包括任何網絡物理資產我們必須知道我們公司擁有什么。即使是IT、OT或物聯網資產，它們中的每一個都有一些弱點。對于每個組織來說，要緩解大多數漏洞，首先要做的就是評估他們擁有的所有資產，并將范圍適用于他們擁有的每一個易受攻擊的資產。

• 對勒索的事件響應計劃進行練習：要為勒索軟件攻擊做準備，公司必須創建攻防演練并定期練習。這些可以幫助了解風險和提高事件響應能力的好機會。通過采取一些簡單的基礎步驟，可以降低勒索軟件對工業環境造成的風險。

• 不要忽視資產管理：這聽起來很明顯，但安全的很大一部分是了解運營環境中的內容。如果企業不知道某個應用程序正在其網絡中的某個系統上運行，則無法修補該應用程序。除了簡單地清點擁有的系統之外，還要根據業務關鍵程度對它們進行優先級排序，并尋找它們之間的相互依賴關系。例如，除非企業的電子郵件服務器正在運行，否則其CRM軟件可能無法運行。識別處于多個依賴關系中心或控制關鍵基礎設施(例如工業設備)的關鍵系統，并專注于加強這些資產免受攻擊。每家企業用于安全的資源都是有限的，則首先需要保護網絡中最重要的部分。

• 確保您在IT和OT網絡之間進行了適當的劃分：這些勒索軟件攻擊并非針對公司的ICS/OT，而是針對IT。所有使用OT系統的組織都必須正確分離IT和OT系統。可以通過防火墻規則和設置以及對OT環境中的區域進行虛擬分段來完成分段。此外，如果可以選擇，請不要讓OT系統直接遠程操作。如果遠程操作需要直接訪問OT網絡，請確保通過對用戶、設備和會話進行嚴格控制的安全遠程訪問連接來完成。

• 養成良好的網絡安全習慣：確保安全擴展到OT和IoT設備最薄弱的環節是人為因素。最重要的是意識。如果用戶創建了強密碼，請不要重復使用它們，并且他們使用多因素身份驗證，大多數人為因素都會得到緩解。很難在某些遺留系統上創建和強制執行這些規則。如果由于遺留系統的技術限制而無法實現，您必須找到另一種解決方案來減輕這些威脅，例如虛擬化、防火墻規則、iDMZ等。

• 實施強大的工業網絡監控程序：為了減輕威脅，必須首先看到那些即將到來的威脅。如果沒有適當的監控系統，就無法看到惡意活動，也無法及時做出反應以避免后果。跨 OT 網絡的持續威脅監控可以快速實施，與OT和IT系統和工作流同樣良好地集成，并允許IT和OT團隊一起查看OT環境。

• 在網絡攻擊后修復漏洞：如果企業讓相同的漏洞再次被利用，那么恢復其系統是沒有用的。在勒索軟件攻擊之后，投資取證以確定網絡攻擊者如何獲得對系統的訪問權限。然后，關閉該入口點，并解決允許網絡攻擊者或惡意軟件在整個網絡中尋找的任何漏洞。并且如上所述，避免使用感染了導致初始漏洞的惡意軟件的備份。

防火墻優點如下：

• 防止惡意流量：防火墻使用預先建立的規則審查傳入和傳出的數據，并確定流量是否合法。您的網絡具有特定位置（稱為端口），可供不同類型的數據訪問。例如，VoIP 電話流量的端口通常是開放的。您的防火墻可以設置規則：只有來自 VoIP 提供商的流量才能進入此端口，而其他流量將被拒絕。當您需要將所有人拒之門外時，還有“全部拒絕”選項。當企業正在升級系統并且面臨更多風險時，這尤其有用。

• 警告惡意活動：防火墻不僅跟蹤 IP，還跟蹤用于識別用戶或應用程序是否危險的簽名。它檢測符合。例如 DDoS 攻擊或其他侵入性活動的簽名。如果檢測到，防火墻不僅會阻止它們，還會通知您。對于小型企業而言，防火墻的最大好處是，如果有針對您的網絡的持續黑客活動，他們可以立即通知您，以便您的網絡安全團隊可以消除威脅并保護您的系統。

• 阻止內部數據外流：如果防火墻和您的防御策略不足以阻止黑客入侵，防火墻可以阻止數據外流。發生這種情況時，防火墻開始充當單向門；讓人們進來但什么都不讓出去。這在嘗試識別嘗試源自何處時特別有用，因為防火墻也可以記錄 IP 和簽名。

• 防范網絡釣魚攻擊：企業級防火墻可以識別您訪問的連接是否與網絡釣魚等社會工程攻擊相關聯。如果是，防火墻會立即阻止所有流出的數據并發出警告。此外，防火墻具有電子郵件過濾等選項，可分析傳入電子郵件中的網絡釣魚等危險信號，并防止可疑電子郵件到達用戶收件箱。

• 對內容進行安全過濾：在防火墻的幫助下，您可以控制您的員工可以訪問的內容和他們不可以訪問的內容。通過過濾掉惡意網站（請記住，許多在線網站包含惡意軟件）或僅過濾掉那些非生產性網站，企業可以提高效率和生產力。

等級保護備案級別的確定通過如下方式：

1. 確定受侵害的客體：定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。

2. 確定對客體的侵害程度：侵害的客觀方面。在客觀方面，對客體的侵害外在表現為對定級對象的破壞，其危害方式表現為對信息安全的破壞和對信息系統服務的破壞，其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等，系統服務安全是指確保信息系統可以及時、有效地提供服務，以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。信息安全和系統服務安全受到破壞后，可能產生以下危害后果：影響行使工作職能；導致業務能力下降；引起法律糾紛；導致財產損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。

3. 綜合判定侵害程度：侵害程度是客觀方面的不同外在表現的綜合體現，因此，應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定，業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。

4. 確定信息系統安全保護等級：根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，即可得到業務信息安全保護等級。