奇安信：2022年上半年網絡安全應急響應分析報告（20頁）.pdf

1、 2022 年上半年 網絡安全應急響應 分析報告 奇安信安服團隊 2022 年 7 月 主要觀點 2022 年上半年，奇安信集團安服團隊共接到應急服務需求 479 起。政府部門、醫療衛生行業和事業單位的業務專網是 2022 年上半年攻擊者攻擊的主要目標。2022 年上半年，僅有不到五分之一的政企機構通過安全運營巡檢發現攻擊事件。有77%的企業是在已經發生重大安全事故后才尋求應急響應，但此時往往已對機構造成了一定的影響和重大的損失。2022 年上半年，由于木馬病毒攻擊導致服務器、數據庫失陷的應急響應事件近半，大中型政企機構應更清楚地認識到木馬病毒對我們的服務器、數據庫所造成的嚴重損害，加強內部網

2、絡安全建設，針對多變種勒索病毒、挖礦木馬以及隨時可能出現的新型病毒制定完善的應急方案和安全防護措施，將應急響應常態化。2022 年上半年應急響應安全事件中，除病毒攻擊和木馬攻擊外，攻擊者利用漏洞攻擊主機、服務器的事件占比近三分之一。弱口令、永恒之藍漏洞和服務器漏洞等常規漏洞成為攻擊者攻擊的主要突破口，這往往也最容易被大中型政企機構忽視。2022 年上半年，近五分之一的應急響應安全事件是由于企業內部違規操作導致的。員工為方便工作，使用弱口令、高危端口暴露公網等導致勒索病毒蔓延、數據泄露甚至服務器失陷的事件屢見不鮮。由此可見，大中型政企機構加大力度提升內部員工網絡安全防范意識至關重要。摘 要 20

3、22 年上半年奇安信集團安服團隊共參與和處置了全國范圍內 479 起網絡安全應急響應事件。2022 年上半年應急響應處置事件行業 TOP3 分別為：政府部門（103 起）、醫療衛生行業（55 起）以及事業單位（42 起），事件處置數分別占應急處置所有行業的 21.5%、11.5%、8.8%。2022 年上半年奇安信安服團隊參與處置的所有大中型政企機構的網絡安全應急響應事件中，由行業單位自行發現的安全攻擊事件占 95.4%，其中有 43.6%的政企機構是在遭受勒索攻擊后才發現系統被攻擊；而另有 4.6%的安全攻擊事件則是由監管機構及第三方平臺通報得知。2022 年上半年應急響應事件的影響范圍主要

4、集中在業務專網，占比 63.5%；辦公網占比 36.5%。2022 年上半年應急響應事件中，攻擊者對系統的攻擊所產生的影響主要表現為生產效率低下、數據丟失、數據泄露。2022 年上半年應急響應事件中，黑產活動、敲詐勒索仍然是攻擊者攻擊大中型政企機構的主要原因。2022 年上半年大中型政企機構安全事件攻擊類型，排名前三的類型分別是：惡意程序，占比 42.2%；漏洞利用，占比 30.7%；釣魚郵件，占比 6.1%。2022 年上半年應急響應事件中，弱口令、永恒之藍漏洞仍是大中型政企機構被攻陷的重要原因。本報告所有分析數據來源于奇安信安服上半年的 479 次應急響應數據整理，可能存在一定的局限性，報

5、告結論和觀點僅供用戶參考。關鍵詞：關鍵詞：應急響應、安全服務、弱口令、敲詐勒索、漏洞利用 目 錄 第一章第一章 20222022 年上半年應急年上半年應急.1 第二章第二章 應急響應事件受害者分析應急響應事件受害者分析.2 一、行業現狀分析.2 二、事件發現分析.2 三、影響范圍分析.3 四、攻擊影響分析.4 第三章第三章 應急響應事件攻擊者分析應急響應事件攻擊者分析.5 一、攻擊意圖分析.5 二、攻擊類型分析.5 三、惡意程序分析.6 四、漏洞利用分析.7 第四章第四章 應急響應典型案例分析應急響應典型案例分析.9 一、交通運輸行業某客戶遭遇惡意郵件傳播應急事件處置.9 二、互聯網行業某客戶

