为了不哭着给黑客交赎金，你应该知道这11个攻略

或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程。如果攻击者在目标网络无法轻易地建立初始访问，那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问，这会增加他们寻找其他更容易进攻目标的可能性。

4. 对没有容灾能力的基础架构说“NO”

高性能、具有冗余的基础架构能力是保障业务强固的基础条件，在云环境下，可以通过 SLB 集群的方式搭建高可用架构，当出现某一个节点发生紧急问题时，可以有效避免单点故障问题，防止业务中断的前提下，也可以防止数据丢失。

在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 

5. 网络访问要有门槛：不是谁都能进来啊喂！

精细化的网络管理是业务的第一道屏障。

对于大部分企业网络而言，它们的网络安全架构是“一马平川”的，在业务块之前，很少有业务分区分段。但随着业务的增长和扩容，一旦发生入侵，影响面会是全局的。在这种情况下，通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围，可以阻止不必要的人员进入业务环境。

例如：可以限制 ssh、RDP 业务管理源地址、对数据库连接源IP进行访问控制，实现最小化访问范围，仅允许授信人员访问，并对出口网络行为实时分析和审计。具体可以从以下几个方面实施：

• 推荐使用更安全的VPC网络；

• 通过VPC和安全组划分不同安全等级的业务区域，让不同的业务处在不同的隔离空间；

• 配置入口/出口过滤防火墙策略，再次强调 -入口和出口均需进行过滤。主机彼此之间应当不能通过 SMB（139/tcp、445/tcp） 进行通信。如果设置了文件服务器，实际上就不需要进行这种通信。如果企业可以有效地禁用主机间的 SMB 通信，企业就可以防止攻击者使用“通过散列表”所进行的逐步渗透。SMB 通讯应仅限于应用分发平台，文件共享和/或域控制器。 

6. 有铠甲，也有软肋

端口扫描可以用来检验企业的弱点暴露情况。

如果企业有一些服务连接到互联网，需要确定哪些业务是必须要发布到互联网上，哪些是仅内部访问，当公共互联网的服务数量越少，攻击者的攻击范围就越窄，从而遭受的安全风险就越小。

7. 每个月总要有那么几天……定期进行漏扫

企业公司 IT 管理人员需要定期对业务软件资产进行安全漏洞探测，一旦确定有公开暴露的服务，应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞，同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作。

8. 系统维护深深印在脑海里

• 制定并遵循实施IT软件安全配置，对操作系统和软件初始化安全加固，同时并定期核查其有效性；

• 为Windows操作系统云服务器安装防病毒软件，并定期更新病毒库；

• 确保定期更新补丁；

• 确保开启日志记录功能，并集中进行管理和审计分析；

• 确保合理的分配账号、授权和审计功能，例如：为服务器、RDS数据库建立不同权限账号并启用审计功能，如果有条件，可以实施类似堡垒机、VPN等更严格的访问策略。

• 确保实施强密码策略，并定期更新维护，对于所有操作行为严格记录并审计；

• 确保对所有业务关键点进行实时监控，当发现异常时，立即介入处理。

9. 业务代码安全也要说三遍

大部分安全问题由于程序员的不谨慎或无意识的情况下埋下了安全隐患，代码的安全直接影响到业务的风险，根据经验来看，代码层的安全需要程序员从一开始就需要将安全架构设计纳入到整体软件工程内，按照标准的软件开发流程，在每个环节内关联安全因素。以下是基于软件开发流程将安全管控点落实到流程中的最佳实践：

［SDL流程］

对于一般的企业来说，需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果，尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试（也可以不定期的进行黑盒渗透测试）。

10.  再敏感一些：建立全局的外部威胁和情报感知能力

安全是动态的对抗的过程，就跟打仗一样，在安全事件发生之前，要时刻了解和识别外部不同各类风险，所以做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一系列的关键任务上。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!