醫(yī)療行業(yè)

勒索病毒防護(hù)解決方案

式且電信息

DAS-securityesma

杭州安恒信息技術(shù)股份有限公司

2019-04

目錄

1.前言........................................................................4

1.1.行業(yè)動(dòng)態(tài)...............................................................4

1.2.國(guó)家關(guān)于醫(yī)療行業(yè)信息安全相關(guān)要求.....................................4

2.醫(yī)療行業(yè)勒索病毒態(tài)勢(shì)報(bào)告...................................................5

2.1.攻擊態(tài)勢(shì)...............................................................6

2.2.近期常見(jiàn)勒索病毒.......................................................7

2.3.勒索病毒發(fā)展趨勢(shì).......................................................9

2.4.RDP爆破成為勒索病毒人工投毒的主要入侵途徑..........................10

3.安全方案設(shè)計(jì)...............................................................11

3.1,體系化的設(shè)計(jì)方法.....................................................11

3.2.安全設(shè)計(jì)原則..........................................................12

3.3.事先主動(dòng)探測(cè)降低風(fēng)險(xiǎn)..................................................13

3.3.1.漏洞掃描........................................................14

3.3.2,弱口令掃描......................................................14

3.3.3,端口、資產(chǎn)掃描.................................................15

3.4.主動(dòng)防御的安全計(jì)算環(huán)境...............................................15

3.4.1,防勒索病毒專門模塊.............................................17

3.4.2.事先部署........................................................18

3.4.3.事中應(yīng)急部署....................................................20

3.5.安全威脅分析與發(fā)現(xiàn)....................................................22

3.5.1,安全分析范圍....................................................24

3.5.2.RDP口令爆破高效檢測(cè)...........................................25

3.5.3.勒索病毒等惡意代碼分析.........................................25

3.5.4.勒索病毒等木馬攻擊預(yù)警.........................................26

3.5.5.Oday等未知攻擊行為的識(shí)別......................................26

3.5.6.人工滲透投毒行為識(shí)別...........................................27

3.5.7.APT預(yù)警檢測(cè)系統(tǒng)的部署.........................................27

3.5.8.某醫(yī)院為的部署實(shí)例.............................................30

3.6.安全設(shè)備進(jìn)行聯(lián)動(dòng)的實(shí)時(shí)防護(hù)...........................................31

3.7.安全智能決策系統(tǒng)......................................................33

3.7.1.網(wǎng)絡(luò)安全大數(shù)據(jù)分析.............................................34

3.7.2.高級(jí)安全分析....................................................37

3.7.3,未知安全威脅分析...............................................40

3.7.4.安全事件呈現(xiàn)和管理模塊.........................................42

3.7.5.某大型去院勒索病毒分析案例....................................44

3.7.6.某市衛(wèi)計(jì)委基于全市醫(yī)衛(wèi)網(wǎng)的安全智能決策平臺(tái)案例...............47

3.8.應(yīng)急響應(yīng)與保險(xiǎn)理賠....................................................50

3.8.1.保險(xiǎn)責(zé)任范圍....................................................50

3.8.2.理賠流程........................................................51

4.方案特點(diǎn)...................................................................51

5.配置清單...................................................................53

1.刖百

根據(jù)習(xí)近平總書(shū)記在-4.19"講話中強(qiáng)調(diào)的：“網(wǎng)絡(luò)安全和信息化是相輔相成的；安全

是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)"、"加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施

安全保障體系”要求。貫徹習(xí)近平總書(shū)記講話精神及結(jié)合《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)

設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》中明確的工作要求，根據(jù)醫(yī)療行業(yè)目前日益嚴(yán)峻的安

全形勢(shì)，需要制定基于關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)規(guī)劃。

1.1.行業(yè)動(dòng)態(tài)

2017年以來(lái)，醫(yī)療行業(yè)已成為攻擊者實(shí)施勒索的最主要目標(biāo)，有29%的勒索軟件的攻

擊目標(biāo)是各類醫(yī)療相關(guān)機(jī)構(gòu)。除勒索外，醫(yī)療業(yè)務(wù)資源被黑客濫用于挖礦，亦會(huì)破壞企業(yè)內(nèi)

部IT環(huán)境、數(shù)據(jù)中心的正常運(yùn)行秩序以及關(guān)鍵應(yīng)用的交付，同樣使得業(yè)務(wù)連續(xù)性遭受極大

安全威脅。勒索、挖礦已經(jīng)成為影響醫(yī)療業(yè)務(wù)連續(xù)性的主要威脅。

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心《2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》：2018年勒索軟件

攻擊事件頻發(fā)，變種數(shù)量K斷攀升，給個(gè)人用戶和企業(yè)用戶帶來(lái)嚴(yán)重?fù)p失。2018年，CNSERT

捕獲勒索軟件近14萬(wàn)個(gè)，全年總體呈現(xiàn)增長(zhǎng)趨勢(shì)，特別4下半年，伴隨“勒索軟件即服務(wù)“

產(chǎn)業(yè)的興起，活躍勒索軟件數(shù)量呈現(xiàn)快速增長(zhǎng)勢(shì)頭，且更新頻率和威脅廣度都大幅度增加，

例如勒索軟件GandCrab全年出現(xiàn)了約19個(gè)版本，一直快速更新迭代。勒索軟件傳播手段

多樣，利用影響范圍廣的漏洞進(jìn)行快速傳播是當(dāng)前主要方式之一，例如勒索軟件Lucky通過(guò)

綜合利用弱口令漏洞、WindowSMB漏洞、ApacheStruts2漏洞、JBoss漏洞、Weblogic漏

洞等進(jìn)行快速攻擊傳播。2018年，重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點(diǎn)攻

擊目標(biāo)，其中，政府、醫(yī)療、教育、研究機(jī)構(gòu)、制造業(yè)等是受到勒索軟件攻擊較嚴(yán)重行業(yè)。

例如Globelmposter、GandCrab等勒索軟件變種攻擊了我國(guó)多家醫(yī)療機(jī)構(gòu)，導(dǎo)致醫(yī)院信息

系統(tǒng)運(yùn)行受到嚴(yán)重影響。

12國(guó)家關(guān)于醫(yī)療行業(yè)信息安全相關(guān)要求

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》:

第三H條

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行

業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)

民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以

外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

第二十一條

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,

履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露

或者被竊取、篡改：

（-）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)

任；

（-）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)

的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》

第十八條下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者

數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保

護(hù)范圍：

（-）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、醫(yī)療、社保、環(huán)境保護(hù)、公用

事業(yè)等行業(yè)領(lǐng)域的單位；

2.醫(yī)療行業(yè)勒索病毒態(tài)勢(shì)報(bào)告

本節(jié)部分內(nèi)容摘編自推訊安全《醫(yī)療行業(yè)勒索病毒專題報(bào)告》。

2.1.攻擊態(tài)勢(shì)

自2017年5月WannaCry爆發(fā)以來(lái)，勒索病毒一直都是各行業(yè)安全主要關(guān)注點(diǎn)。通過(guò)

對(duì)調(diào)查中醫(yī)療機(jī)構(gòu)采用的各種數(shù)據(jù)安全措施分析可見(jiàn)，數(shù)據(jù)災(zāi)備、數(shù)據(jù)庫(kù)鏡像備份、數(shù)據(jù)冷

備份和數(shù)據(jù)離線存儲(chǔ)是醫(yī)院主要的數(shù)據(jù)安全措施，至少有一半醫(yī)院采取了數(shù)據(jù)備份措施，使

得醫(yī)院遭受勒索攻擊時(shí)，能及時(shí)恢復(fù)數(shù)據(jù)維持業(yè)務(wù)正常運(yùn)轉(zhuǎn)。

2017?2018年度中國(guó)醫(yī)院信息化狀況調(diào)查

醫(yī)院數(shù)據(jù)安全措施

自7月以來(lái)，在全國(guó)三甲醫(yī)院中，有247家醫(yī)院檢測(cè)出勒索病毒。其中以廣東、湖北、

江蘇檢出的勒索病毒最多,

全國(guó)醫(yī)院勒索攻擊地域分布

段來(lái)目幽晦急安全

黑龍江

內(nèi)―吉林

被勒索病毒攻擊的操作系統(tǒng)主要以Windows7為主，Windows10次之。此外還有微軟

已經(jīng)停止更新的WindowsXP。WindowsXP依舊有相當(dāng)高的使用比例，這說(shuō)明部分醫(yī)院沒(méi)

