近期，斯里兰卡政务云系统“兰卡政府云”（LGC）遭勒索病毒软件攻击，导致近四个月数据丢失！

报道显示，攻击开始后，“兰卡政府云”的服务和备份系统迅速被加密。系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。

据查发现：

• 斯里兰卡政务云系统所使用版本过于老旧，已不再维护

• 缺乏数据备份计划

综上，多种因素叠加，导致斯里兰卡政府云系统丢失了近4个月的数据。

新基建、数字中国、智慧城市..建设浪潮下，作为电子政务底座的政务云正愈发重要。然而，随着数字化建设走向深水区，电子政务的云环境日益复杂，政务云面临的信息安全问题也随之愈发突出：勒索病毒等网络攻击安全事件频频频发生，给政府公共服务和社会管理带来了极大挑战。

结合多年勒索病毒防御实践，英方总结发现，目前国内外防勒索灾备的整体方案设计大概可以总结为：防、隔、锁。

• 第一是防（安全防护）：访问管理/身份控制、漏洞检查、入侵检测系统 (IDS)/入侵防御系统。

• 第二是隔（网络隔离）：气隙隔离恢复环境 (IRE) 保护备份数据，实现干净恢复。

• 第三是锁（防篡改）：不可擦除的映像管理和存储；WORM介质、对象锁等技术。

具体到灾备领域而言，网络隔离是比较现行的办法。以英方联合昆腾打造的Air-Gap将数据隔离+完备的方案为例：

通过AIR Gap架构（网闸）构建独立的防勒索区域，在防勒索存储区中，有多个备份拷贝位于灾备一体机及磁带备份设备上，用户可以选择其中一个来还原关键数据。

在确保生产环境安全的前提下，通过验证后，我们可以通过本地备份将生产环境恢复到联机状态，或者仅恢复关键业务的基础架构。

在整个生产中心遭受攻击的情况下，首先需要分析攻击发生的时间点，并确定在攻击发生前创建的还原点。接着，将存储区中的备份基础架构连接至生产网络，创建临时恢复路径，实现存储区与生产网络的连接，为恢复做好准备。

△Air-Gap架构方案

△灾备一体机+磁带库的联合解决方案

1洁净区恢复（即时访问）

洁净区恢复可以作为一个单独的恢复流程，也可以作为更大规模恢复流程的一部分。此选项会利用CDM的即时访问功能，可以即时启动虚拟机并将其用于测试；该功能具有网络隔离能力，可以将启动的虚机副本放在一个隔离网络中使用。先启动副本虚机，验证数据干净有效；同时也可对未建立CDM副本的数据进行恢复验证，确保所有数据都干净有效，再进行规模恢复到生产环境。同时，也可对部分业务应急接管，在洁净区内使用。

2直接恢复

直接从防勒索存储区备份系统进行恢复，而不是将所有数据移至生产环境备份设备中再恢复。存储区中的灾备一体机将访问磁带备份设备上的数据，将数据集直接恢复到生产环境（注意，此选项还需要创建网络连接）。

3反向复制

这是适合站点级故障、最直接的恢复流程。该流程会恢复一个已知良好的完整备份，然后通过该备份还原应用程序。完成从防勒索存储区到生产区的恢复工作流之后，使用备份软件执行常规恢复流程。

4恢复正常运营

重新建立关键应用程序后，就可以断开临时恢复路径。确保所有存储区组件就绪，以恢复正常的日常存储区操作。

勒索病毒病毒性质恶劣、危害极大，一旦感染不仅会给企业带来大额赎金或者定制化的赎金、业务中断损失、数据恢复成本等直接经济损失，同时公司形象和声誉受损、客户流失、机密数据泄露等间接损失也将随之而来。

面对不断肆虐的勒索病毒，英方联合伙伴打造的基于“防、隔、锁”打造的解决方案，通过防访问、防篡改、数据保护和备份恢复等技术机制，有效解决勒索病毒的入侵问题。

如果仅是针对生产数据进行勒索加密，也可以通过英方定时备份i2Backup和实时备份i2CDP等进行保护，实现政务云、金融、医院、运营商、科研及企业等用户的数据安全。