6、感染 Hive 勒索病毒應急事件處置.10 三、某科研機構員工被社工攻擊，致現場多臺服務器失陷應急事件處置 11 四、政府單位某客戶感染僵尸網絡病毒應急事件處置.12 五、運營商行業某客戶惡意外連應急事件處置.14 附錄附錄 1 1 奇安奇安信集團安服團隊信集團安服團隊.16 奇安信集團 第 1 頁，共 16 頁 第一章 2022 年上半年應急 2022 年 1-6 月，奇安信集團安服團隊共參與和處置了全國范圍內 479 起網絡安全應急響應事件，第一時間協助政企機構處理安全事故，確保了政企機構門戶網站、數據庫和重要業務系統的持續安全穩定運行。20222022 年年上半年上半年應急響應服務月度統

7、計情況具體如下：應急響應服務月度統計情況具體如下：2022 年上半年，奇安信安服共處置應急響應事件 479 起，投入工時為 3844.6 小時，折合 480.6 人天。奇安信集團 第 2 頁，共 16 頁 第二章 應急響應事件受害者分析 為進一步提高大中型政企機構對突發安全事件的認識和處置能力，增強政企機構安全防護意識，對 2022 年上半年處置的所有應急響應事件從被攻擊角度、受害者行業分布、攻擊事件發現方式、影響范圍以及攻擊行為造成的影響幾方面進行統計分析，呈現上半年政企機構內部網絡安全現狀。一、行業現狀分析 2022 年上半年應急響應處置事件 TOP3 的行業分別為，政府部門（103 起）

8、、醫療衛生行業（55 起）、事業單位（42 起），事件處置數分別占 2022 年上半年應急處置事件的21.5%、11.5%、8.8%。大中型政企機構應急響應行業分布 TOP10 詳見下圖：從行業排名可知，2022 年上半年攻擊者的攻擊對象主要分布于政府部門、醫療衛生行業和事業單位。二、事件發現分析 2022 年上半年奇安信安服團隊參與處置的所有政企機構網絡安全應急響應事件中，由行業單位自行發現的攻擊事件占 95.4%，其中被攻擊者勒索后發現的攻擊占 43.6%，發現入侵跡象的事件占比 33.4%，安全運營巡檢發現的事件占比 18.4%。另有 4.6%的攻擊事件政企機構是在得到了監管機構及第三方

9、平臺的通報后，才得知自己已被攻擊。奇安信集團 第 3 頁，共 16 頁 三、影響范圍分析 2022 年上半年應急響應事件的影響范圍主要集中在業務專網，占比 63.5%；其次為辦公網，占比 36.5%。根據受影響區域分布對受影響設備數量進行了統計，2022 年上半年失陷的設備中，6579 臺服務器受到影響，2235 臺辦公終端被攻陷。2022 年上半年大中型政企機構遭受攻擊影響范圍如下圖所示。本文中辦公網指企業員工使用的臺式機/筆記本電腦、打印機等設備，而業務專網泛指機構整體運行與對外支撐所需要的各種網絡系統。從影響范圍和受影響設備數量可以看出，大中型政企機構的業務專網、服務器為攻擊者攻擊的主要

10、目標。大中型政企機構在對業務專網進行安全防護建設的同時，還應提高內部人員安全防 奇安信集團 第 4 頁，共 16 頁 范意識，加強對內網中辦公終端、重要服務器的安全防護保障和數據安全管理。四、攻擊影響分析 2022 年上半年，從大中型政企機構遭受攻擊產生的影響來看，攻擊者對系統的攻擊所產生的影響主要表現為生產效率低下、數據丟失、數據泄露等。下圖為大中型政企機構遭受攻擊后的影響分布。在上述數據中，有 227 起應急響應事件導致生產效率低下，占比 47.4%，攻擊者主要通過挖礦、蠕蟲、木馬等攻擊手段使服務器 CPU 占用率異常高，造成生產效率降低。有 119 起應急響應事件導致數據丟失，占比 24