有及時(shí)更新操作系統(tǒng)，而微軟官方已不再提供安全補(bǔ)丁，這會(huì)為醫(yī)療業(yè)務(wù)帶來(lái)極大的安全隱

患。

醫(yī)院被勒索攻擊操作系統(tǒng)分布

■Windows7

■Windows10

■WindowsXP

■WindowsServer2003

從全國(guó)醫(yī)院高危漏洞修復(fù)情況上看.主要有RTF漏洞、Flash漏洞未修復(fù)。勒索病毒攻

擊者往往會(huì)將帶有漏洞利用的Office文檔通過(guò)偽造的釣魚(yú)郵件進(jìn)行傳播，一旦用戶點(diǎn)擊打

開(kāi)，則會(huì)下載勒索病毒在內(nèi)網(wǎng)展開(kāi)攻擊。

2.2.近期常見(jiàn)勒索病毒

從醫(yī)院勒索攻擊的病毒家族來(lái)看，主要是WannaCry、Globelmposter.Magniber、Satan

等勒索病毒家族。

WannaCry勒索病毒具體通過(guò)永恒之藍(lán)漏洞主動(dòng)傳播的能力，使得自身很容易在內(nèi)網(wǎng)擴(kuò)

散；此外Globelmposter、Magniber、Satan等勒索病毒主要針對(duì)服務(wù)器發(fā)起攻擊。與2017

年相比，勒索病毒已發(fā)生較為明顯的變化：攻擊行動(dòng)不再是沒(méi)有目的的廣撒網(wǎng)式傳播，而是

針對(duì)重點(diǎn)高價(jià)值目標(biāo)投放，以最大限度達(dá)到敲詐勒索的目的。

醫(yī)療行業(yè)勒索病毒家族分布

■WannaCry

■Globelmposter

■GandCrab

■Magniber

■Satan

■其他

從醫(yī)療行業(yè)被勒索病毒入侵的方式上看，主要是利用系統(tǒng)漏洞入侵和端口爆破（常用的

包括1433端口、3389端口等）的方式.利用系統(tǒng)漏洞攻擊主要依靠永恒之藍(lán)漏洞工具包傳

播。一旦黑客得以入侵內(nèi)網(wǎng)，還會(huì)利用更多攻擊工具（RDP/SMB弱口令爆破、NSA攻擊工

具包等等）在局域網(wǎng)內(nèi)橫向擴(kuò)散。根據(jù)調(diào)查分析，國(guó)內(nèi)各醫(yī)療機(jī)構(gòu)大多都有及時(shí)修復(fù)高危漏

洞的意識(shí)，但是由于資產(chǎn)管理不到位，導(dǎo)致少數(shù)機(jī)器依然存在風(fēng)險(xiǎn)，給了黑客可乘之機(jī)。

醫(yī)療行業(yè)入侵攻擊方式

WannaCry可以通過(guò)永恒之藍(lán)漏洞主動(dòng)呈蠕蟲(chóng)式傳播。因此一旦WannaCry入侵到了醫(yī)

療機(jī)構(gòu)內(nèi)網(wǎng)，便能迅速在內(nèi)網(wǎng)擴(kuò)散，使得WannaCry成為了勒索病毒檢出的榜首。自7月以

來(lái)，全國(guó)三甲醫(yī)院中有213家醫(yī)院，有發(fā)現(xiàn)被永恒之藍(lán)漏洞攻擊，其中廣東省醫(yī)院被永恒之

藍(lán)漏洞攻擊最為嚴(yán)重，而針對(duì)永恒之藍(lán)漏洞微軟官方發(fā)布漏洞補(bǔ)丁已經(jīng)超過(guò)1年時(shí)間。

從年初湖南省兩家省級(jí)醫(yī)院被Globelmposter攻擊后，Globelmposter在2018年一直

是針對(duì)服務(wù)器攻擊最猛烈的勒索病毒。Globelmposter主要通過(guò)RDP弱口令爆破，遠(yuǎn)程登錄

醫(yī)療機(jī)構(gòu)的Web服務(wù)器進(jìn)行傳播.一旦黑客入侵成功，取得服務(wù)器的完全控制權(quán)，即使服

務(wù)器上裝有安全軟件，也會(huì)被黑客手動(dòng)退出或卸載，安全措施便形如虛設(shè)。

黑客控制服務(wù)器之后，會(huì)以此為跳板，在內(nèi)網(wǎng)繼續(xù)擴(kuò)大戰(zhàn)果，攻擊更多可以入侵的服務(wù)

器或終端設(shè)備。

從7、8月3389端口爆破趨勢(shì)上看，進(jìn)入8月中下旬之后，利用RDP弱口令爆破的入

侵呈明顯增長(zhǎng)。

GandCrab在2018年1月發(fā)現(xiàn)后，便成為傳播最為廣泛的勒索病毒之一，近期更新也

頗為頻繁，版本已經(jīng)升級(jí)到5.2。

GandCrab勒索病毒4.0之后的版本首先將加密算法修改為salsa20此外在傳播方式上,

由原來(lái)的廣撤網(wǎng)式傳播.例如水坑攻擊、郵件攻擊，開(kāi)始向精確攻擊服務(wù)器攻擊轉(zhuǎn)變.、近期

已先后發(fā)現(xiàn)GandCrab通過(guò)RDP弱口令爆破、Tomcat弱口令爆破的方式進(jìn)行傳播。

23勒索病毒發(fā)展趨勢(shì)

?勒索病毒與安全軟件的對(duì)抗加劇

隨著安全軟件對(duì)勒索病毒的解決方案日趨成熟完善,勒索病毒更加難以成功入侵用戶電

腦，但是病毒傳播者會(huì)不斷升級(jí)對(duì)抗技術(shù)方案，例如黑客加強(qiáng)代碼混淆加密，使得安全軟件

無(wú)法及時(shí)報(bào)毒。

監(jiān)測(cè)發(fā)現(xiàn)勒索病毒還會(huì)使用正規(guī)的數(shù)字簽名，以此逃避安全軟件的檢測(cè)。白+黑的利用

方式（利用正常軟件調(diào)用勒索病毒模塊）也早已流行。

?勒索病毒攻擊針對(duì)企業(yè)用戶

勒索病毒的攻擊日益精準(zhǔn)，主要針對(duì)高價(jià)值目標(biāo)定點(diǎn)投放，甚至人工投放。在病耆傳播

者看來(lái)，醫(yī)療機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)如同金礦一般寶貴。一旦醫(yī)療機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)被勒索病毒加密,

黑客勒索得手的概率遠(yuǎn)高于攻擊普通用戶電腦。GandCrab持續(xù)了半年多的撒網(wǎng)式傳播，已

開(kāi)始轉(zhuǎn)向針對(duì)高價(jià)值目標(biāo)，

?勒索病毒傳播場(chǎng)景多樣化

傳統(tǒng)的勒索病毒傳播更多的依賴于水坑攻擊、釣魚(yú)郵件攻擊、或利用Office安全漏洞構(gòu)

造攻擊文檔，誘騙安全意識(shí)不足的目標(biāo)用戶運(yùn)行或打開(kāi)文件后中毒。

根據(jù)監(jiān)測(cè)到的數(shù)據(jù)發(fā)現(xiàn)，越來(lái)越多的攻擊者會(huì)首先從醫(yī)療機(jī)構(gòu)連接外網(wǎng)的Web服務(wù)器

入手，利用服務(wù)器的安全漏洞或弱口令入侵，一旦成功，便會(huì)利用更多攻擊工具在內(nèi)網(wǎng)繼續(xù)

攻擊擴(kuò)散。如果醫(yī)療機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)存在安全漏洞，又遲遲未能修補(bǔ)，便會(huì)給黑客留下可趁

之機(jī)。

?勒索病毒更新迭代加快

以GandCrab為例，在7月初發(fā)現(xiàn)第四代之后，短短2個(gè)月，又發(fā)現(xiàn)了4個(gè)更新版本。

在安全軟件不斷的更新完善勒索病毒解決方案時(shí)，勒索病毒也在不斷的更新尋找攻擊突破

口。一次次的勒索得手，刺激病毒作者不斷升級(jí)版本，繼續(xù)作惡。

2.4.RDP爆破成為勒索病毒人工投毒的主要入侵途徑

2018年9月27日，IC3(美國(guó)互聯(lián)網(wǎng)犯罪舉報(bào)中心)、美國(guó)國(guó)土安全部、FBI(美國(guó)聯(lián)邦

調(diào)查局)合作發(fā)布了針對(duì)Windows遠(yuǎn)程桌面協(xié)議(RDP)脆弱點(diǎn)的攻擊活動(dòng)變得活躍的預(yù)警,

