包头某稀土加工企业被勒索软件"锁门",杨工连夜搭建零信任架构完成突围
凌晨两点半,九原区一家做稀土深加工的工厂老板打来电话:"杨工,我们车间所有电脑弹窗'你的文件已被加密',财务账套打不开了!"
这不是段子。去年Q3包头地区中小企业勒索软件攻击事件同比增长了47%,很多厂子连个像样的备份都没有,一被锁就面临停产。这次我们不舍昼夜技术团队20分钟内赶到现场,发现攻击入口是员工用U盘拷贝了外部邮件附件——典型的"社会工程+横向移动"套路。
事后复盘,这家企业的问题非常典型:所有电脑在同一个域里、管理员密码全网通用、没有网络分区。一旦一台机器中招,整个局域网就像纸糊的墙。下面我把这次项目的完整方案记录下来,给包头同行一个参考。
【项目背景】
客户为包头市九原区一家稀土深加工企业,员工约180人,厂区面积约3万平方米,包含生产车间、研发中心、行政办公楼三部分。原有网络架构为扁平化设计:一台H3C S5560X-30S-EI核心交换机下挂24个接入点,所有部门共享同一个VLAN(192.168.1.0/24),域管理员账号密码全公司通用。
安全现状堪忧:终端只装了免费版杀毒软件,没有EDR;服务器没有做访问控制策略;财务系统的数据库直连公网IP;员工电脑可以随意插入U盘。这种"裸奔"状态在包头中小企业里并不少见——很多老板觉得"我们又不值钱,谁会盯上我们"。
但现实是:勒索软件团伙现在用的是自动化攻击工具(如LockBit 3.0),根本不管你是不是稀土企业。他们扫的是漏洞和弱口令,不是行业标签。
【咨询设计】
基于现场调研,我们提出了"零信任+纵深防御"的整体方案。核心理念是:不信任任何内网用户或设备,每次访问都要验证。
架构设计上,我们将网络划分为4个安全域:
- 管理域(10.0.1.0/24):运维人员专用,仅允许跳板机访问
- 生产域(10.0.2.0/24):车间工控机和MES终端,与办公网物理隔离
- 办公域(10.0.3.0/24):普通员工PC和打印机
- 服务器域(10.0.4.0/24):文件服务器、数据库、ERP系统
核心设备选型:
- 核心交换机:H3C S5560X-30S-EI(三层路由+ACL支持)
- 行为管理:深信服AC2.0(上网审计+U盘管控)
- 终端安全:奇安信天擎EDR v8.0(每台PC授权,含文件加密模块)
- 防火墙:华为USG6510E(下一代防火墙,带IPS特征库)
零信任的核心组件是微隔离策略——生产域和服务器域之间通过ACL严格限制,只开放必要的端口。比如MES系统只需要TCP 8080和3306,其他一律DROP。
【施工规划】
施工分三个阶段进行,利用周末非生产时间完成,确保不影响工厂正常运营。
第一阶段:物理布线与VLAN划分(周六全天)
重新梳理了厂区综合布线系统。车间到机房铺设了6根康普Cat6A非屏蔽双绞线(每根含4对线,传输速率10Gbps/100米),办公区利用原有五类线做语音和数据分离。核心交换机配置VLAN 20-50分别对应不同部门,Trunk链路只允许必要VLAN通过。
第二阶段:安全设备部署(周日白天)
华为USG6510E防火墙部署在Internet出口位置,策略模式改为" deny by default "——默认拒绝所有流量,仅开放白名单端口。深信服AC2.0串联部署在内网核心交换机旁路镜像口,对全网流量做审计。
关键一步:配置了H3C交换机上的ACL规则。以服务器域为例:
# 仅允许办公域访问财务数据库的3306端口 acl number 3000 rule 5 permit tcp source 10.0.3.0 0.0.0.255 destination 10.0.4.10 0 port eq 3306 rule 10 deny ip # 应用ACL到服务器域VIF接口 interface Vlan-interface 40 packet-filter 3000 inbound
第三阶段:终端EDR部署与策略调优(周一夜间)
