在企業(yè)網(wǎng)絡(luò )和信息安全的建設中，建立容錯機制，采用彈性網(wǎng)絡(luò )設計，進(jìn)行分域控制，確保風(fēng)險分散，是防范大范圍勒索攻擊的有效手段。而由各類(lèi)安全產(chǎn)品的管理平臺、監控中心、維護終端和服務(wù)器等組成的網(wǎng)管域，就是數據中心的“中樞神經(jīng)系統”，其安全尤為重要。

我們發(fā)現，在過(guò)往企業(yè)遭受大規模入侵的案例中，黑客往往會(huì )攻擊網(wǎng)管域中的AD（活動(dòng)目錄）和終端安全管理系統，以實(shí)現大范圍入侵。因此，需要嚴格控制網(wǎng)管域與其它域的IP直接連接。此外，基于安全角度考慮，運維人員必須通過(guò)堡壘機等進(jìn)行訪(fǎng)問(wèn)和運維工作，以進(jìn)一步提升安全性。

當前，網(wǎng)管域在防范大范圍勒索攻擊過(guò)程中主要面臨以下三種風(fēng)險：

1. 管理員(包括系統管理員、安全管理員、業(yè)務(wù)管理員)終端易被釣魚(yú)或漏洞利用，從而被侵入，進(jìn)而利用管理員終端侵入管理后臺或相關(guān)業(yè)務(wù)系統；

2. 黑客攻陷AD、IAM等身份認證系統后，能橫向攻擊其他管理或業(yè)務(wù)系統；

3. 利用軟件植入惡意代碼的方式，侵入管理或生產(chǎn)域。

四步，指數級提高網(wǎng)管域安全性

為有效防范勒索病毒入侵網(wǎng)管域，保護好企業(yè)數據中心的“中樞神經(jīng)系統”，聯(lián)軟科技提出《網(wǎng)管域安全建設解決方案》，指數級提高網(wǎng)管域安全性。

▲網(wǎng)管域方案部署圖

1、網(wǎng)管域統一安全入口

提供Web安全網(wǎng)關(guān)（WSG）作為網(wǎng)管域的統一訪(fǎng)問(wèn)入口，且必須做雙因素認證（賬號密碼+動(dòng)態(tài)口令），在企業(yè)無(wú)堡壘機進(jìn)行網(wǎng)管平臺統一運維的場(chǎng)景下，起到統一安全入口的作用。如果網(wǎng)管域已經(jīng)使用堡壘機進(jìn)行運維，仍然可以通過(guò)WSG再到堡壘機來(lái)運維系統。這主要考慮到，如果堡壘機提供的是http服務(wù)方式，存在可被利用的漏洞風(fēng)險，而WSG是完全由聯(lián)軟自主研發(fā)的非開(kāi)源組件，已在國有大行大規模部署應用，提供反向代理訪(fǎng)問(wèn)，安全可靠，并且對于聯(lián)軟產(chǎn)品如LV7000等可以實(shí)現單點(diǎn)登錄運維的效果，提升運維效率，結合DMZ區部署APN網(wǎng)關(guān)可以做到利用手機端門(mén)戶(hù)實(shí)現無(wú)密碼認證，安全級別比動(dòng)態(tài)口令更高。

2、主動(dòng)欺騙+流量檢測，快速準確識別風(fēng)險

假設黑客攻陷了網(wǎng)管域的AD、IAM等身份認證業(yè)務(wù)系統，并橫向攻擊其他管理或業(yè)務(wù)系統，可通過(guò)網(wǎng)絡(luò )智能防御系統（NID）提供的主動(dòng)欺騙幻影技術(shù)，來(lái)快速識別異常訪(fǎng)問(wèn)行為。NID能根據網(wǎng)管域中的設備類(lèi)型和數量，智能生成大量仿真設備，提升黑客攻擊難度；將其攻擊行為引誘到仿真設備上，主動(dòng)捕捉異?；驉阂庑袨?；結合流量檢測技術(shù)，大幅縮短發(fā)現入侵的時(shí)間周期，以便進(jìn)行及時(shí)處置。