相關(guān)信息參考：

/media/2018/180927.aspx

根據(jù)公告，主要為遠(yuǎn)程桌面協(xié)議(RDP)未加固安全配置(非新的漏洞)引發(fā)的攻擊嘗試，

雖然針對(duì)遠(yuǎn)程桌面協(xié)議(RDP)的攻擊活動(dòng)歷史上一直都有，但隨著近年來(lái)勒索軟件的多樣發(fā)

展，遠(yuǎn)程桌面成為了勒索軟件經(jīng)營(yíng)團(tuán)伙比較偏愛(ài)的入口，目前網(wǎng)上存在大量開(kāi)放了遠(yuǎn)程桌面

協(xié)議(RDP)的主機(jī)，RDP服務(wù)默認(rèn)端口為：TCP3389o通過(guò)安恒研究院sumap平臺(tái)針對(duì)全球

開(kāi)啟了遠(yuǎn)程桌面協(xié)議(RDP)的TCP3389端口的資產(chǎn)統(tǒng)計(jì)，全球有超過(guò)400萬(wàn)主機(jī)暴露該端

口、其中中國(guó)最多，有100多萬(wàn)。

遠(yuǎn)程桌面協(xié)議(RDP)的未加固安全配置主要存在以下脆弱點(diǎn)：

弱密碼，當(dāng)給用戶賬號(hào)設(shè)置的密碼為字典單詞或不同時(shí)包含大寫(xiě)、小寫(xiě)字母，數(shù)字和特

殊字符的混合密碼時(shí)，容易受到暴力破解攻擊；

未更新的RDP版本使用的CredSSP(憑證安全支持提供程序)協(xié)議存在比較新的漏洞

(CVE-2018-0886),容易導(dǎo)致被中間人攻擊劫持用戶EDP會(huì)話、實(shí)現(xiàn)在RDP服務(wù)器上執(zhí)

行任意代碼；

面向互聯(lián)網(wǎng)不受限制的開(kāi)放遠(yuǎn)程桌面協(xié)議3389端口，容易導(dǎo)致被僵尸網(wǎng)絡(luò)自動(dòng)掃描到

端口并加入暴力破解目標(biāo)任務(wù)清單；

未對(duì)登錄失敗嘗試次數(shù)做限制，容易受到暴力破解攻擊。

3.安全方案設(shè)計(jì)

鑒于勒索病毒不斷推出新品種，同一個(gè)品種又不斷疊代，因此使用傳統(tǒng)的基于特征的檢

測(cè)技術(shù)（防毒墻、殺毒軟件）已經(jīng)完全不能滿足勒索病毒防范的要求。并且，越來(lái)越多的勒

索病毒呈現(xiàn)出APT攻擊的特征，從傳統(tǒng)的移動(dòng)介質(zhì)、郵件傳播向RDP口令爆破人工投毒轉(zhuǎn)

化，因此必須要對(duì)網(wǎng)絡(luò)的APT攻擊行為進(jìn)行分析。

根據(jù)等級(jí)保護(hù)2.0相關(guān)要求：

c）應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行

為的分析；

因此必須做到：

?事先的系統(tǒng)加固、補(bǔ)丁與數(shù)據(jù)備份

?基于主動(dòng)防御的安全計(jì)算環(huán)境部署

?事中的安全威脅分析與發(fā)現(xiàn)，特別是基于Oday漏洞的攻擊分析

?根據(jù)發(fā)現(xiàn)的威脅，對(duì)安全設(shè)備進(jìn)行聯(lián)動(dòng)的實(shí)時(shí)防護(hù)

?態(tài)勢(shì)感知與攻擊的溯源

?應(yīng)急響應(yīng)與保險(xiǎn)理賠

3.1.體系化的設(shè)計(jì)方法

采用結(jié)構(gòu)化設(shè)計(jì)方法，運(yùn)用問(wèn)題管理的方式，結(jié)合交流與反饋結(jié)果，引用《基本要求》、

《安全設(shè)計(jì)技術(shù)要求》、《信息安全保障技術(shù)框架》（IATF）中的信息安全保障的深度防御戰(zhàn)

略模型和控制框架，做好安全保障體系框架設(shè)計(jì)。

一個(gè)完整的信息安全體系應(yīng)該是安全管理和安全技術(shù)實(shí)施的結(jié)合，兩者缺一不可。為

了實(shí)現(xiàn)對(duì)信息系統(tǒng)的多層保護(hù)，真正達(dá)到信息安全保障的目標(biāo)，國(guó)外安全保障理論也在不斷

的發(fā)展之中，美國(guó)國(guó)家安全局從1998年以來(lái)開(kāi)展了信息安全保障技術(shù)框架（IATF）的研究

工作，并在2000年10月發(fā)布了IATF3.1版本，在IATF中提出信息安全保障的深度防御戰(zhàn)

略模型，將防御體系分為策略、組織、技術(shù)和操作四個(gè)要素，強(qiáng)調(diào)在安全體系中進(jìn)行多層保

護(hù)。安全機(jī)制的實(shí)現(xiàn)應(yīng)具有以下相對(duì)固定的模式，即“組織（或人）在安全策略下借助于一

定的安全技術(shù)手段進(jìn)行持續(xù)的運(yùn)作”。

因此信息安全保障體系從橫向看，主要包含安全管理和安全技術(shù)兩個(gè)方面的要素，在

采用各種安全技術(shù)控制措施的同時(shí)，必須制訂層次化的安全策略，完善安全管理組織機(jī)構(gòu)和

人員配備，提高安全管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用

多種安全技術(shù)實(shí)施和安全管理實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)的多層保護(hù)，減小它受到攻擊的可能性，防

范安全事件的發(fā)生，提高對(duì)安全事件的反應(yīng)處理能力，并在安全事件發(fā)生時(shí)盡量減少事件造

成的損失。

其次，為了使計(jì)算機(jī)安全體系更有針對(duì)性，在構(gòu)建時(shí)還必須考慮信息安全本身的特點(diǎn)：

動(dòng)態(tài)性、相對(duì)性和整體性，

信息安全的動(dòng)態(tài)性指的是信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)處于不斷的變化之中，從內(nèi)

因看，信息系統(tǒng)本身就在變化和發(fā)展之中，信息系統(tǒng)中設(shè)備的更新、操作系統(tǒng)或者應(yīng)用系統(tǒng)

的升級(jí)、系統(tǒng)設(shè)置的變化、業(yè)務(wù)的變化等要素都可能導(dǎo)致新的安全風(fēng)險(xiǎn)的出現(xiàn)。從外因看,

各種軟硬件系統(tǒng)的安全漏洞不斷的被發(fā)現(xiàn)、各種攻擊手段在不斷在發(fā)展，這些都可能使得今

天還處干相對(duì)安全狀態(tài)的信息系統(tǒng)在明天就出現(xiàn)了新的安全風(fēng)險(xiǎn)C

信息系統(tǒng)安全的相對(duì)性指的是信息安全的目標(biāo)實(shí)現(xiàn)總是相對(duì)的，由于成本以及實(shí)際業(yè)

務(wù)需求的約束，任何的安全解決方案都不可能解決所有的安全問(wèn)題，百分之百安全的信息系

統(tǒng)是不存在的，不管安全管理和安全技術(shù)實(shí)施多完善，安全問(wèn)題總會(huì)在某個(gè)情況下發(fā)生。信

息安全的這個(gè)屬性表明安全應(yīng)急計(jì)劃、安全檢測(cè)、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等都應(yīng)該是安全保障

體系中的重要環(huán)節(jié)。

信息安全的整體性指的是信息安全是一個(gè)整體的目標(biāo)，正如木桶的裝水容量取決于最

短的木塊一樣，一個(gè)信息系統(tǒng)的安全水平也取決于防御最薄弱的環(huán)節(jié)。因此，均衡應(yīng)該是信

息安全保障體系的一個(gè)重要原則，這包括體系中安全管理和安全技術(shù)實(shí)施、體系中各個(gè)安全

環(huán)節(jié)、各個(gè)保護(hù)對(duì)象的防御措施等方面的均衡，以實(shí)現(xiàn)整體的信息安全目標(biāo)。

3.2.安全設(shè)計(jì)原則

參考《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》和“安全態(tài)勢(shì)可視化”

的思想，本方案安全體系建設(shè)的原則如下：

加強(qiáng)信息安全保障工作的總體要求是：堅(jiān)持主動(dòng)防護(hù)、綜合安全態(tài)勢(shì)感知的方針，全

面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)

絡(luò)環(huán)境,保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，提高高校網(wǎng)絡(luò)安保能力。本方案重點(diǎn)把握以下幾方面的

原則：

1.堅(jiān)持主動(dòng)防護(hù)的原則

要特別重視攻擊者源頭分析，通過(guò)對(duì)安全事件深度溯源分析、攻擊者滲透分析，預(yù)先

感知高危的IP和系統(tǒng)的威脅風(fēng)險(xiǎn)點(diǎn)，將被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)。

