当前位置：首页 > 无 > 正文

【行业践行-制造】高精制造：数据安全和反勒索

发布时间：2025-08-01 13:11分类：无浏览：18评论：0

导读：瑞数信息全新案例集，深度解析瑞数信息在金融、运营商、政府、教育、能源等行业的实际应用案例，涵盖API、APP、信创、WAAP、薅羊毛、反爬虫等多场景解决方案。以自主研发的动态安全技...

瑞数信息全新案例集，深度解析瑞数信息在金融、运营商、政府、教育、能源等行业的实际应用案例，涵盖API、APP、信创、WAAP、薅羊毛、反爬虫等多场景解决方案。

以自主研发的动态安全技术和Bot防护能力为核心，瑞数信息持续分享在复杂安全环境下的实战经验，助力更多客户有效应对各类安全挑战。为企业构建全面的安全防护提供实践参考，为用户在网络安全时代的防护能力带来新的启发与保障。

行业：制造

案例名称：

高精制造：数据安全和反勒索

* 2024年鑫智奖“网络与数据安全创新优秀解决方案”

* 2024年上海市网络安全产业创新大会·数据安全优秀案例

* 第四届数字安全大会·2024年度数字安全十佳案例

背景/面临的挑战

由于数据对企业的价值越来越高，数据已经成为勒索病毒主要的攻击目标。随着勒索软件的攻击手段越来越复杂，防御措施也受到了更大挑战。

传统的安全防御一般将重心放在网络边界和应用、主机侧，它们的作用是防止勒索软件入侵、阻断勒索软件扩散。然而，新型勒索软件具有很高的隐蔽性和伪装性，一旦进入网络/主机层后，往往攻击者会潜伏很长时间，在获取更高的权限并掌握大量关键数据后才会发起勒索，此时网络/主机层往往已经无法阻止勒索攻击。

传统的灾备系统已无法满足勒索软件攻击场景下的安全需求，由于传统灾备定期对全量数据进行备份，一方面不能完全识别备份数据是否健康、是否可恢复、是否完整，一旦原始数据被感染，灾备数据同样会被感染，导致数据无法使用；另一方面，备份数据量巨大，恢复周期漫长，无法保证业务的连续性。

某制造行业企业面临的困境和需求：

企业的ERP系统为方便与合作伙伴协同工作，部署于两个不同的数据中心，互为灾备；

已有WAF防护，但勒索软件仍成功利用了该ERP系统上的一个SQL注入漏洞进行攻击，成功加密该系统上数据库的数据；

勒索软件发动攻击后，虽然有两套生产系统做灾备，但因为灾备站点的数据是实时同步的，所以两个站点都同时失效了。

解决方案

瑞数数据安全检测与应急响应系统（River DDR）以数据安全底座为支撑，提供创新的离线智能深度检测技术、智能快速恢复技术，通过动态隔离、安全存储、变动追溯、数据沙箱和快速恢复构筑的纵深防御体系，通过“事前数据风险管理+事中智能威胁感知+事后快速应急响应”三道防线，有效对抗勒索病毒攻击，协助企业在数分钟内恢复系统的正常运行。

方案特点

数据安全管理底座

瑞数数据安全检测与应急响应系统（River DDR）数据安全管理底座，主要实现对生产数据备份、备份数据的安全存放和管理、搭建安全检测环境的数据沙箱并为上层安全检查功能提供数据、快速恢复等能力。主要功能：

永久增量数据获取功能：数据安全检测需要消耗大量的资源，因此不能直接在生产上进行检测，利用在离线数据检测的方式来检查生产是否被感染。同时为了减少对生产的影响，采用永久增量+增量合成的方式实现离线数据的获取。

安全存储功能：恢复数据应具备不可变特性，从而确保恢复数据不会被加密、修改。

变动追溯功能：在恢复数据内，识别出当日生产的增删改数据，减少安全检测的数据量，以减少检测的时间。

数据沙箱功能：为恢复数据提供沙箱功能，以确保已经被感染恢复数据不影响其他生产系统，并在得到清理后，才进行恢复。

快速恢复功能：无论数据量的大小，数据恢复时间都应该在分钟级，以确保被加密数据的恢复时间在业务可承受的范围之内。

人工智能安全检测引擎

由于业务层面很多时候无法感知勒索已经发生，因此利用AI人工智能技术，能判断数据是否被勒索加密，并实现对每天恢复数据增量部分的深度检查。AI人工智能安全检测引擎将与数据安全管理底座进行联动，实现初次全量的健康检查、日常数据增量部分的深度检查、重点表的异动监控等等，并通过实时告警通知服务层。

服务层

服务层面向实际场景的操作和使用，对应勒索攻击的事前、事中、事后提供具体使用功能：

事前服务：对全量离线数据进行安全扫描，以确保生产数据在当前状态的健康性。通过数据的分类分级，确定需要进行保护的数据，并通过策略设置安全检测的频率。

事中服务：根据策略，自动发起安全检测，日常检测基于每日获取的增量数据，缩短数据获取和安全检测的时间。

事后服务：检测出勒索行为时，自动告警，并建议可恢复的健康数据，在恢复时，提供快速恢复能力。

方案优势

主动防御

帮助用户摆脱无法掌握数据资产分布以及数据安全威胁不可见的窘境。

防勒索软件攻击

避免大量数据被加密后，才发现已经长时间被勒索软件攻击。

数据安全预警

建立数据安全预警能力，避免被黑客威胁后，才发现大量数据被窃取。

保护备份数据

隔离备份数据，防止勒索软件、黑客或内部人员删除或破坏备份数据。

持续验证备份数据

持续验证备份数据的可用性，避免在应急时，才发现备份数据不可用，无法进行恢复。

缩短业务中断时间

防止数据恢复进程过于漫长，缩短业务中断时间。

实际效果

部署瑞数数据安全检测与应急响应系统（River DDR）后不到半个月，系统检测到大量新增数据存在异常。经过调查后发现是勒索软件在上次攻击的过程中，在ERP系统留下了后门，勒索软件利用该后门，再次对数据库进行了加密；完成调查后，数据安全检测与应急响应系统在不到30分钟的时间里，就协助该企业的ERP系统快速修复被加密的数据并重新上线

瑞数数据安全检测与应急响应系统（River DDR）同时也检测到ERP系统中，部分供应商的银行账户信息遭到异常修改，即时进行修正，避免了该企业将货款转账到黑客指定账号的可能损失与风险。

END