Phone: 17794595987
Email: 95415308@qq.com
某企业网络安全事件处置案例
2025-08-20 14:50:15
130
某企业网络安全事件处置案例
事件溯源与解决方案全记录
项目背景
某企业首先接到了网安部门的通报,得知自身系统存在安全漏洞风险。然而,当时企业并未对此予以足够重视,未及时采取任何处理措施。不久后,企业内部突发文件被加密的严重安全事件,业务运营受到极大影响。在这种紧急情况下,企业委托我司进行事件溯源,全面排查问题根源,并制定有效的解决方案。
一、文件加密事件突发
二、事件溯源与漏洞发现
接到企业委托后,我司立即组建专业技术团队开展事件溯源工作。通过对企业网络环境、系统日志等多方面的深入排查,发现此次文件加密事件与企业未及时处理网安通报的漏洞存在密切关联。同时,团队对企业核心业务系统进行了全面的漏洞扫描与验证,发现畅捷通 T + 系统存在多项安全漏洞,具体如下:
| 漏洞等级 | VPR 分值 | 漏洞名称 | 影响位置 |
|---|---|---|---|
| 严重 | 8.8 | 畅捷通 T+ Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx 存在 SQL 注入漏洞 | 1 |
| 高危 | 9.3 | 畅捷通 T+ Ufida.T.SM.Login.UIP.LoginManager,Ufida.T.SM.Login.UIP.ashx SQL 注入漏洞 | 1 |
| 高危 | 9.3 | 畅捷通 T+ Ufida.T.SM.UIP.Upgrade.UpgradeControler,Ufida.T.SM.UIP.ashx SQL 注入漏洞 | 1 |
| 高危 | 8.8 | 畅捷通 T+ /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx 存在 SQL 注入 | 1 |
| 高危 | 9.3 | 畅捷通 T+ 标准版 /tplus/GLSyncService.asmx 存在 SQL 注入漏洞 | 2 |
| 中危 | 6.9 | 畅捷通 T+ GetDecAllUsers 接口存在敏感信息泄露 | 1 |
三、涉及系统环境(用友财务系统)
企业的核心 IT 架构包含以下关键设备,这些设备为事件溯源、漏洞验证以及后续防护方案的实施提供了基础环境:
1. 群晖 NAS 存储系统
- 主机型号:RS822RP+(1 套)
这是一款 4 盘位设备,适合 IT 爱好者及中小企业(SMB)的弹性扩容需求,支持企业级备份方案,能够有效防范数据丢失。其硬件配置为 AMD Ryzen V1500B 处理器,2G+4GB DDR4 ECC 内存(最大支持 32GB),8 个 PCIE 磁盘槽,4 个 RJ-45 1Gb 端口,并提供 3 年硬件质保(已扩展 4G 内存)。 - 专用硬盘:HAT3310-8T(4 块)
这是群晖 NAS 专用机械硬盘,采用 CMR 垂直磁记录技术,SATA 接口,3.5 英寸规格,容量为 8TB。
四、解决方案
结合事件溯源结果和发现的漏洞情况,我司制定了针对性的解决方案,具体如下:
1. 畅捷通 T + 漏洞修复
针对已发现的 SQL 注入及敏感信息泄露漏洞,采取两步修复策略:
- 临时缓解措施:在确保业务不受影响的前提下,暂时拦截对 /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida.T.SM.UIP.ashx 等风险接口的访问请求;限制访问来源地址,如非必要,不将系统开放在互联网上。
- 升级修复方案:将产品升级至最新版本,下载地址为https://t.chanjet.com/。
2. 整体安全防护体系构建
为全面提升企业的网络安全防护能力,防范类似安全事件再次发生,构建了覆盖网络、主机、应用及运营的全维度防护体系:
| 防护层面 | 部署内容 | 功能说明 |
|---|---|---|
| 网络边界防护 | 长亭第二代防火墙(CTDSG-1000) | 1U 标准机架式软硬一体机,单电源,4G EMMC 系统盘,板载 4 个千兆电口 + 2 个 combo 口(光模块需单独配备)。支持网络层吞吐量 1G,应用层吞吐量 200M,并发连接数 25 万,新建连接数 3500,提供入侵防御、防病毒、Web 应用防护、URL 过滤、应用带宽管理、威胁情报等功能,并包含 3 年产品维保服务。 |
| 主机与容器安全 | 长亭牧云(CloudWalker)主机安全管理平台 | 订阅 CW-100 套餐,支持管理 100 台主机,包含主机、容器安全基础平台和主机探针包(每个探针包支持管理 10 台主机)。 |
| 漏洞评估 | 长亭洞鉴(X-Ray)安全扫描评估系统 | 订阅高级工具版,作为漏洞扫描工具,可针对客户网络中的系统服务和 web 应用进行漏洞检测,出具详尽的解决方案建议报告。包含软件基础平台、基础服务扫描、基础 Web 漏洞扫描和易捷版安装包。 |
| Web 应用防护 | 长亭雷池(SafeLine)Web 应用防火墙 | 订阅单机反代通用版(1KQPS),适配单机版软件,默认支持 1000QPS,建议最大 2000QPS,包含反代软件基础平台和单机反代防护检测(含 1KQPS)。 |
| 安全运营服务 | 长亭大观(MSS)安全托管服务 | 订阅 58 安全托管服务 - 简约版,基于云平台以 SaaS 方式提供服务,包含安全运营平台、58 小时远程威胁监控及配套的被动响应式专家服务,提供独立账号。服务项包括 58 小时远程安全设备日志监控、新漏洞预警、阶段成果汇报(月报)、自动封禁响应,还包含 58 安全托管服务简约版服务项、资产 MSS-rs-10 和流量检测探针 - 500M(最大网络流量处理能力为 500Mbps)。 |
3. 分支与总部协同防护架构
- 分支:分支终端客户通过防火墙自带的 SSL VPN 连接分支网络,与总部 IPsec 建立隧道,服务器安装牧云节点,被总部管理。
- 总部:总部部署牧云做主机安全管理,集中管控公司服务器;部署 web 应用防火墙,对各业务系统进行防护;部署漏扫或购买漏扫服务,定期对公司的业务系统进行扫描;部署 5*8 全年网络安全监控,如有安全威胁,值班人员会在群里即时通知。
五、实施效果
通过上述方案的实施,该企业取得了显著的安全防护效果:
- 1、成功修复了畅捷通 T + 系统存在的各项漏洞,消除了 SQL 注入及敏感信息泄露带来的安全风险。
- 2、建立了完善的安全防护体系,有效提升了企业抵御网络攻击的能力,降低了类似文件加密等安全事件发生的概率。
- 3、实现了分支与总部的协同防护,保障了企业整体网络环境的安全稳定运行。
我司将继续为该企业提供专业的网络安全技术支持,助力其业务的持续健康发展。
港塔科技(杭州)有限责任公司创立于2021年7月,是浙江具有影响力的信息 安全集成商之一,为多家上市企业提供优质的信息安全产品及服务。多年来公 司始终以专业的技术服务为驱动,致力于协助用户数字化转型,为用户提供更 优质的安全服务,助力用户实现更大的成功。
加入我们