2.綜合安全態(tài)勢(shì)感知的原則

要特別重視制定好安全防范整體方案，從系統(tǒng)整體和全局的角度考慮；要結(jié)合實(shí)際，

針對(duì)每一種安全威脅、安全風(fēng)險(xiǎn)和每一個(gè)具體環(huán)節(jié)，堅(jiān)持分析過(guò)去的安全環(huán)境、當(dāng)前的安全

現(xiàn)狀，綜合感知未來(lái)的安全風(fēng)險(xiǎn)點(diǎn)。

3.管理與技術(shù)并重的原則

在信息安全保障體系的建設(shè)中，管理是根本，技術(shù)是手段。管理以技術(shù)為基礎(chǔ)，技術(shù)以

管理做保障，本方案通過(guò)對(duì)安全態(tài)勢(shì)的可視化，為安全維護(hù)人員提供高價(jià)值的輔助決策。

4.安全與投入相平衡的原則

安保能力的提升不可避免地要占用系統(tǒng)資源,加大系統(tǒng)應(yīng)用開(kāi)發(fā)的成本.因此,,安全

系統(tǒng)的建設(shè)應(yīng)當(dāng)全面考慮不同高?，F(xiàn)有的軟硬件設(shè)施，權(quán)衡利弊，在服務(wù)、安全和成本之間

找到一個(gè)最佳平衡點(diǎn)。一方面要認(rèn)識(shí)到安全是相對(duì)的，花多大代價(jià)都不可能絕對(duì)消除系統(tǒng)的

安全隱患，系統(tǒng)的安全建設(shè)需要一個(gè)不斷認(rèn)識(shí)、不斷更新和不斷完善的過(guò)程；另一方面也要

明確，盡管安全是相對(duì)的，但是還是應(yīng)當(dāng)立足當(dāng)前實(shí)際，采用最佳的技術(shù)防范策略和經(jīng)濟(jì)有

效的防范措施，想方設(shè)法地提高系統(tǒng)的安全保密強(qiáng)度。

5.統(tǒng)一規(guī)劃與分布文施的原則

統(tǒng)一規(guī)劃就是要從整體考慮、統(tǒng)一要求、統(tǒng)籌安排，強(qiáng)調(diào)整體性、完整性和一致性。規(guī)

劃的實(shí)施要根據(jù)應(yīng)用實(shí)際，可以有計(jì)劃地分階段進(jìn)行，也就是分步實(shí)施，在不同階段均有里

程碑式交付物。在系統(tǒng)建設(shè)進(jìn)程中，在不斷完善對(duì)系統(tǒng)安全認(rèn)識(shí)的基礎(chǔ)上，逐步采用先進(jìn)技

術(shù)與管理措施，不斷強(qiáng)化安全保障體系。安全建設(shè)是一項(xiàng)長(zhǎng)期、復(fù)雜而艱巨的任務(wù)，而且安

全本身也是一個(gè)不斷變化狗過(guò)程，在安全建設(shè)中沒(méi)有一勞永逸。因此需要在統(tǒng)一規(guī)劃的基礎(chǔ)

上，采取分階段實(shí)施的方式來(lái)逐步建設(shè)安全體系，并且建立威脅情報(bào)，以便及時(shí)了解最新的

國(guó)內(nèi)外安全威脅事件。

3.3.事先主動(dòng)探測(cè)降低風(fēng)險(xiǎn)

安恒信息遠(yuǎn)程安全評(píng)估系統(tǒng)使用方便，簡(jiǎn)單高效，能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)中各主機(jī)、設(shè)備存

在的網(wǎng)絡(luò)安全漏洞，并給出詳細(xì)的描述和解決方案，從根本解決網(wǎng)絡(luò)安全問(wèn)題，起著評(píng)估整

個(gè)系統(tǒng)安全的重要作用，是一個(gè)完整的安全解決方案中的一個(gè)關(guān)鍵部分。

明鑒遠(yuǎn)程安全評(píng)估系統(tǒng)可以對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)（在可掃描IP范圍內(nèi)）進(jìn)行漏

洞檢測(cè)。主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)

報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全漏洞給出相應(yīng)的修補(bǔ)措施和安全建議。明鑒遠(yuǎn)程安全評(píng)估系

統(tǒng)最終目標(biāo)是成為加強(qiáng)中國(guó)網(wǎng)絡(luò)信息系統(tǒng)安全功能，提高內(nèi)部網(wǎng)絡(luò)安全防護(hù)性能和抗破壞能

力，檢測(cè)評(píng)估已運(yùn)行網(wǎng)絡(luò)的安全性能，為網(wǎng)絡(luò)系統(tǒng)管理員提供實(shí)時(shí)安全建議等的主流工具。

網(wǎng)絡(luò)安全評(píng)估系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操

作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前可以提供安全防護(hù)解決方案。

3.3.1.漏洞掃描

安全加固往往是需要事前先了解有哪些漏洞風(fēng)險(xiǎn)，安恒安全研究院是安恒信息科技創(chuàng)新、

技術(shù)進(jìn)步及安全研究的重要研究部門，研究院擁有一支在安全技術(shù)研究和應(yīng)用領(lǐng)域優(yōu)勢(shì)突

出、團(tuán)結(jié)有為、勇于創(chuàng)新的年輕隊(duì)伍，在安全漏洞研究發(fā)掘、Web應(yīng)用安全及數(shù)據(jù)庫(kù)安全問(wèn)

題研究、軟件逆向研究等諸多領(lǐng)域積累了大量的研究成昊，獲得了國(guó)內(nèi)外各種安全機(jī)構(gòu)各類

型原創(chuàng)漏洞證書(shū)，到目前為止已經(jīng)獨(dú)立發(fā)現(xiàn)上百個(gè)CVE漏洞。安恒安全研究院負(fù)責(zé)明鑒遠(yuǎn)

程安全評(píng)估系統(tǒng)的漏洞知識(shí)庫(kù)和檢測(cè)規(guī)則的維護(hù)，除定制的每?jī)芍艿纳?jí)外，重大漏洞的升

級(jí)在全球首次發(fā)現(xiàn)后當(dāng)天完成，一般不超過(guò)兩天。依靠專業(yè)的研究院團(tuán)隊(duì)的研究積累，明鑒

遠(yuǎn)程安全評(píng)估系統(tǒng)的知識(shí)庫(kù)已經(jīng)有超過(guò)35000條。與CVE、CNNVD漏洞庫(kù)有很好的關(guān)聯(lián)，

并獲得國(guó)家信息安全漏洞庫(kù)CNNVD兼容證書(shū)。

通過(guò)遠(yuǎn)程安全評(píng)估系統(tǒng)發(fā)現(xiàn)漏洞并聯(lián)合安恒主機(jī)安全管理系統(tǒng)進(jìn)行漏洞修復(fù)實(shí)現(xiàn)高效

的安全漏洞管理閉環(huán)。

3.3.2.弱口令掃描

目前大量的安全事件的起因在于弱口令，安恒遠(yuǎn)程安全評(píng)估系統(tǒng)通過(guò)對(duì)資產(chǎn)進(jìn)行弱口令

掃描，就能協(xié)助安全管理人員第一時(shí)間掌握資產(chǎn)的弱口令信息，并督促進(jìn)行及時(shí)的修改與調(diào)

整，從源頭解決安全風(fēng)險(xiǎn)句題。

333.端口、資產(chǎn)掃描

安恒明鑒遠(yuǎn)程安全評(píng)估系統(tǒng)以IP資產(chǎn)為維度可以正確識(shí)別出目標(biāo)IP所開(kāi)放的端口、服

務(wù)、協(xié)議、軟件版本號(hào)，設(shè)備類型、操作系統(tǒng)以及可能存在的相關(guān)漏洞Q對(duì)資產(chǎn)開(kāi)放的高危

端口事先發(fā)現(xiàn)并通過(guò)安恒主機(jī)安全管理系統(tǒng)對(duì)端口進(jìn)行封閉。

34主動(dòng)防御的安全計(jì)算環(huán)境

安恒信息在深入分析與研究常見(jiàn)黑客入侵技術(shù)的基礎(chǔ)上，總結(jié)歸納大量針對(duì)主機(jī)的安

全漏洞信息和攻擊方式后，提出了通過(guò)部署主機(jī)安全管理系統(tǒng)（EDR）來(lái)建立醫(yī)療行業(yè)的安

全計(jì)算環(huán)境。

設(shè)計(jì)原理示意圖：

在部署明御梵主機(jī)安全及管理系統(tǒng)時(shí)，首先架設(shè)管理控制中心，然后在主機(jī)上安裝客戶

端軟件，即可實(shí)現(xiàn)管理控制中心與客戶端的安全連接。用戶可在管理控制中心查看資產(chǎn)詳細(xì)