奇安信天擎EDR通过组统推方式批量安装到180台PC上。重点配置了以下策略:
- U盘管控:仅允许注册白名单设备读写,其他自动禁用
- 文件加密:财务文件夹启用SM4国密算法加密(密钥长度256位)
- 勒索防护:EDR内置的Anti-Ransomware模块监控可疑进程行为(如批量修改文件扩展名、调用VSSADMIN删除卷影副本等)
【安全补丁】
施工完成后,我们做了一轮"红蓝对抗"验证:
渗透测试:使用Kali Linux + Metasploit框架模拟外部攻击。发现原先的139/445端口(SMB/RPC)在公网暴露——这是WannaCry当年入侵的主通道。立即通过防火墙关闭了这些端口的公网映射。
漏洞扫描:用Nessus Essentials对全网200+资产做扫描,发现17个高危漏洞,主要集中在老旧Windows Server 2012系统的MS17-010(永恒之蓝)和Apache Struts远程命令执行。我们优先打了补丁,暂时无法打补丁的服务器做了端口白名单隔离。
钓鱼演练:向员工发送模拟钓鱼邮件(含恶意链接),点击率从原来的62%下降到改造后的8%——这主要归功于改造前做的一次全员安全意识培训。杨工在培训时说了句大实话:"你的密码要是'123456',黑客都不用破解,直接替你登录。"
备份验证:部署了Veeam Backup & Replication v12做数据备份策略。关键业务数据每日增量备份+每周全量备份,备份目标为两台希捷Exos X20 18TB企业级硬盘组成的RAID5阵列,离线存放于厂区保险柜中——这是防勒索的最后一道防线:即使被加密了,你还有干净的备份可以恢复。
【验收交付】
项目历时5个工作日(含周末加班),最终交付物包括:
- 网络拓扑图(Visio格式)和IP地址规划表
- 防火墙策略清单(共47条规则,每条标注业务依据)
- EDR管理控制台账号及操作手册
- Fluke DSX-5000线缆认证测试报告(全部6根Cat6A链路通过10Gbps认证)
- 安全事件应急响应预案(含勒索软件专项处置流程)
验收当天,客户IT主管做了压力测试:用Metasploit模拟永恒之蓝攻击内网PC,EDR在3秒内检测到异常行为并自动隔离了受感染主机——零信任架构的"微隔离"发挥了作用,攻击被限制在一台机器上,没有发生横向扩散。
老板看完报告说了一句:"原来网络安全不是多花几万块钱买个防火墙就完事了,是一套体系。"
【售后承诺】
项目交付后,我们提供以下保障:
- 7×24小时热线支持:17704868686,任何时间接到电话,2小时内响应,包头市区4小时内到达现场
- 季度安全巡检:每季度一次全面安全检查,包括漏洞扫描、日志审计、策略优化
- 应急响应:如遇勒索软件或数据丢失等紧急情况,优先处理,不受工作时间限制——这就是"不舍昼夜"四个字的意思
- 免费培训:每年两次全员安全意识培训,含钓鱼邮件识别、密码管理、U盘使用规范
网络安全不是一次性工程,而是持续的过程。就像给房子装防盗门——门装好了还得定期检查锁芯好不好用。我们不舍昼夜技术团队愿意做包头中小企业最靠谱的那个"IT管家"。
【不舍昼夜技术 · 包头IT全生命周期服务】
业务全闭环: 咨询规划、方案设计、工程实施、竣工验收、维保售后。
咱能干的: 包头修电脑/装监控/拉网线/做系统/救数据/办软件/卖耗材。
技术范畴: 5G通信、大数据服务、信息系统集成、网络安全、商用密码、平面设计。
服务区域: 昆区、青山区、九原区、东河区、高新区等包头全境,随叫随到。
技术热线: 17704868686(本地专业团队,不舍昼夜为您守候!)