致方天ERP用户的安全警示函：保障系统安全刻不容缓

尊敬的方天ERP用户：

近期，全球范围内勒索病毒攻击事件频发，攻击手段持续升级，精准性与破坏性显著增强，尤其针对企业核心业务系统的攻击案例大幅增长。方天ERP系统作为支撑企业生产、财务、供应链等核心业务的关键枢纽，存储着企业最敏感的经营数据，已成为勒索病毒攻击的重点目标。为帮助各位用户充分认知风险、有效防范并妥善处置此类安全事件，保障业务连续性与数据安全，我们特此发布本警示函，详细说明勒索病毒的危害及针对性处理方案。

一、勒索病毒针对方天ERP用户的核心危害

勒索病毒通过加密系统文件、窃取敏感数据等方式实施攻击，对方天ERP用户而言，将引发多维度、连锁式损失，具体如下：

1.   核心业务中断，生产经营停滞：ERP系统被攻击后，生产计划、订单管理、库存台账、财务核算等核心模块将无法正常运行，加密的生产图纸、采购合同、财务凭证等关键数据无法访问，直接导致生产线停摆、订单交付延误、财务结算中断，给企业带来巨额经济损失。近期东莞某五金模具厂因核心图纸被加密，已出现全员停工的严重情况，此类风险对制造型企业尤为致命。

2.   敏感数据泄露，引发合规与声誉危机：当前主流勒索病毒均采用“加密+窃密”的双重勒索模式，黑客会窃取ERP系统中的客户信息、商业机密、财务数据等敏感内容，若企业拒绝支付赎金，将公开泄露数据。这不仅会侵犯客户权益，违反《网络安全法》《数据安全法》等法律法规，还会严重损毁企业声誉，导致客户流失、合作终止等长期负面影响。

3.   系统彻底受损，恢复成本高昂：部分勒索病毒会破坏系统底层架构，删除卷影副本与系统备份，即便企业支付赎金，也无法保证数据完整恢复（恢复成功率不足30%）。若缺乏有效备份，企业需承担系统重建、数据补录的高额成本，部分历史数据可能永久丢失，对业务长期发展造成不可逆影响。

4.   供应链连锁影响，扩大损失范围：方天ERP系统常与上下游合作伙伴的信息系统互联互通，一旦某一企业被感染，病毒可能通过供应链网络横向扩散，不仅影响自身，还会牵连供应商、客户等关联主体，引发行业性安全风险，进一步放大损失。

二、方天ERP用户专属安全防护与应急处理方案

结合方天ERP系统的部署特点（含本地部署、混合部署等）及勒索病毒攻击规律，我们为您制定了“预防为先、快速响应、科学处置”的全流程方案，涵盖日常防护与感染后应急两大核心环节：

（一）日常防护措施（构建纵深防御体系）

1.   强化系统本身安全配置：

①   及时更新补丁与版本，强制修复高危漏洞：请立即核查并更新方天ERP系统的最新安全补丁，同时确保服务器操作系统（Windows Server、Linux等）、数据库软件及配套组件（如VPN、文件服务器）均为最新安全版本；重点修复EternalBlue（永恒之蓝）等已知高危漏洞，以及CentreStack、RDP/SMB等易被利用的漏洞，从源头封堵攻击入口。

②   严格管控访问权限：遵循“最小权限原则”配置ERP系统用户权限，仅为各岗位分配必要的操作权限，杜绝超授权访问；禁用长期闲置账号，对管理员等高危账号启用多因素认证（MFA），定期（建议每月）轮换密码，密码需满足复杂度要求（含大小写字母、数字、特殊符号）。

③   规范外网访问配置：若需外网访问ERP系统，务必通过加密VPN通道实现，禁止直接暴露ERP服务器公网IP；在防火墙中严格限制访问来源，仅允许授权IP地址访问相关端口（如80、443端口），并配置安全组规则过滤恶意流量。

2.   筑牢数据备份防线：

严格执行“3-2-1备份原则”保障ERP数据安全：具体为至少保留3份数据副本，存储在2种不同介质（如硬盘+云存储）中，其中1份必须为离线/异地存储（与生产网物理隔离）；备份频率建议为“每日增量备份+每周全量备份”，定期（建议每月）演练备份恢复流程，确保备份数据完整可用，避免因备份失效导致无法恢复。

3.   强化网络防护与部署零信任架构：

①   部署多层级安全设备：在ERP服务器前端部署防火墙、入侵检测/防护系统（IDS/IPS），实时监控异常流量；为所有终端（含员工电脑、车间终端）部署终端检测与响应（EDR）工具，开启勒索病毒专项防护功能，拦截恶意进程与文件加密行为。②   部署零信任架构：建议采用如芯盾时代等成熟的零信任解决方案，以“身份”为核心构建访问控制体系，实现最小权限访问与持续验证，有效阻断病毒在内网的横向移动，提升整体安全防护等级。