11、.8%，攻擊者通過對大中型政企機構重要服務器及數據庫進行攻擊，導致數據被破壞或丟失。33 起應急響應事件導致數據泄露，占比 6.9%，泄露途徑主要是攻擊者入侵政企內部系統獲取企業敏感信息或通過企業內自身系統泄露，對企業可能造成巨大的經濟損失。同時，數據篡改和聲譽影響等也是政企機構被攻擊后產生的結果，同樣會造成非常嚴重的后果。奇安信集團 第 5 頁，共 16 頁 第三章 應急響應事件攻擊者分析 應急響應事件攻擊者分析以 2022 年上半年大中型政企機構所有應急數據為支撐，從攻擊者角度對攻擊者攻擊意圖、攻擊類型、攻擊者常用惡意程序以及常見漏洞利用方式進行分析，為各政企機構建立安全防護體系、制定應急

12、響應處置方案提供參考依據。一、攻擊意圖分析 在 2022 年上半年的應急響應事件中，攻擊者攻擊意圖主要為黑產活動、敲詐勒索、內部違規、竊取重要數據和宣泄不滿等。在2022年上半年應急響應事件中，127起事件的攻擊原因為黑產活動，占比26.5%，攻擊者通過黑詞黑鏈、釣魚頁面、挖礦程序等攻擊手段開展黑產活動牟取暴利。122 起事件的攻擊原因為敲詐勒索，占比 25.5%，攻擊者利用勒索病毒感染政府機構、大中型企業終端、服務器，對其實施敲詐勒索。對于大部分攻擊者而言，其進行攻擊的主要原因是為獲取暴利，獲取自身利益。在 119 起內部違規事件中，內部人員為了方便工作或出于其他原因將內部業務端口映射至外網

13、的違規操作需要引起大中型企業的重視。二、攻擊類型分析 通過對 2022 年上半年大中型政企機構安全事件攻擊類型進行分析，排名前三的類型分別是：惡意程序占比 42.2%；漏洞利用占比 30.7%；釣魚郵件占比 6.1%。在惡意程序中，木馬攻擊（非蠕蟲病毒）占比 64.4%，蠕蟲病毒攻擊占比 35.6%。奇安信集團 第 6 頁，共 16 頁 蠕蟲病毒和木馬，由于傳播速度快、感染性強等特征成為最受攻擊者青睞的攻擊手段，攻擊者利用病毒、木馬對辦公系統進行攻擊，通常會產生大范圍感染，造成系統不可用、數據損壞或丟失等現象。漏洞利用則是攻擊者利用政企機構網絡安全建設不完善的弊端，使用常見系統漏洞、Web 漏

14、洞等，對服務器進行的破壞性攻擊，通常會導致重要數據丟失、泄露、內部投毒、敲詐勒索等嚴重后果。除此之外，釣魚郵件、網頁篡改、網絡監聽攻擊等也是較為常見的攻擊類型。因此，大中型政企機構應做好員工安全意識培訓工作，定期內部巡檢，及時發現威脅并有效遏制。三、惡意程序分析 在 2022 年上半年，大中型政企機構遭受攻擊惡意程序類型，占比較多的木馬病毒分別為勒索病毒總占比 29.4%，一般木馬占比 19.6%，以及挖礦木馬占比 19.4%。奇安信集團 第 7 頁，共 16 頁 表 1 遭受攻擊勒索軟件類型 TOP10 勒索軟件名稱勒索軟件名稱 應急次數應急次數 Phobos 勒索軟件 26 Makop 勒

15、索軟件 10 Buran 勒索軟件 8 Magniber 勒索軟件 6 Tellyouthepass 勒索軟件 5 LockBit 勒索軟件 5 Wannacry 勒索軟件 4 BeijingCrypt 勒索軟件 4 Hive 勒索軟件 2 Sodinokibi 勒索軟件 2 2022 年上半年最常見的勒索病毒是 Phobos 勒索病毒、Makop 勒索病毒、Buran 勒索病毒、Magniber 勒索病毒。大中型政企機構應更清楚地認識到木馬病毒對我們的服務器、數據庫所造成的嚴重損害，加強內部網絡安全建設，針對多變種勒索病毒、挖礦木馬以及隨時可能出現的新型病毒制定完善的應急方案和安全防護措施，