息O

明御主機(jī)安全及管理系統(tǒng)是一款集成了豐富的系統(tǒng)防護(hù)與加固、網(wǎng)絡(luò)防護(hù)與加固等功

能的主機(jī)安全產(chǎn)品。明御主機(jī)安全及管理系統(tǒng)通過(guò)自主研發(fā)的文件誘餌引擎，有著業(yè)界領(lǐng)先

的勒索專防專殺能力；通過(guò)內(nèi)核級(jí)東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；擁有補(bǔ)丁修

復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測(cè)與阻斷等主機(jī)安全能力。目前產(chǎn)品廣泛應(yīng)用在服務(wù)

器、桌面PC、虛擬機(jī)、工控系統(tǒng)、國(guó)產(chǎn)操作系統(tǒng)、容器安全等各個(gè)場(chǎng)景。

本產(chǎn)品具備誘餌捕獲引擎、內(nèi)核級(jí)流量隔離等行業(yè)領(lǐng)先技術(shù)。對(duì)于已知勒索病毒，通

過(guò)“進(jìn)程啟動(dòng)防護(hù)引擎”零誤報(bào)零漏報(bào)查殺；對(duì)于未知勒索病毒，采用“專利級(jí)誘餌引擎”

進(jìn)行捕獲，阻斷其加密行為；通過(guò)內(nèi)核級(jí)的流量隔離技術(shù)，自動(dòng)阻止勒索病毒在內(nèi)網(wǎng)擴(kuò)散或

者接收遠(yuǎn)程控制端指令。

根據(jù)以往安恒信息對(duì)勒索病毒的研究發(fā)現(xiàn)，勒索病毒的變種通?？梢噪[藏自己的特征,

但勒索病毒想要完成加密過(guò)程以達(dá)到勒索的目的，關(guān)鍵的行為是無(wú)法隱藏的。經(jīng)過(guò)分析可以

發(fā)現(xiàn)勒索病毒在運(yùn)行的過(guò)程中的行為主要包括以下幾項(xiàng)：

?通過(guò)腳本文件進(jìn)行Http請(qǐng)求;

?通過(guò)腳本文件下載文件；

?讀取遠(yuǎn)程服務(wù)器文件；

?收集計(jì)算機(jī)信息；

?進(jìn)程遍歷文件；

?調(diào)用加密算法運(yùn)行加密進(jìn)程。

勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行。接下來(lái)，勒索病毒利用本地的互聯(lián)網(wǎng)訪

問(wèn)權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰，利用加密公鑰對(duì)文件

遂行加密c除了擁有解密私鑰的攻擊者本人.其他人是幾乎不可能解密c加密完成后,誦常

還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。勒索病毒變種

類型非?？欤瑢?duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為

主，對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。勒索流程圖如下：

滲透進(jìn)入內(nèi)網(wǎng)

的某一臺(tái)機(jī)器X

\_____/

(①

在機(jī)器X

植入勒索病毒

H畫(huà)L器內(nèi)兩

擴(kuò)散勒索病毒

工③

通過(guò)與控制端交互，接

收并執(zhí)行加密指令

，④

坐收贖金

3.4.1.防勒索病毒專門模塊

情報(bào)中心模塊說(shuō)明：

決策模塊：根據(jù)各個(gè)工作站上送的疑似未知勒索病毒文件及其行為特征，綜

合決策判斷該文件是否勒索病毒文件。

調(diào)度模塊：對(duì)于決策中心判定為勒索病毒的文件，進(jìn)行全網(wǎng)擴(kuò)散。對(duì)于決策

中心判定為非勒索病毒的文件進(jìn)行全網(wǎng)擴(kuò)散。

工作站模塊說(shuō)明：

行為識(shí)別器：提供基于行為分析的勒索專利識(shí)別方法，并把疑似勒索病毒文

件上送給情報(bào)中心的決策模塊。

調(diào)度代理：接收來(lái)自情報(bào)中心調(diào)度模塊的指令，并把情報(bào)中心的指令和結(jié)果

傳遞給殺毒引擎。

殺毒引擎：接收調(diào)度代理的指令，并更新本地的病毒特征庫(kù)，變未知勒索病

毒為已知勒索病毒。

交互路徑說(shuō)明：

路徑（1）：工作站上的行為識(shí)別器模塊上送疑似勒索病毒文件到情報(bào)中心的

決策模塊。

路徑（2）：情報(bào)中心的決策模塊通知決策結(jié)果到情報(bào)中心的調(diào)度模塊。

路徑（3）：情報(bào)中心的調(diào)度模塊通知決策結(jié)果到工作站的調(diào)度代理模塊。

路徑（4）：工作站的調(diào)度代理模塊通知工作站的殺毒引擎更新病毒特征庫(kù)。

3.4.2.事先部署

在醫(yī)院沒(méi)有發(fā)現(xiàn)勒索病毒前，從容部署明御主機(jī)安全及管理系統(tǒng)，使之成為醫(yī)院安全

防護(hù)體系的主要組成部分，

3.421.標(biāo)準(zhǔn)的病毒防護(hù)功能

明御主機(jī)安全及管理系統(tǒng)病毒查殺功能擁有豐富全面的平臺(tái)支持Windows+x86/x64、

Linux+x86/x64、Linux+MIPS32/64+大小字節(jié)序、Linux+ARM32/64、Unix+

PowerPC.國(guó)產(chǎn)操作系統(tǒng)（Linux家族）+國(guó)產(chǎn)CPU（x86/MIPS）o

支持多種壓縮包、自解壓包、符合文檔、媒體文件、加密腳本、電子郵件、郵箱文件、

可提取文檔中嵌入的其它資源，如：宏、腳本、可執(zhí)行程序等。

豐富的脫殼能力，全面的模擬執(zhí)行能力（反病毒虛擬機(jī)）。

3.422.漏洞檢測(cè)與補(bǔ)丁安裝

采用漏洞庫(kù)的方式進(jìn)行檢測(cè)，可精確快速根據(jù)不同的操作系統(tǒng)定位到未安裝的補(bǔ)丁，

依靠管理平臺(tái)的推送功能，可將漏洞庫(kù)文件推送到終端上安裝最新補(bǔ)丁，免受黑客攻擊。

即使終端無(wú)法連接互聯(lián)網(wǎng)，也可依賴管理平臺(tái)的離線補(bǔ)丁下載器，將補(bǔ)丁文件導(dǎo)入到

管理平臺(tái)，后續(xù)終端上即可正常下載安裝補(bǔ)丁。

軟件對(duì)操作系統(tǒng)進(jìn)行全面漏洞掃描，并對(duì)漏洞補(bǔ)丁進(jìn)行一鍵修復(fù)或單個(gè)修復(fù)。根據(jù)中

心和端主機(jī)是否可訪問(wèn)互聯(lián)網(wǎng)的不同情況，漏洞補(bǔ)丁的獲取有以下幾種情況：

只有中心可訪問(wèn)互聯(lián)網(wǎng)：通過(guò)admin賬戶登錄，中心去收集補(bǔ)丁后推送給端主機(jī)修復(fù)；

只有端可訪問(wèn)互聯(lián)網(wǎng)：中心已下載過(guò)的補(bǔ)丁由中心推送給端主機(jī)修復(fù)，中心未下載過(guò)

的由端主機(jī)下載進(jìn)行修復(fù)；

中心和端都不可訪向互聯(lián)網(wǎng)：通過(guò)admin賬戶登錄，離線上傳補(bǔ)丁后，中心推送給端

主機(jī)修復(fù)；

中心和端都可訪問(wèn)互聯(lián)網(wǎng)：中心已下載過(guò)的補(bǔ)丁由中心推送給端主機(jī)修復(fù)，中心未下

載過(guò)的由端主機(jī)下載進(jìn)行修復(fù)，或選擇（1）中的修復(fù)方式。

3.423.登陸防護(hù)防止勒索病毒的RDP爆破

使用操作系統(tǒng)本身公開(kāi)的安全登錄插件機(jī)制實(shí)現(xiàn)此功能，相較于傳統(tǒng)的讀取系統(tǒng)日志

判斷的方法，插件防護(hù)不會(huì)遺漏掉任何登錄數(shù)據(jù)，更加安全。

可對(duì)系統(tǒng)賬戶登錄進(jìn)行細(xì)粒度的精準(zhǔn)訪問(wèn)控制，支持對(duì)訪問(wèn)來(lái)源（賬戶、地理位置、遠(yuǎn)

