在企業(yè)網絡和信息安全的建設中，建立容錯機制，采用彈性網絡設計，進行分域控制，確保風險分散，是防范大范圍勒索攻擊的有效手段。而由各類安全產品的管理平臺、監(jiān)控中心、維護終端和服務器等組成的網管域，就是數據中心的“中樞神經系統(tǒng)”，其安全尤為重要。

我們發(fā)現，在過往企業(yè)遭受大規(guī)模入侵的案例中，黑客往往會攻擊網管域中的AD（活動目錄）和終端安全管理系統(tǒng)，以實現大范圍入侵。因此，需要嚴格控制網管域與其它域的IP直接連接。此外，基于安全角度考慮，運維人員必須通過堡壘機等進行訪問和運維工作，以進一步提升安全性。

當前，網管域在防范大范圍勒索攻擊過程中主要面臨以下三種風險：

1. 管理員(包括系統(tǒng)管理員、安全管理員、業(yè)務管理員)終端易被釣魚或漏洞利用，從而被侵入，進而利用管理員終端侵入管理后臺或相關業(yè)務系統(tǒng)；

2. 黑客攻陷AD、IAM等身份認證系統(tǒng)后，能橫向攻擊其他管理或業(yè)務系統(tǒng)；

3. 利用軟件植入惡意代碼的方式，侵入管理或生產域。

四步，指數級提高網管域安全性

為有效防范勒索病毒入侵網管域，保護好企業(yè)數據中心的“中樞神經系統(tǒng)”，聯軟科技提出《網管域安全建設解決方案》，指數級提高網管域安全性。

▲網管域方案部署圖

1、網管域統(tǒng)一安全入口

提供Web安全網關（WSG）作為網管域的統(tǒng)一訪問入口，且必須做雙因素認證（賬號密碼+動態(tài)口令），在企業(yè)無堡壘機進行網管平臺統(tǒng)一運維的場景下，起到統(tǒng)一安全入口的作用。如果網管域已經使用堡壘機進行運維，仍然可以通過WSG再到堡壘機來運維系統(tǒng)。這主要考慮到，如果堡壘機提供的是http服務方式，存在可被利用的漏洞風險，而WSG是完全由聯軟自主研發(fā)的非開源組件，已在國有大行大規(guī)模部署應用，提供反向代理訪問，安全可靠，并且對于聯軟產品如LV7000等可以實現單點登錄運維的效果，提升運維效率，結合DMZ區(qū)部署APN網關可以做到利用手機端門戶實現無密碼認證，安全級別比動態(tài)口令更高。

2、主動欺騙+流量檢測，快速準確識別風險

假設黑客攻陷了網管域的AD、IAM等身份認證業(yè)務系統(tǒng)，并橫向攻擊其他管理或業(yè)務系統(tǒng)，可通過網絡智能防御系統(tǒng)（NID）提供的主動欺騙幻影技術，來快速識別異常訪問行為。NID能根據網管域中的設備類型和數量，智能生成大量仿真設備，提升黑客攻擊難度；將其攻擊行為引誘到仿真設備上，主動捕捉異常或惡意行為；結合流量檢測技術，大幅縮短發(fā)現入侵的時間周期，以便進行及時處置。

▲根據用戶在網設備類型和數量（藍）智能生成大批量仿真設備（灰），將攻擊行為引誘到仿真設備上，主動捕捉異常/惡意行為

▲通過流量分析提升威脅檢測精準度

3、建立安全可控的文件交換通道

從過往統(tǒng)計的四千多款軟件中，我們發(fā)現有上千款軟件存在捆綁安裝甚至是攜帶病毒木馬的行為。為防止利用軟件植入惡意代碼的方式侵入網管域，聯軟提供網間數據安全交換系統(tǒng)（NXG）。在確保網管域與互聯網/終端接入域之間隔離的前提下，這個系統(tǒng)是數據/文件安全交換的唯一通道。NXG采用容錯設計，可防跳板攻擊。首先，如果互聯網側攻擊通過NXG虛擬機進入，虛擬機可以快速重啟；其次，NXG禁止TCP/IP通信。

如業(yè)務系統(tǒng)需要通過互聯網引入軟件或者組件，例如聯軟的LV7000終端安全管控平臺的云軟件倉庫、云補丁庫文件從互聯網側同步到網管域中的LV7000，就可以通過NXG安全、便捷實現。

終端接入域網管員日常運維系統(tǒng)需要上傳軟件或者組件，都必須通過NXG傳輸，傳輸前進行病毒檢查，確保進入網管域的軟件、組件是安全的，且對于終端側的軟件獲取，聯軟提供互聯網側云端安全免費的軟件庫，包含上千款安全、免費的軟件安裝包。

4、設置緊急管理入口（跳板配置終端）

考慮到對于網管域運維的高可用場景，建議新增PC跳板機作為緊急備用，平時不開，如果啟用跳板機去訪問網管域內相關的設備，NID會截獲流量進行報警，這樣就可以解決有黑客知道這個跳板配置終端的IP然后冒用去訪問網管域的風險。

業(yè)務價值

提供網管域統(tǒng)一訪問入口，有效避免網管員終端被釣魚或漏洞利用的風險；

提供容錯式主動欺騙幻影技術，極大提高業(yè)務側入侵網管域的難度，降低風險；

提供安全受控的唯一數據擺渡通道，保障域間隔離，容錯設計，杜絕借助惡意軟件入侵網管域的風險；

整體方案建設效果可有效保護網管域，防范大范圍中勒索；

方案優(yōu)勢

WSG：統(tǒng)一網管域入口，保障網管域各個部件安全，即使網絡安全管理員終端被釣魚入侵，網管域仍然能安全運行；

NID：幻影技術，國內首創(chuàng)，部署于網管域，極大提升黑客攻擊難度，防御效果顯著；

NXG：技術原理獨特，全球唯一，解決了在網絡隔離的前提下，網管域與互聯網或終端接入域之間數據和文件安全交換的需求。