16、將應急響應常態化。四、漏洞利用分析 奇安信集團 第 8 頁，共 16 頁 在 2022 年上半年應急響應事件攻擊類型中，對漏洞利用部分進行統計分析，發現弱口令、永恒之藍漏洞是大中型政企機構被攻陷的重要原因；其次，服務器漏洞、任意文件上傳和服務器配置不當也經常作為攻擊者利用的方式（其中，在單起網絡安全事件中，存在多個弱點的情況）。弱口令、永恒之藍漏洞需要引起政企機構關注，全面的安全管理策略、內部漏洞檢測和日常修復動作不容忽視。除弱口令、永恒之藍漏洞、服務器漏洞及任意文件上傳外，服務器配置不當也是攻擊者最常利用的漏洞，攻擊者通過利用某一漏洞入侵系統，傳播病毒，獲取重要數據以達到敲詐勒索、牟取暴利等

17、意圖。政企機構應加大內部巡檢力度，定期對設備、終端進行漏洞掃描、修復。定期更換服務器、終端登錄密碼，加大密碼復雜度。奇安信集團 第 9 頁，共 16 頁 第四章 應急響應典型案例分析 2022 年上半年奇安信安全服務團隊共接到全國各地應急求助 479 起，涉及全國 31 個?。ㄗ灾螀^、直轄市）、2 個特別行政區，20 余個行業，包括大中型政企機構、醫療衛生、事業單位等。發生的安全事件包括各種變種勒索病毒、挖礦木馬、漏洞利用等不同事件類型，均不同程度地給大中型政企機構帶來經濟損失和惡性的社會影響。下面介紹 5 起 2022 年上半年典型的網絡安全事件。一、交通運輸行業某客戶遭遇惡意郵件傳播應急事

18、件處置(一)事件概述 2022 年 1 月，奇安信安服團隊接到交通運輸行業某客戶應急響應求助，公司 Exchange 服務器出現發送惡意郵件行為，希望對該事件進行分析排查處理。應急人員抵達現場后對部署在外網的 Exchange 服務器進行排查，根據發送失敗的惡意郵件內容，成功定位攻擊源 IP（x.x.x.114），通過威脅情報查詢確認 IP（x.x.x.114）為惡意 IP。應急人員對 Exchange 服務器的 IIS 日志進行分析發現，存在大量 ProxyShell 漏洞（CVE-2021-34473、CVE-2021-31207、CVE-2021-34523）利用痕跡，繼續跟蹤發現，存在

19、 SSRF 漏洞探測并利用成功記錄。攻擊者通過 SSRF 漏洞獲取用戶信息后，利用 ProxyShell 漏洞上傳 Webshell木馬獲取 Exchange 服務器權限，從而向其他郵箱賬戶發送大量惡意郵件。經過一系列排查分析，應急人員確認本次事件是由于客戶部署在外網的 Exchange 服務器存在 SSRF 漏洞，且未安裝 ProxyShell 漏洞相關補丁，從而被攻擊者利用，造成本次事件的發生。奇安信集團 第 10 頁，共 16 頁(二)防護建議 1)及時對服務器安裝漏洞補丁，部署服務器安全防護系統；2)郵件系統等高價值系統不要對外網開放，建議使用 VPN，如業務需要開放外網則建議部署云

20、WAF；3)建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；4)不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊，建議部署郵件威脅檢測設備，有效檢測釣魚郵件、病毒郵件；5)加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。二、互聯網行業某客戶感染 Hive 勒索病毒應急事件處置(一)事件概述 2022 年 2 月，奇安信應急響應團隊接到互聯網行業某客戶求助，公司內網近百臺機器感染勒索病毒，重要數據被加密，客戶希望對受害機器進行排查，并溯源入侵途徑。應急人員根據被加密文件后綴、勒索

21、信等內容，確認客戶感染 Hive 勒索病毒，暫時無法解密。通過查看現場終端防護設備及流量監測設備告警，應急人員確認攻擊者通過域內下發文件的方式，利用域控服務器 D（x.x.x.208）向內網機器下發勒索病毒母體程序 123.exe。應急人員分析現場流量監測設備告警發現，主機 A（x.x.x.60）為內網首臺失陷機器，攻擊者在獲取主機 A（x.x.x.60）權限后，通過 445 端口上傳遠控木馬文件和端口掃描工具至主機B（x.x.x.44），而后又利用主機 B（x.x.x.44）通過 SMB 暴破方式獲取域控服務器 C（x.x.x.52）權限，最終再次利用 SMB 暴破方式成功登錄域控服務器 D