程IP或域名、遠(yuǎn)程計(jì)算機(jī)名）、訪問(wèn)時(shí)間的配置，并能實(shí)時(shí)阻斷非法登錄。觸發(fā)登錄防護(hù)后，

自動(dòng)聯(lián)動(dòng)添加微隔離規(guī)則，

可周期性執(zhí)行弱口令檢測(cè)或立即執(zhí)行一次檢測(cè)，檢測(cè)字典包括常見(jiàn)弱口令、同用戶名

的口令和空口令。

3.424.系統(tǒng)進(jìn)程守護(hù)

使用內(nèi)核驅(qū)動(dòng)技術(shù)，每當(dāng)有進(jìn)程啟動(dòng)時(shí)從操作系統(tǒng)內(nèi)核中可以得到通知，獲取到包括

進(jìn)程路徑等一系列上下文信息后，可以根據(jù)用戶設(shè)置的白名單直接拒絕或放行。支持僅記錄

模式、記錄并阻斷模式。

3.425.網(wǎng)絡(luò)微隔離

內(nèi)核級(jí)網(wǎng)絡(luò)防火墻.網(wǎng)絡(luò)驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)，不依賴系統(tǒng)自身的防火墻。

對(duì)不同的業(yè)務(wù)之間的流量進(jìn)行精準(zhǔn)識(shí)別、針對(duì)非法流量可以精準(zhǔn)阻斷，該功能廣泛應(yīng)

用在云數(shù)據(jù)中心。

快捷操作直接輸入需要關(guān)閉的端口或需要屏蔽的惡意IP,自動(dòng)生成隔離規(guī)則。

3.426.防止勒索病毒進(jìn)行端口掃描

在網(wǎng)絡(luò)驅(qū)動(dòng)中檢查入站到本機(jī)的數(shù)據(jù)包，當(dāng)某個(gè)IP在設(shè)置的時(shí)間周期內(nèi)連接本地的不

重復(fù)的端口數(shù)量達(dá)到一定次數(shù)時(shí)，將惡意探測(cè)IP鎖定，防止其進(jìn)一步獲取終端敏感信息。

可以查看并解除已臨時(shí)鎖定的IP清單。

3.427.防止黑客利用外網(wǎng)web應(yīng)用漏洞進(jìn)行攻擊

使用Web容器的第三方安全插件機(jī)制實(shí)現(xiàn)，可在Web后臺(tái)程序處理請(qǐng)求之前獲取到所

有的請(qǐng)求上下文信息提前過(guò)慮，對(duì)惡意請(qǐng)求及時(shí)攔截。

支持容器類型豐富：IIS6.0~IIS10.0xApache2.2~Apache2.4、以及任何支持Servlet

過(guò)濾模型的java類容器:Tomcat、Weblogic、Jboos、Jetty等）。IIS系列可支持插件的動(dòng)

態(tài)安裝及卸載，不需要重啟％b容器。

針對(duì)常見(jiàn)的SQL注入、XSS跨站攻擊進(jìn)行防護(hù)；

可檢測(cè)到各種主流掃描器行為，根據(jù)設(shè)置屏蔽對(duì)本站的掃描；

可防護(hù)低版本W(wǎng)eb容器的文件名解析漏洞、畸形文件漏洞等；

針對(duì)集中爆發(fā)的Web應(yīng)用程序漏洞（Struts系列漏洞等）可及時(shí)更新策略達(dá)到免疫效

果,自定義的網(wǎng)站漏洞防護(hù)，可對(duì)頁(yè)面請(qǐng)求的所有字段進(jìn)行過(guò)濾，并能支持對(duì)自定義的請(qǐng)求

字段進(jìn)行過(guò)濾（用戶業(yè)務(wù)自定義字段）。

343.事中應(yīng)急部署

事中緊急部署是指已經(jīng)確認(rèn)感染勒索病毒，但是勒索行為還未發(fā)生時(shí)緊急部署主機(jī)安

全管理系統(tǒng)。

未安裝EDR的情況下，通過(guò)任務(wù)管理器或其他途徑發(fā)現(xiàn)感染勒索病毒，但文件還未被

加密時(shí)，緊急部署EDR。

具體現(xiàn)象舉例：

?APT等設(shè)備大量告警；

?系統(tǒng)短周期重啟（5分鐘左右）；

?Svchost.exe、taskmgr.exe等進(jìn)程持續(xù)大量占用CPU；

?無(wú)故藍(lán)屏.....

3.4.31.EDR處理勒索病毒流程

定位攻擊源

查殺病毒

3.4.32開(kāi)啟專利級(jí)勒索防御雙重引擎

主機(jī)部署EDR客戶端后，通過(guò)管理平臺(tái)立即開(kāi)啟EDR資產(chǎn)列表-對(duì)應(yīng)資產(chǎn)詳情-工具箱

-勒索防御-實(shí)時(shí)防御中的勒索軟件啟動(dòng)防護(hù)引擎與專利級(jí)勒索軟件加密防護(hù)引擎。

EDR專利級(jí)防加密引擎在內(nèi)核層預(yù)置誘餌文件，面對(duì)未知類型的勒索病毒，在加密程序

運(yùn)行時(shí)可立即阻斷，并記錄其特征，作為守護(hù)文件安全的最后一道防線。

343.3一鍵應(yīng)用“永恒之藍(lán)勒索挖礦防御”批量配置模板，雙向隔離

445端口

通過(guò)EDR微隔離功能，封堵445端口，阻止其他主機(jī)探測(cè)本地的445端口，同時(shí)阻止

本地端口向外發(fā)包探測(cè)局域網(wǎng)內(nèi)其他主機(jī)的445端口。

343.4.觀察進(jìn)程啟動(dòng)日志、勒索加密阻斷日志，定位病毒源

病毒進(jìn)程試圖啟動(dòng)進(jìn)行自我復(fù)制等行為就會(huì)觸發(fā)EDR的進(jìn)程防護(hù)，通過(guò)查看EDR的日

志，可看到大量進(jìn)程防護(hù)（阻止已知勒索病毒啟動(dòng)）或勒索深度防護(hù)（阻止未知勒索病毒加

密）記錄。通過(guò)日志給出的位置來(lái)逐步定位攻擊源。

3.4.35批量查殺病毒并復(fù)查

通過(guò)EDR的病毒查殺功能，配合通過(guò)日志定位到的攻擊源，進(jìn)行病毒查殺，病毒可一

鍵隔離或清除。通過(guò)批量配置可快速為大量資產(chǎn)配置查殺策略。清除病毒后進(jìn)行復(fù)查。

343.6.配置定期巡檢與漏洞掃描進(jìn)行系統(tǒng)加固

通過(guò)EDR定期巡檢功能，與批量配置配合，配置所有主機(jī)定時(shí)開(kāi)始病毒查殺與漏洞修

復(fù)，可避開(kāi)資源占用高峰期，及時(shí)修復(fù)漏洞，加固主機(jī)安全。

3.5.安全威脅分析與發(fā)現(xiàn)

針對(duì)醫(yī)療行業(yè)高發(fā)的勒索病毒、主機(jī)資源被濫用為挖礦以及包含APT攻擊在內(nèi)的各類

網(wǎng)絡(luò)攻擊事件，我們可以總結(jié)出APT攻擊的過(guò)程階段如下：

第1階段，弱點(diǎn)探測(cè)：攻擊者會(huì)對(duì)鎖定的目標(biāo)醫(yī)院和資源進(jìn)行信息收集，進(jìn)行弱點(diǎn)探

測(cè)，確認(rèn)攻擊手段和方法，

第2階段，滲透入侵：利用電子郵件、即時(shí)通信軟件、社交網(wǎng)絡(luò)或是應(yīng)用程序漏洞（例

如web應(yīng)用漏洞）通過(guò)醫(yī)衛(wèi)網(wǎng)、互聯(lián)網(wǎng)找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門。

第3階段，命令與控制（C&C通信）：APT攻擊活動(dòng)首先在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信

息的重要計(jì)算機(jī)。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議確認(rèn)入侵成功的計(jì)算機(jī)和C&C服務(wù)

器間保持通訊。

第4階段，橫向擴(kuò)展：在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī)，使用包括傳遞哈

希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松的去訪問(wèn)和控制

關(guān)鍵目標(biāo)。

第5階段，敏感信息發(fā)掘：為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT

會(huì)長(zhǎng)期低調(diào)的潛伏，來(lái)挖掘出最多的信息資料。

而且在這個(gè)過(guò)程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)做

分析，以做最大化的利用，

第6階段，資料竊取與勒索：APT是一種高級(jí)的、狡猾的伎倆，高級(jí)黑客可以利用APT

入侵網(wǎng)絡(luò)、逃避“追捕”、悄無(wú)聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問(wèn)，最終挖

