在企業網絡(luo)和(he)信息安全(quan)的(de)(de)建(jian)設中，建(jian)立容錯機制(zhi)，采用彈性網絡(luo)設計，進行分域控制(zhi)，確保風險分散，是防范大范圍勒索攻(gong)擊(ji)的(de)(de)有效手段。而由(you)各類(lei)安全(quan)產(chan)品(pin)的(de)(de)管理平臺、監控中心、維(wei)護終端和(he)服(fu)務器等(deng)組成的(de)(de)網管域，就是數據中心的(de)(de)“中樞神經系統”，其(qi)安全(quan)尤為重要。

我(wo)們發現，在(zai)過往(wang)企業(ye)遭受大(da)規模入侵(qin)的(de)案例中(zhong)，黑(hei)客往(wang)往(wang)會(hui)攻擊網管域中(zhong)的(de)AD（活(huo)動目錄）和終端安(an)全(quan)管理系統(tong)，以實(shi)現大(da)范圍(wei)入侵(qin)。因此，需要嚴格控制網管域與其它(ta)域的(de)IP直(zhi)接連接。此外，基于安(an)全(quan)角度考慮，運維人員必須通(tong)過堡壘機等進行訪問和運維工作，以進一(yi)步提升安(an)全(quan)性。

當(dang)前，網(wang)管域在防范(fan)大范(fan)圍勒索攻擊過程中主要面臨以下三種(zhong)風險：

1. 管(guan)(guan)(guan)理(li)(li)(li)員(包括系統管(guan)(guan)(guan)理(li)(li)(li)員、安全管(guan)(guan)(guan)理(li)(li)(li)員、業務(wu)管(guan)(guan)(guan)理(li)(li)(li)員)終端易被釣魚或漏洞(dong)利用(yong)，從而被侵(qin)入，進(jin)而利用(yong)管(guan)(guan)(guan)理(li)(li)(li)員終端侵(qin)入管(guan)(guan)(guan)理(li)(li)(li)后臺或相關業務(wu)系統；

2. 黑客(ke)攻(gong)陷AD、IAM等(deng)身份認證系統后(hou)，能橫向攻(gong)擊其他管理或業務(wu)系統；

3. 利用軟件(jian)植(zhi)入惡意(yi)代碼的(de)方(fang)式，侵(qin)入管理或生產(chan)域(yu)。

四步，指數級提高網(wang)管域安全性

為(wei)有(you)效防范勒索病(bing)毒入侵網管(guan)域(yu)，保(bao)護好企業數據中心的“中樞神經系統(tong)”，聯軟科技提(ti)出《網管(guan)域(yu)安(an)全建設解決(jue)方案》，指數級提(ti)高網管(guan)域(yu)安(an)全性。

▲網管域方案部署圖

1、網管域統一安全入口

提(ti)供(gong)Web安全網(wang)關（WSG）作為網(wang)管(guan)域(yu)的統一訪問入口，且必(bi)須做雙(shuang)因素認證（賬號密(mi)碼(ma)(ma)+動態(tai)口令），在企(qi)業(ye)無堡(bao)壘(lei)機進(jin)行網(wang)管(guan)平(ping)臺統一運維的場景下(xia)，起到(dao)統一安全入口的作用(yong)。如果(guo)網(wang)管(guan)域(yu)已(yi)經使用(yong)堡(bao)壘(lei)機進(jin)行運維，仍然可(ke)以通過WSG再到(dao)堡(bao)壘(lei)機來(lai)運維系統。這主要考慮到(dao)，如果(guo)堡(bao)壘(lei)機提(ti)供(gong)的是(shi)http服務方式(shi)，存在可(ke)被利用(yong)的漏(lou)洞風(feng)險，而WSG是(shi)完全由聯軟(ruan)自主研發的非開源組件，已(yi)在國有大(da)行大(da)規模(mo)部署應用(yong)，提(ti)供(gong)反向代理訪問，安全可(ke)靠，并且對于聯軟(ruan)產品如LV7000等(deng)可(ke)以實現單(dan)點(dian)登錄運維的效(xiao)果(guo)，提(ti)升運維效(xiao)率(lv)，結合DMZ區部署APN網(wang)關可(ke)以做到(dao)利用(yong)手機端門戶(hu)實現無密(mi)碼(ma)(ma)認證，安全級別比動態(tai)口令更高。

2、主動欺騙+流量檢測，快速準確識別風險

假設(she)黑客(ke)攻(gong)(gong)(gong)陷了網管(guan)(guan)域的AD、IAM等身份(fen)認證業(ye)務(wu)(wu)系(xi)統，并橫向攻(gong)(gong)(gong)擊其(qi)(qi)他管(guan)(guan)理或業(ye)務(wu)(wu)系(xi)統，可通過網絡智能(neng)(neng)防御系(xi)統（NID）提供的主(zhu)動欺(qi)騙幻影技(ji)(ji)術(shu)，來(lai)快(kuai)速識別異(yi)常(chang)訪問行為。NID能(neng)(neng)根(gen)據網管(guan)(guan)域中的設(she)備類型和數量(liang)，智能(neng)(neng)生成大量(liang)仿真設(she)備，提升黑客(ke)攻(gong)(gong)(gong)擊難度(du)；將(jiang)其(qi)(qi)攻(gong)(gong)(gong)擊行為引誘到(dao)仿真設(she)備上，主(zhu)動捕捉(zhuo)異(yi)常(chang)或惡意行為；結合流量(liang)檢測(ce)技(ji)(ji)術(shu)，大幅縮短發現入侵的時(shi)間周期，以(yi)便進行及(ji)時(shi)處置(zhi)。