22、（x.x.x.208），并且域控服務器 C、D中均未安裝域服務權限提升漏洞（CVE-2021-42287）的相關安全補丁。經過一系列排查分析，應急人員確認本次事件因主機 A 使用者從非官方渠道下載攜帶木馬的惡意軟件，從而被攻擊者利用，最終通過域控服務器 D（x.x.x.208）向內網機器下發 Hive 勒索病毒文件，導致內網近百臺機器被加密。奇安信集團 第 11 頁，共 16 頁 (二)防護建議 1)建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口（如 3389、445、139、135 等）、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵；2)系統、

23、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；3)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；4)建議安裝防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器病毒預防、抑制及清除能力。三、某科研機構員工被社工攻擊，致現場多臺服務器失陷應急事件處置(一)事件概述 2022 年 4 月，奇安信應急響應團隊接到客戶請求，客戶內網服務器出現橫向掃描現象，希望對該情況進行排查溯源。應急人員到達客戶現場，對多

24、臺受害機器日志進行排查，定位到首臺對內網發起掃描的終端 A（x.x.71.184）。查看現場終端防護軟件日志發現，事發當天存在多條終端 A（x.x.71.184）訪問木馬文件被禁止的記錄，并且事發當天 10：25，終端 A（x.x.71.184）使用者曾手動將木馬文件加入白名單。隨后應急人員與終端 A（x.x.71.184）使用者溝通了解到，日志記錄中訪問的木馬文件為一名自稱“某企業 HR”的人員通過微信發送，因被終端防護軟件攔截，故終端 A（x.x.71.184）使用者手動將此文件加入了白名單。經過一系列分析，應急人員確認本次安全事件是由于客戶員工安全意識薄弱，誤點擊攻擊 奇安信集團 第 1

25、2 頁，共 16 頁 者發送的釣魚文件，并且客戶內網大量機器開放 SSH 端口且使用弱口令，最終導致攻擊者利用內網橫向掃描暴破，成功獲取客戶內網 60+臺服務器、30+臺打印機、10+臺數據庫及 1 臺終端的權限。(二)防護建議 1)加強人員安全意識培養，對意外收到的或來自未知發件人的電子郵件或文件，不要按照文字中的說明進行操作，不要打開任何附件，也不要點擊任何鏈接；2)系統、應用相關的用戶杜絕使用弱口令，同時，應該使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；3)建議部署全流量監測設備，及時發現惡意網絡流量，同時可進一步加強

26、追蹤溯源能力，對安全事件發生時可提供可靠的追溯依據；4)有效加強訪問控制 ACL 策略，細化策略粒度，按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問，采用白名單機制只允許開放特定的業務必要端口，其他端口一律禁止訪問，僅管理員 IP 可對管理端口進行訪問，如 FTP、數據庫服務、遠程桌面等管理端口。四、政府單位某客戶感染僵尸網絡病毒應急事件處置(一)事件概述 2022 年 4 月，奇安信應急響應團隊接到政府單位某客戶求助，公司內網機器感染僵尸網絡病毒，持續對外發起連接，客戶希望對受害機器進行排查，并溯源入侵途徑。應急人員對現場防火墻設備進行排查發現，主機 A（x.x.x.36）持續與 C2

27、 服務器（47.242.64.95）建立通訊。對主機 A（x.x.x.36）進行系統排查，成功定位到發起外連的 奇安信集團 第 13 頁，共 16 頁 sAep.exe 及 eAup.exe、tp.exe、desktop.ini 等多個 Blackmoon 僵尸網絡病毒文件。應急人員對病毒文件逐一進行分析發現，病毒文件 eAup.exe 的流量特征為外連惡意地址154.22.121.18:7788 下載并執行病毒文件 tp.exe、desktop.ini。其中 tp.exe 運行后會加載desktop.ini 中的配置信息，將瀏覽器主頁篡改成域名為 i2678.cc 的釣魚網站，當主機 A（x

28、.x.x.36）使用者打開瀏覽器訪問該釣魚網站后，主機A就會自動外連惡意地址103.142.8.82并下載病毒后門文件 sAep.exe 至本地。繼續分析發現，sAep.exe 功能為與 C2 服務器（47.242.64.95）建立連接，并定期自啟動確保連接正常，使攻擊者達到長期控制目的。最終，經過調研分析，應急人員確認本次事件因主機 A 使用者安全意識不足，違規使用了攜帶病毒的 U 盤，致使主機 A（x.x.x.36）感染 Blackmoon 僵尸網絡病毒，從而導致本次外連事件發生。(二)防護建議 1)建議部署病毒防護軟件，對移動存儲設備進行查殺，在確定無病毒的情況下，再進行其他操作；2)非