掘到攻擊者想要的信息資料或者實(shí)施勒索。

明御APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)通過(guò)對(duì)網(wǎng)絡(luò)雙向全流量進(jìn)行深度解析，基于豐富的特

征庫(kù)、全面的檢測(cè)策略、智能的機(jī)器學(xué)習(xí)、高效的沙箱動(dòng)態(tài)分析、海量的威脅情報(bào)，能實(shí)時(shí)

發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，特別是新型網(wǎng)絡(luò)攻擊行為，幫助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的各種已知威脅和

未知威脅，檢測(cè)能力完整覆蓋整個(gè)APT攻擊鏈，有效發(fā)現(xiàn)APT攻擊、未知威脅及用戶關(guān)心的

勒索病毒事件和挖礦事件，

對(duì)于勒索病毒事件和挖礦事件，APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)的主要能力體現(xiàn)為：

1）能及時(shí)發(fā)現(xiàn)勒索者病毒和挖礦軟件的投遞過(guò)程,投遞渠道不僅涵蓋以惡意樣本形式

通過(guò)HTTP、SMTP、POP3、IMAP、FTP、SMB、NFS、TFTP等協(xié)議傳遞的情形,也包括通過(guò)RDP、

FTP等端口的暴力破解行為。

2）多維度、仝方位發(fā)現(xiàn)失陷主機(jī)，包括勒索者和挖礦中招主機(jī)的能力。APT預(yù)警平臺(tái)

不僅內(nèi)嵌了多種遠(yuǎn)控類型的情報(bào)指標(biāo)（IOC.IndicatorofCompromise）,而且也結(jié)合了安

恒信息在網(wǎng)絡(luò)流量分析領(lǐng)域的長(zhǎng)期積累，引入了包括機(jī)器學(xué)習(xí)檢測(cè)DGA域名請(qǐng)求、遠(yuǎn)控工具

指紋庫(kù)、漏洞利用庫(kù)，以及多個(gè)隱蔽信道通信檢測(cè)模型等多種檢測(cè)機(jī)制，可以全方位發(fā)現(xiàn)失

陷主機(jī)，包括勒索者和挖礦中招主機(jī)。對(duì)于中招后回連C2服務(wù)端成功的行為，還可以進(jìn)一

步識(shí)別對(duì)應(yīng)的C2服務(wù)器、礦池地址、錢包地址等信息，以進(jìn)一步通過(guò)防火墻等攔截處置或

追蹤溯源。

3）中招主機(jī)橫向擴(kuò)散行為的檢測(cè)能力。在內(nèi)部主機(jī)感染勒索者病毒后其他病毒蠕蟲(chóng)后,

會(huì)向內(nèi)網(wǎng)其他設(shè)備進(jìn)行橫句擴(kuò)散，APT預(yù)警平臺(tái)不僅可以檢測(cè)這類橫向擴(kuò)散行為，還可以進(jìn)

一步識(shí)別橫向擴(kuò)散后被成功遠(yuǎn)程溢出的主機(jī)，以進(jìn)一步定位感染源和受感染主機(jī)。

4）對(duì)變種樣本，包括新型的勒索者家族樣本和新版本的勒索者樣本均具備檢測(cè)能力。

APT預(yù)警平臺(tái)不僅使用了被稱為“單兵之王”的病毒檢測(cè)引擎，還有多項(xiàng)專利技術(shù)傍身的靜

態(tài)分析和動(dòng)態(tài)沙箱分析能力，通過(guò)模擬運(yùn)行樣本來(lái)捕獲他的運(yùn)行軌跡，并根據(jù)捕獲到的行為

信息進(jìn)一步甄別樣本是否是惡意樣本，這種不基于簽名的動(dòng)態(tài)沙箱檢測(cè)方法，能很好發(fā)現(xiàn)基

于Oday漏洞利用的惡意樣本和未知威脅，也能很好識(shí)別具有鮮明行為特征的勒索者和挖礦

軟件。

3.5.1.安全分析范圍

當(dāng)前的APT威脅已經(jīng)不局限于某一種固定的攻擊方式，所有網(wǎng)絡(luò)中存在的弱點(diǎn)都可能

會(huì)被攻擊者利用，尤其是在一些開(kāi)放性的入口，因此在應(yīng)對(duì)APT威脅方面必須要涵蓋以下幾

個(gè)方面：

.WEB攻擊行為

對(duì)HTTP協(xié)議完整性檢測(cè)，發(fā)現(xiàn)各種異常訪問(wèn)行為

對(duì)惡意URL、惡意IP訪問(wèn)行為進(jìn)行檢測(cè)

全面成熟的WEB攻擊檢測(cè)特征庫(kù)，對(duì)所有已知WEB漏洞利用的攻擊行為檢測(cè)

對(duì)利用WEB發(fā)起的wabshell上傳和利用行為進(jìn)行檢測(cè)

對(duì)怔B傳輸惡意文件行為檢測(cè)

對(duì)WEB行為進(jìn)行動(dòng)態(tài)關(guān)聯(lián)分析

3.5.12郵件攻擊行為

對(duì)SMTP、POP3、IMAP和HTTP協(xié)議進(jìn)行解析，發(fā)現(xiàn)各種郵件攻擊行為

對(duì)WEBMail攻擊行為進(jìn)行檢測(cè)，發(fā)現(xiàn)各種基于WEBMail的郵件攻擊行為

對(duì)基于郵件欺騙的社工類攻擊行為進(jìn)行檢測(cè)

對(duì)郵件附件傳輸惡意文件行為進(jìn)行檢測(cè)

351.3.文件攻擊行為

對(duì)HTTP、FTP、SMB、SMTP、POP3協(xié)議進(jìn)行解析,在協(xié)議中分離文件

對(duì)病毒木馬進(jìn)行掃描，快速發(fā)現(xiàn)各種已知特征的惡意文件攻擊行為

采用shellcode靜態(tài)分析檢測(cè)機(jī)制，有效發(fā)現(xiàn)各種隱藏威脅

通過(guò)沙箱動(dòng)態(tài)行為分析，輸出完整的二進(jìn)制分析報(bào)告，全過(guò)程解析文件在運(yùn)行過(guò)程中

存在的各種隱藏行為

351.4.Oday攻擊行為

通過(guò)多種行為分析能力，基于一段時(shí)間內(nèi)的WEB異常行為分析、基于shellcode的靜

態(tài)行為分析和基于沙箱的動(dòng)態(tài)行為分析,從多個(gè)方面檢洌網(wǎng)絡(luò)中存在的各種Oday攻擊行為。

通過(guò)檢測(cè)目標(biāo)文件中的shellcode以及腳本類文件中的攻擊特征，并結(jié)合動(dòng)態(tài)分析技

術(shù)可以有效識(shí)別Oday攻擊行為。

3515木馬回連行為

對(duì)內(nèi)網(wǎng)向外請(qǐng)求異常行為進(jìn)行分析，包括非法請(qǐng)求外連、惡意盜取數(shù)據(jù)和敏感數(shù)據(jù)回

傳等行為；

基于惡意行為的模型化分析，提取真正的惡意回連行為。

3.5.2.RDP口令爆破高效檢測(cè)

內(nèi)置各種勒索病毒、口令暴力破解工具特征，可以通過(guò)流量+行為特征的方式快速發(fā)現(xiàn)

網(wǎng)絡(luò)中的暴力破解行為，并且可以通過(guò)機(jī)器學(xué)習(xí)的方式，提高檢測(cè)識(shí)別的有效程度，可以高

效發(fā)現(xiàn)網(wǎng)絡(luò)中的由勒索病毒及其他黑客工具發(fā)起的RDP、SS1UTELNET口令爆破攻擊。

3.5.3.勒索病毒等惡意代碼分析

APT預(yù)警平臺(tái)具備勒索者病毒和挖礦樣本的強(qiáng)大檢查能力，不僅基丁已知病毒木馬庫(kù)

的AV引擎，還使用多個(gè)專利傍身的靜態(tài)分析、沙箱動(dòng)態(tài)分析，對(duì)未知的、新出現(xiàn)的變種

勒索者、挖礦惡意文件都具備檢測(cè)能力；這方面主要體現(xiàn)為樣本投遞能力。

對(duì)已經(jīng)中招的勒索病毒、挖礦病毒主機(jī)，具備多種檢測(cè)方式

?對(duì)已經(jīng)中招主機(jī)，進(jìn)一步進(jìn)行內(nèi)網(wǎng)橫向擴(kuò)散的行為，具備準(zhǔn)備的檢測(cè)能力，特別