②   禁用不必要的服务与高危端口：重点关闭ERP服务器及终端上的445、139、135等高危端口，尤其在未及时打补丁的Windows系统上，需优先完成端口封堵；同时关闭不必要的RDP等服务，避免被黑客利用漏洞扫描入侵。

4.   提升人员安全意识：

定期开展员工安全意识培训：重点围绕防范钓鱼邮件、恶意附件开展专项培训，提醒员工警惕伪装成“ERP系统升级通知”“订单确认函”等形式的钓鱼内容，不点击不明链接、不打开可疑文件、不安装来源不明的软件安装包；严禁在ERP终端上访问非法网站，发现异常弹窗或系统提示立即上报IT部门，杜绝人为疏忽引发的攻击。

（二）感染后应急处置流程（黄金响应步骤）

若发现ERP系统出现文件加密、弹出勒索提示、业务异常等情况，需立即启动应急响应计划，牢记30分钟“黄金救援期”，快速执行以下流程，最大限度降低损失：

1.   第一时间隔离，阻断扩散：

①   立即断开感染设备的网络连接，包括拔掉网线、禁用无线网卡，若为ERP服务器感染，需在防火墙中封禁其IP地址，或通过VLAN隔离受感染网段，防止病毒向其他终端、服务器扩散。

②   暂停感染设备上的ERP用户账号权限，冻结相关业务流程，避免攻击者利用账号进一步操作或窃取数据。

2.   留存证据，精准溯源：

①   保留完整攻击证据，包括勒索信截图、加密文件样本、系统日志（Windows事件日志、ERP操作日志）、防火墙流量日志等，切勿删除或修改任何可疑文件，为后续溯源与处置提供依据。

②   立即联系方天ERP技术支持团队及专业IT安全厂商，协助分析攻击路径（如是否通过钓鱼邮件、漏洞利用或弱密码爆破入侵），确定病毒变种类型（如Clop、Qilin等），为后续处置提供技术支撑。

3.   科学恢复，拒绝赎金：

①   优先通过备份恢复：核查离线备份的完整性，在隔离环境中测试恢复流程，确认无安全风险后，先恢复ERP核心数据库及关键业务数据，再逐步恢复系统功能，恢复完成后需重新部署安全策略，再接入网络。

②   坚决不建议支付赎金：支付赎金不仅无法保证数据完整解密，还会将企业标记为“软目标”，招致二次攻击，同时可能涉及法律风险。若备份失效，可向公安机关报案（拨打110或联系当地网安部门），并寻求国家计算机病毒应急处理中心等官方机构的帮助，查询是否有对应病毒的公开解密工具。

4.   合规上报，全面加固：

①   若涉及敏感数据泄露，需按照《网络安全法》《数据安全法》等法律法规要求，及时向监管部门上报，并履行对受影响客户的告知义务，避免因合规问题引发额外风险。

②   事件处置完成后，全面排查ERP系统及关联网络的安全隐患，修补所有漏洞，升级安全防护设备规则，完善权限管理与备份策略，并组织全员安全复盘培训，避免类似事件再次发生。

三、重要提醒与支持保障

1.   立即开展安全自查：建议您在收到本警示函后3个工作日内，对照上述防护措施完成全流程安全自查，重点核查补丁更新、权限配置、备份有效性等关键环节，及时整改发现的隐患。

2.   畅通技术支持渠道：方天软件已成立专项安全应急小组，若您在ERP系统安全配置、漏洞排查或应急处置过程中遇到任何问题，可随时通过方天ERP系统内置客服通道提交需求，我们将提供7×24小时响应支持。

3.   制定并定期演练应急响应计划：建议企业结合自身业务场景，制定完善的ERP系统勒索病毒应急响应计划，并每季度组织一次实战演练，明确各岗位响应职责，强化30分钟“黄金救援期”的快速处置能力，检验团队响应速度与备份恢复能力，提升全员应急处置意识。

当前勒索病毒攻击已进入产业化、精准化阶段，安全防护绝非一劳永逸的工作，需要企业与我们共同发力、持续重视。方天软件将始终与各位用户站在一起，持续优化产品安全性能，提供全方位技术支持，与您携手筑牢ERP系统安全防线，保障企业数字化经营稳定运行。

感谢您的理解与配合！

方天软件西安研发总部信息安全中心

2026年1月7日