▲根據用戶在網設(she)備(bei)(bei)類型和數量（藍(lan)）智能生(sheng)成(cheng)大批量仿真設(she)備(bei)(bei)（灰(hui)），將攻擊行(xing)為引誘到仿真設(she)備(bei)(bei)上(shang)，主(zhu)動捕捉(zhuo)異常/惡(e)意行(xing)為

▲通過流量分析提升(sheng)威脅檢測(ce)精準度

3、建立安(an)全可控的文(wen)件交換通道

從過往統計(ji)的(de)四千多(duo)款軟(ruan)件(jian)中，我們發(fa)現有上千款軟(ruan)件(jian)存(cun)在(zai)捆綁安裝甚至是攜帶病(bing)毒木馬的(de)行為。為防止(zhi)利用(yong)軟(ruan)件(jian)植入惡意代碼的(de)方式侵入網(wang)管域(yu)，聯軟(ruan)提供網(wang)間(jian)數據安全(quan)交換系統（NXG）。在(zai)確保網(wang)管域(yu)與互聯網(wang)/終(zhong)端(duan)接入域(yu)之間(jian)隔離的(de)前提下，這(zhe)個系統是數據/文件(jian)安全(quan)交換的(de)唯一通道。NXG采用(yong)容錯設計(ji)，可防跳板攻(gong)擊(ji)。首先，如果(guo)互聯網(wang)側攻(gong)擊(ji)通過NXG虛(xu)擬機進入，虛(xu)擬機可以(yi)快速重(zhong)啟；其次，NXG禁(jin)止(zhi)TCP/IP通信(xin)。

如業務系統(tong)需要通過互聯網引(yin)入軟件(jian)或者組件(jian)，例(li)如聯軟的(de)LV7000終(zhong)端安全管控平臺的(de)云(yun)軟件(jian)倉庫、云(yun)補丁(ding)庫文(wen)件(jian)從(cong)互聯網側同步到網管域(yu)中(zhong)的(de)LV7000，就(jiu)可(ke)以通過NXG安全、便捷實現。

終(zhong)(zhong)端接入(ru)域網(wang)管員(yuan)日常運維系統需要上傳(chuan)軟(ruan)件或者組(zu)件，都必須(xu)通過NXG傳(chuan)輸，傳(chuan)輸前進行病毒檢查，確(que)保進入(ru)網(wang)管域的(de)軟(ruan)件、組(zu)件是安全的(de)，且對(dui)于終(zhong)(zhong)端側的(de)軟(ruan)件獲取，聯軟(ruan)提供互聯網(wang)側云端安全免(mian)費(fei)的(de)軟(ruan)件庫(ku)，包(bao)含上千款安全、免(mian)費(fei)的(de)軟(ruan)件安裝包(bao)。

4、設置緊急管理入口（跳板配置終端）

考慮到對于網(wang)(wang)管域(yu)運維的(de)(de)(de)高(gao)可用(yong)場(chang)景，建議(yi)新增PC跳板機(ji)作為緊急備用(yong)，平時不開，如(ru)果啟用(yong)跳板機(ji)去訪問網(wang)(wang)管域(yu)內(nei)相關的(de)(de)(de)設(she)備，NID會截獲流量進行報警，這樣就(jiu)可以解決有黑客知道這個跳板配置終端的(de)(de)(de)IP然(ran)后冒用(yong)去訪問網(wang)(wang)管域(yu)的(de)(de)(de)風險。

業務價(jia)值

提供網管域統一訪問入口(kou)，有效(xiao)避(bi)免網管員終(zhong)端被釣魚或漏洞利用的風險(xian)；

提供(gong)容(rong)錯式主動(dong)欺騙幻(huan)影(ying)技術，極大提高業(ye)務側入侵網管域的難(nan)度，降(jiang)低風險(xian)；

提供(gong)安全受控的唯一數據(ju)擺渡通道，保障域(yu)間隔離，容錯(cuo)設計，杜絕借助惡意軟件入(ru)侵網管域(yu)的風險(xian)；

整(zheng)體(ti)方案建(jian)設效(xiao)果可有效(xiao)保護網(wang)管域，防范(fan)大范(fan)圍中勒索(suo)；

方(fang)案優勢

WSG：統一網管域(yu)入口，保障網管域(yu)各個部(bu)件安(an)全(quan)(quan)，即(ji)使網絡安(an)全(quan)(quan)管理員終端(duan)被(bei)釣魚入侵，網管域(yu)仍然能安(an)全(quan)(quan)運行；

NID：幻影技術，國內首創，部(bu)署于網管域，極(ji)大提升(sheng)黑(hei)客攻擊難度，防御效果顯著(zhu)；

NXG：技術原理獨特(te)，全球唯一，解(jie)決了在網絡(luo)隔(ge)離的(de)前提(ti)下，網管域與互聯網或終端接入(ru)域之(zhi)間(jian)數(shu)據和(he)文(wen)件安全交換的(de)需(xu)求(qiu)。