29、業務需要，禁止未授權移動存儲設備接入主機，應使用白名單的方式只允許可信任移動存儲設備接入；3)禁止服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用 奇安信集團 第 14 頁，共 16 頁 白名單的方式，在出口防火墻加入相關策略，對主動連接 IP 范圍進行限制；4)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；5)建議安裝防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器病毒預防、抑制及清除能力。五、運營商行業某客戶惡意外連應急事件處置(一)事件概述 2022 年 5 月，

30、奇安信安服團隊接到運營商某客戶應急響應求助，公司內網服務器對境外 IP發起外連，希望對發起外連的服務器進行排查溯源處理。應急人員抵達現場后對發起外連的服務器進行查看發現，服務器（x.x.x.210）外連惡意 IP（x.x.x.151）。對服務器（x.x.x.210）進行系統排查發現，該服務器為銳捷 eg 網關服務器，網關后臺登錄頁面端口 4430 對公網開放，并存在遠程命令執行漏洞。應急人員對服務器（x.x.x.210）日志進行分析發現，攻擊者利用遠程命令執行漏洞執行惡意命令，使服務器（x.x.x.210）外連惡意 IP（x.x.x.151）下載后門文件 guestIsUp.php 至本地。隨

31、后，攻擊者利用后門文件 guestIsUp.php 成功獲取服務器（x.x.x.210）權限，并以服務器（x.x.x.210）為跳板對內網其他主機進行橫向攻擊，但均未成功。最終，應急人員確認由于客戶處部署的銳捷 eg 網關后臺登錄頁面端口 4430 對公網開放并存在遠程命令執行漏洞，攻擊者利用該漏洞執行惡意命令下載后門文件，從而導致本次外連事件發生。奇安信集團 第 15 頁，共 16 頁 (二)防護建議 1)禁止服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用白名單的方式，在出口防火墻加入相關策略，對主動連接 IP 范圍進行限制；2)有效加強訪問控制 ACL 策略，細化策

32、略粒度，按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問，采用白名單機制只允許開放特定的業務必要端口，其他端口一律禁止訪問，僅管理員 IP 可對管理端口進行訪問；3)部署網絡流量監測產品，及時發現惡意網絡流量，通過流量監測非法外連的連接情況，對安全事件發生時可提供可靠的追溯依據；4)建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；5)加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。奇安信集團 第 16 頁，共 16 頁 附錄 1 奇安信集團安服團隊 奇安信是北京 2022 年冬奧

33、會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商，作為中國領先的網絡安全品牌，奇安信多次承擔國家級的重大活動網絡安全保障工作，創建了穩定可靠的網絡安全服務體系全維度管控、全網絡防護、全天候運行、全領域覆蓋、全兵種協同、全線索閉環。奇安信安全服務以攻防技術為核心，聚焦威脅檢測和響應，通過提供咨詢規劃、威脅檢測、攻防演習、持續響應、預警通告、安全運營等一系列實戰化的服務，在云端安全大數據的支撐下，為客戶提供全周期的安全保障服務。應急響應服務致力于成為“網絡安全 120”。自 2016 年以來，奇安信已積累了豐富的應急響應實踐經驗，應急響應業務覆蓋了全國 31 個?。ㄗ灾螀^、直轄市），2 個特別行政區，處置政企機構網絡安全應急響應事件近四千起，累計投入工時 40000 多個小時，為全國超過兩千家政企機構解決網絡安全問題。奇安信還推出了應急響應訓練營服務，將一線積累的豐富應急響應實踐經驗面向廣大政企機構進行網絡安全培訓和賦能，幫助政企機構的安全管理者、安全運營人員、工程師等不同層級的人群提高網絡安全應急響應的能力和技術水平。奇安信正在用專業的技術能力保障著企業用戶的網絡安全，最大程度地減少了網絡安全事件所帶來的經濟損失，并降低了網絡安全事件造成的社會負面影響。應急響應 724 小時熱線電話：95015。