是SMB遠(yuǎn)程溢出攻擊行為，還能進(jìn)一步識(shí)別遠(yuǎn)程溢出攻擊成功的事件

?對(duì)挖礦主機(jī)向礦池進(jìn)行登錄或者接收任務(wù)的環(huán)節(jié)具備全幣種的檢測(cè)能力，可以進(jìn)

一步抓取錢包地址等信息

?通過(guò)已知的威脅情報(bào)IOC,對(duì)回連行為進(jìn)行檢測(cè)

?通過(guò)遠(yuǎn)控指紋類對(duì)回連行為進(jìn)行檢測(cè)，全方位發(fā)現(xiàn)中招主機(jī)

3.5.4.勒索病毒等木馬攻擊預(yù)警

當(dāng)APT攻擊已經(jīng)進(jìn)入內(nèi)網(wǎng)后，黑客將會(huì)利用所獲得的權(quán)限對(duì)一些如FTP上的文件進(jìn)行

掛馬操作，通過(guò)外網(wǎng)下載各種惡意后門，發(fā)送帶溢出的攻擊文件。

明御APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)流量進(jìn)行抓包分析，捕獲APT攻擊行

為，實(shí)現(xiàn)APT預(yù)警。在檢測(cè)過(guò)程中會(huì)分離流量中的各種協(xié)議的文件，對(duì)文件進(jìn)行檢測(cè)。發(fā)

現(xiàn)文件中的惡意代碼，并及時(shí)進(jìn)行預(yù)警。

?病毒木馬特征檢測(cè)

通過(guò)對(duì)分離出的文件進(jìn)行快速掃描，內(nèi)部集成全面的多引擎特征庫(kù)，及時(shí)檢測(cè)其中存

在的各種病毒木馬文件，并對(duì)文件的來(lái)源、目的、詳細(xì)信息進(jìn)行分析，便于進(jìn)一步的進(jìn)行

處理。

?Shellcode靜態(tài)行為分析

靜態(tài)二進(jìn)制文件安全分析技術(shù)可發(fā)現(xiàn)常見(jiàn)格式文件的異常特征，如：pdf、doc、exe.

xls等。并根據(jù)其異常格式、文件異常特征、異常代碼等判斷文件的可疑特征。并進(jìn)行進(jìn)一

步的分析。

?沙箱動(dòng)態(tài)行為分析

系統(tǒng)中內(nèi)置了動(dòng)態(tài)沙箱系統(tǒng)，可針對(duì)文件進(jìn)行動(dòng)態(tài)行為分析，通過(guò)分析惡意文件的運(yùn)

行時(shí)行為來(lái)確定文件是否存在問(wèn)題。

沙箱采用業(yè)界領(lǐng)先的多沙箱和單沙箱多進(jìn)程并發(fā)設(shè)計(jì)，極大的提升了沙箱檢測(cè)性能，

通過(guò)建立惡意代碼行為模型，深度分析和判斷可疑文件的行為特定，并確定文件是否存在

惡意代碼。

3.5.5.Oday等未知攻擊行為的識(shí)別

勒索病毒的一個(gè)和重要特征是利用Oday漏洞進(jìn)行攻擊，安恒通過(guò)長(zhǎng)期的研究，總結(jié)并

提取各類Oday攻擊的特點(diǎn)。在網(wǎng)絡(luò)流量中分析關(guān)心的文件。通過(guò)快速檢測(cè)算法，對(duì)目標(biāo)文

件進(jìn)行檢測(cè)，識(shí)別攻擊樣本。

通過(guò)檢測(cè)目標(biāo)文件中的shellcode以及腳本類文件中的攻擊特征，并結(jié)合動(dòng)態(tài)分析技

術(shù)可以有效識(shí)別Oday攻擊行為。

3.5.6.人工滲透投毒行為識(shí)別

APT通常會(huì)結(jié)合人_L滲透攻擊，在人工滲透攻擊中經(jīng)常含有掃描或病毒擴(kuò)散的過(guò)程。在

勒索病毒應(yīng)急過(guò)程中發(fā)現(xiàn)，很多勒索病毒事件，具有明顯的人工投毒的過(guò)程。這些過(guò)程中，

通常會(huì)產(chǎn)生大量的惡意流量。我們通過(guò)沙盒行為分析技大分析這些惡意流量特征，建立了基

于時(shí)間、IP、端口、協(xié)議等多維度有效檢測(cè)方式發(fā)現(xiàn)攻云行為。

?對(duì)內(nèi)網(wǎng)向外請(qǐng)求異常行為進(jìn)行分析，包括非法請(qǐng)求外連、惡意盜取數(shù)據(jù)和敏感數(shù)

據(jù)回傳等行為；

?基于惡意行為的模型化分析，提取真正的惡意回連行為。

?通過(guò)一段時(shí)間對(duì)訪問(wèn)頻度進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)其訪問(wèn)頻度的異常行為，如：暴力破解

操作、sql注入數(shù)據(jù)獲?。ǘ虝r(shí)間大量請(qǐng)求相同頁(yè)面）,掃描（長(zhǎng)時(shí)間遍歷網(wǎng)站

文件）等

?基于url異常訪問(wèn)行為的統(tǒng)計(jì)

?通過(guò)一段時(shí)間的請(qǐng)求分析，對(duì)請(qǐng)求url進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異常，如：沒(méi)

有帶referrer的url進(jìn)行逆序排列。頻繁訪問(wèn)特定頁(yè)面，并且時(shí)間非常集中

3.5.7.APT預(yù)警檢測(cè)系統(tǒng)的部署

357.1.物理傳統(tǒng)環(huán)境的部署

明御APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)采用旁路部署的方式，需要采集鏡像流量，部署的位置

應(yīng)在互聯(lián)網(wǎng)出口交換機(jī)或核心交換機(jī)上，應(yīng)位于防火墻等防御類產(chǎn)品的后側(cè)。

單臺(tái)設(shè)備不同區(qū)域的流量采集方案。在單臺(tái)設(shè)備負(fù)載允許的情況下，可對(duì)不同區(qū)域的流

量分別鏡像至該APT設(shè)售不同的業(yè)務(wù)端口。對(duì)于醫(yī)院，可以從外網(wǎng)交換機(jī)、內(nèi)部HIS等服

務(wù)器匯聚交換機(jī)、內(nèi)部核心交換機(jī)等區(qū)域多點(diǎn)接入。

對(duì)于大型醫(yī)院網(wǎng)絡(luò)情況復(fù)雜,或者網(wǎng)絡(luò)流量比較大,可以采取多臺(tái)設(shè)備分布式部署方式,

在關(guān)鍵節(jié)點(diǎn)分別部署臺(tái)APT設(shè)備作為探測(cè)器，然后選擇其中臺(tái)設(shè)備為數(shù)據(jù)中心形成全

網(wǎng)檢測(cè)能力。數(shù)據(jù)中心可以統(tǒng)一管理探測(cè)器，查看告警信息，配置及策略下發(fā)，方便客戶使

用。

3.5.72云環(huán)境的部署

由于云平臺(tái)具有高度為開(kāi)放性和集中性等特點(diǎn)，但是云平臺(tái)普通租戶無(wú)法在物理交換機(jī)

層面進(jìn)行操作，因此基于流量代理的方式對(duì)服務(wù)器中的流量進(jìn)行引流分析，到云安全監(jiān)控中

心進(jìn)行深度分析是云平臺(tái)安全的最佳解決方案，具體方案架構(gòu)圖如下：

APT云安全檢窩

云安全監(jiān)控中心

云平臺(tái)安全解決方案契構(gòu)圖

APT安全檢測(cè)通過(guò)對(duì)服務(wù)器集群中部署流量代理agent,agent對(duì)流量進(jìn)行過(guò)濾和初步

分析，然后再將數(shù)據(jù)傳送到APT云安全監(jiān)控中心，由云安全監(jiān)控中心進(jìn)一步進(jìn)行深度關(guān)聯(lián)

分析，來(lái)發(fā)現(xiàn)各種已知和未知威脅，綜合判斷是否存在APT攻擊行為。

下圖為流量代理和平臺(tái)功能：

下圖為云流量代理轉(zhuǎn)發(fā)流程圖：

X安奘包

云流量代理觸發(fā)Jpeg為審計(jì)1^cwMiit.n

美型:JPEG圖曝檢收*itTCfKH就口

大小:155KB於M雉用發(fā)送運(yùn)行狀態(tài)

尺寸:810x671像袤一代“展％一為叩計(jì)TC傀收發(fā)送小打狀》

為市“TC健供IIJU；.總

13/Htlfi令

流片發(fā)送編樞系保護(hù)對(duì)an取流吊

個(gè)發(fā)iX線整

裳送，?娘勢(shì)鬟送健