在企業(yè)網(wǎng)絡和信息安全的建設中，建立容錯機制，采用彈性網(wǎng)絡設計，進行分域控制，確保風險分散，是防范大范圍勒索攻擊的有效手段。而由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護終端和服務器等組成的網(wǎng)管域，就是數(shù)據(jù)中心的“中樞神經(jīng)系統(tǒng)”，其安全尤為重要。

我們發(fā)現(xiàn)，在過往企業(yè)遭受大規(guī)模入侵的案例中，黑客往往會攻擊網(wǎng)管域中的AD（活動目錄）和終端安全管理系統(tǒng)，以實現(xiàn)大范圍入侵。因此，需要嚴格控制網(wǎng)管域與其它域的IP直接連接。此外，基于安全角度考慮，運維人員必須通過堡壘機等進行訪問和運維工作，以進一步提升安全性。

當前，網(wǎng)管域在防范大范圍勒索攻擊過程中主要面臨以下三種風險：

1. 管理員(包括系統(tǒng)管理員、安全管理員、業(yè)務管理員)終端易被釣魚或漏洞利用，從而被侵入，進而利用管理員終端侵入管理后臺或相關業(yè)務系統(tǒng)；

2. 黑客攻陷AD、IAM等身份認證系統(tǒng)后，能橫向攻擊其他管理或業(yè)務系統(tǒng)；

3. 利用軟件植入惡意代碼的方式，侵入管理或生產(chǎn)域。

四步，指數(shù)級提高網(wǎng)管域安全性

為有效防范勒索病毒入侵網(wǎng)管域，保護好企業(yè)數(shù)據(jù)中心的“中樞神經(jīng)系統(tǒng)”，聯(lián)軟科技提出《網(wǎng)管域安全建設解決方案》，指數(shù)級提高網(wǎng)管域安全性。

▲網(wǎng)管域方案部署圖

1、網(wǎng)管域統(tǒng)一安全入口

提供Web安全網(wǎng)關（WSG）作為網(wǎng)管域的統(tǒng)一訪問入口，且必須做雙因素認證（賬號密碼+動態(tài)口令），在企業(yè)無堡壘機進行網(wǎng)管平臺統(tǒng)一運維的場景下，起到統(tǒng)一安全入口的作用。如果網(wǎng)管域已經(jīng)使用堡壘機進行運維，仍然可以通過WSG再到堡壘機來運維系統(tǒng)。這主要考慮到，如果堡壘機提供的是http服務方式，存在可被利用的漏洞風險，而WSG是完全由聯(lián)軟自主研發(fā)的非開源組件，已在國有大行大規(guī)模部署應用，提供反向代理訪問，安全可靠，并且對于聯(lián)軟產(chǎn)品如LV7000等可以實現(xiàn)單點登錄運維的效果，提升運維效率，結合DMZ區(qū)部署APN網(wǎng)關可以做到利用手機端門戶實現(xiàn)無密碼認證，安全級別比動態(tài)口令更高。

2、主動欺騙+流量檢測，快速準確識別風險

假設黑客攻陷了網(wǎng)管域的AD、IAM等身份認證業(yè)務系統(tǒng)，并橫向攻擊其他管理或業(yè)務系統(tǒng)，可通過網(wǎng)絡智能防御系統(tǒng)（NID）提供的主動欺騙幻影技術，來快速識別異常訪問行為。NID能根據(jù)網(wǎng)管域中的設備類型和數(shù)量，智能生成大量仿真設備，提升黑客攻擊難度；將其攻擊行為引誘到仿真設備上，主動捕捉異?；驉阂庑袨椋唤Y合流量檢測技術，大幅縮短發(fā)現(xiàn)入侵的時間周期，以便進行及時處置。

▲根據(jù)用戶在網(wǎng)設備類型和數(shù)量（藍）智能生成大批量仿真設備（灰），將攻擊行為引誘到仿真設備上，主動捕捉異常/惡意行為

▲通過流量分析提升威脅檢測精準度

3、建立安全可控的文件交換通道

從過往統(tǒng)計的四千多款軟件中，我們發(fā)現(xiàn)有上千款軟件存在捆綁安裝甚至是攜帶病毒木馬的行為。為防止利用軟件植入惡意代碼的方式侵入網(wǎng)管域，聯(lián)軟提供網(wǎng)間數(shù)據(jù)安全交換系統(tǒng)（NXG）。在確保網(wǎng)管域與互聯(lián)網(wǎng)/終端接入域之間隔離的前提下，這個系統(tǒng)是數(shù)據(jù)/文件安全交換的唯一通道。NXG采用容錯設計，可防跳板攻擊。首先，如果互聯(lián)網(wǎng)側(cè)攻擊通過NXG虛擬機進入，虛擬機可以快速重啟；其次，NXG禁止TCP/IP通信。

如業(yè)務系統(tǒng)需要通過互聯(lián)網(wǎng)引入軟件或者組件，例如聯(lián)軟的LV7000終端安全管控平臺的云軟件倉庫、云補丁庫文件從互聯(lián)網(wǎng)側(cè)同步到網(wǎng)管域中的LV7000，就可以通過NXG安全、便捷實現(xiàn)。

終端接入域網(wǎng)管員日常運維系統(tǒng)需要上傳軟件或者組件，都必須通過NXG傳輸，傳輸前進行病毒檢查，確保進入網(wǎng)管域的軟件、組件是安全的，且對于終端側(cè)的軟件獲取，聯(lián)軟提供互聯(lián)網(wǎng)側(cè)云端安全免費的軟件庫，包含上千款安全、免費的軟件安裝包。

4、設置緊急管理入口（跳板配置終端）

考慮到對于網(wǎng)管域運維的高可用場景，建議新增PC跳板機作為緊急備用，平時不開，如果啟用跳板機去訪問網(wǎng)管域內(nèi)相關的設備，NID會截獲流量進行報警，這樣就可以解決有黑客知道這個跳板配置終端的IP然后冒用去訪問網(wǎng)管域的風險。

業(yè)務價值

提供網(wǎng)管域統(tǒng)一訪問入口，有效避免網(wǎng)管員終端被釣魚或漏洞利用的風險；

提供容錯式主動欺騙幻影技術，極大提高業(yè)務側(cè)入侵網(wǎng)管域的難度，降低風險；

提供安全受控的唯一數(shù)據(jù)擺渡通道，保障域間隔離，容錯設計，杜絕借助惡意軟件入侵網(wǎng)管域的風險；

整體方案建設效果可有效保護網(wǎng)管域，防范大范圍中勒索；

方案優(yōu)勢

WSG：統(tǒng)一網(wǎng)管域入口，保障網(wǎng)管域各個部件安全，即使網(wǎng)絡安全管理員終端被釣魚入侵，網(wǎng)管域仍然能安全運行；

NID：幻影技術，國內(nèi)首創(chuàng)，部署于網(wǎng)管域，極大提升黑客攻擊難度，防御效果顯著；

NXG：技術原理獨特，全球唯一，解決了在網(wǎng)絡隔離的前提下，網(wǎng)管域與互聯(lián)網(wǎng)或終端接入域之間數(shù)據(jù)和文件安全交換的需求。