硕讯分离部署方案帮武汉某国企成功抵御勒索病毒攻击

作者:axus发布时间:2021-06-02浏览量:2788

武汉国资委下属某企业为加强企业信息化建设,采用了用友NC ERP系统。该企业于2020年在用友分公司的推荐下,采购了两台华硕ERP专用服务器和防勒索病毒备份机,并采用了应用和数据分离部署的方式。

应用服务器连接外网,主要部署用友软件和其他业务管理软件,客户通过“花生壳”从外部访问应用服务器。数据服务器通过局域网连接应用服务器,不和客户端直接相连,数据的安全性得到有效提升。防勒索病毒备份设备直连数据服务器,对数据服务器数据进行备份,实现异机跨平台的备份。如下图所示:

微信图片_20210602092135

2021年5月份,客户直接联系硕讯武汉办事处工程师,反馈“电脑登录不上服务器了,帮忙看一下是怎么回事”,五分钟內,武汉办事处远程到应用服务器上,发现应用服务器服务器中了勒索病毒了,桌面软件包括文件被篡改成lnk.datalock的加密格式,想要解密文件,需要向病毒制作者交付高额赎金。如下图所示:

1

2


硕讯工程师请客户紧急给应用服务器断网,避免应用服务器的勒索病毒继续对其他服务器进行攻击。然后,硕讯工程师登录到数据库服务器,发现数据库服务器没有中毒,主要原因是勒索病毒要先攻破应用服务器,然后再攻破数据库服务器才能对数据库数据进行加密。

考虑到NC系统是用户的核心业务系统,硕讯工程师通知用户先将数据库服务器内的数据再拷贝一份到移动硬盘中,以防万一。然后,快速赶到用户现场,帮助用户恢复业务上线。

赶到现场后,工程师shou先检查数据库服务器和备份设备是否被勒索病毒攻击,数据是否安全。检查后,确认两台设备上的数据都很安全。如下图所示:

3

5

检查数据没有问题后,工程师帮客户重装系统,设置好我们一键还原的功能。因为两台服务器系统环境都是一样的,我们通过一键还原功能出的系统ADI文件对应用服务器系统进行了还原操作,整个系统还原流程不到20分钟结束。(该方法仅适用于硕讯专用服务器)


发现问题:

1)了解到客户公司搬迁,服务器放在原来的机房,通过花生壳进行远程访问,端口映射短期不能停,并且数据服务器也是联网状态,担心有一定的数据风险性。

2)与用友工程师沟通,询问让数据服务器不连外网,通过直连应用服务器,软件是否可以正常运行,用友那边回答只要数据服务器和应用服务器处于同一个局域网就可以实现。

方案如下图所示:

 4

解决方案建议:

1)后期将花生壳升级成蒲公英;

2)让数据服务器不连外网;

3)定时检查备份,备份是否成功;

4)在自动备份的基础之上还可以使用移动硬盘定期对数据进行拷贝,实现数据离线容灾

1)采用分离部署的方式,数据服务器通过局域网连接应用服务器,不和客户端直接相连,数据的安全性得到有效提升。

2)自带ERP专用备份功能,可以针对数据库自动进行完整备份同时也可以自动备份账套文件,防止忘记设定备份而丢失数据;具有校验功能,防止恢复失败,还有备份提醒功能等,这些功能都是针对ERP用户丢数据比较多的场景,进行专门开发的;

3)具有一键还原功能,可以30分钟快速还原系统(部分故障可以10分钟内完成还原操作),防止系统故障导致的长时间停机。

4)速度快,独有的数据加速功能,比传统服务器快2-30倍的性能;

5)防勒索病毒备份设备机(Linux系统,可以抵御WINDOWS勒索病毒攻击)实现异机跨平台备份

6)基于方案的建设目标,我们设计了先进的3 层基建架构,为管理软件提供一个安全、稳定、速度快的运营平台。

7)除了整体架构设计外,我们还从应急恢复措施、运行效率、数据安全、系统安全,服务等进行了详细的设计。 

8)通过本地化的运维团队能够快速派人到达用户现场处理问题,减少客户业务系统停机时间