▲根據用戶(hù)在網(wǎng)設備類(lèi)型和數量（藍）智能生成大批量仿真設備（灰），將攻擊行為引誘到仿真設備上，主動(dòng)捕捉異常/惡意行為

▲通過(guò)流量分析提升威脅檢測精準度

3、建立安全可控的文件交換通道

從過(guò)往統計的四千多款軟件中，我們發(fā)現有上千款軟件存在捆綁安裝甚至是攜帶病毒木馬的行為。為防止利用軟件植入惡意代碼的方式侵入網(wǎng)管域，聯(lián)軟提供網(wǎng)間數據安全交換系統（NXG）。在確保網(wǎng)管域與互聯(lián)網(wǎng)/終端接入域之間隔離的前提下，這個(gè)系統是數據/文件安全交換的唯一通道。NXG采用容錯設計，可防跳板攻擊。首先，如果互聯(lián)網(wǎng)側攻擊通過(guò)NXG虛擬機進(jìn)入，虛擬機可以快速重啟；其次，NXG禁止TCP/IP通信。

如業(yè)務(wù)系統需要通過(guò)互聯(lián)網(wǎng)引入軟件或者組件，例如聯(lián)軟的LV7000終端安全管控平臺的云軟件倉庫、云補丁庫文件從互聯(lián)網(wǎng)側同步到網(wǎng)管域中的LV7000，就可以通過(guò)NXG安全、便捷實(shí)現。

終端接入域網(wǎng)管員日常運維系統需要上傳軟件或者組件，都必須通過(guò)NXG傳輸，傳輸前進(jìn)行病毒檢查，確保進(jìn)入網(wǎng)管域的軟件、組件是安全的，且對于終端側的軟件獲取，聯(lián)軟提供互聯(lián)網(wǎng)側云端安全免費的軟件庫，包含上千款安全、免費的軟件安裝包。

4、設置緊急管理入口（跳板配置終端）

考慮到對于網(wǎng)管域運維的高可用場(chǎng)景，建議新增PC跳板機作為緊急備用，平時(shí)不開(kāi)，如果啟用跳板機去訪(fǎng)問(wèn)網(wǎng)管域內相關(guān)的設備，NID會(huì )截獲流量進(jìn)行報警，這樣就可以解決有黑客知道這個(gè)跳板配置終端的IP然后冒用去訪(fǎng)問(wèn)網(wǎng)管域的風(fēng)險。

業(yè)務(wù)價(jià)值

提供網(wǎng)管域統一訪(fǎng)問(wèn)入口，有效避免網(wǎng)管員終端被釣魚(yú)或漏洞利用的風(fēng)險；

提供容錯式主動(dòng)欺騙幻影技術(shù)，極大提高業(yè)務(wù)側入侵網(wǎng)管域的難度，降低風(fēng)險；

提供安全受控的唯一數據擺渡通道，保障域間隔離，容錯設計，杜絕借助惡意軟件入侵網(wǎng)管域的風(fēng)險；

整體方案建設效果可有效保護網(wǎng)管域，防范大范圍中勒索；

方案優(yōu)勢

WSG：統一網(wǎng)管域入口，保障網(wǎng)管域各個(gè)部件安全，即使網(wǎng)絡(luò )安全管理員終端被釣魚(yú)入侵，網(wǎng)管域仍然能安全運行；

NID：幻影技術(shù)，國內首創(chuàng )，部署于網(wǎng)管域，極大提升黑客攻擊難度，防御效果顯著(zhù)；

NXG：技術(shù)原理獨特，全球唯一，解決了在網(wǎng)絡(luò )隔離的前提下，網(wǎng)管域與互聯(lián)網(wǎng)或終端接入域之間數據和文件安全交換的需求。