在企业网络和信息安全的建设中，建立容错机制，采用弹性网络设计，进行分域控制，确保风险分散，是防范大范围勒索攻击的有效手段。而由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的网管域，就是数据中心的“中枢神经系统”，其安全尤为重要。

我们发现，在过往企业遭受大规模入侵的案例中，黑客往往会攻击网管域中的AD（活动目录）和终端安全管理系统，以实现大范围入侵。因此，需要严格控制网管域与其它域的IP直接连接。此外，基于安全角度考虑，运维人员必须通过堡垒机等进行访问和运维工作，以进一步提升安全性。

当前，网管域在防范大范围勒索攻击过程中主要面临以下三种风险：

1. 管理员(包括系统管理员、安全管理员、业务管理员)终端易被钓鱼或漏洞利用，从而被侵入，进而利用管理员终端侵入管理后台或相关业务系统；

2. 黑客攻陷AD、IAM等身份认证系统后，能横向攻击其他管理或业务系统；

3. 利用软件植入恶意代码的方式，侵入管理或生产域。

四步，指数级提高网管域安全性

为有效防范勒索病毒入侵网管域，保护好企业数据中心的“中枢神经系统”，联软科技提出《网管域安全建设解决方案》，指数级提高网管域安全性。

▲网管域方案部署图

1、网管域统一安全入口

提供Web安全网关（WSG）作为网管域的统一访问入口，且必须做双因素认证（账号密码+动态口令），在企业无堡垒机进行网管平台统一运维的场景下，起到统一安全入口的作用。如果网管域已经使用堡垒机进行运维，仍然可以通过WSG再到堡垒机来运维系统。这主要考虑到，如果堡垒机提供的是http服务方式，存在可被利用的漏洞风险，而WSG是完全由联软自主研发的非开源组件，已在国有大行大规模部署应用，提供反向代理访问，安全可靠，并且对于联软产品如LV7000等可以实现单点登录运维的效果，提升运维效率，结合DMZ区部署APN网关可以做到利用手机端门户实现无密码认证，安全级别比动态口令更高。

2、主动欺骗+流量检测，快速准确识别风险

假设黑客攻陷了网管域的AD、IAM等身份认证业务系统，并横向攻击其他管理或业务系统，可通过网络智能防御系统（NID）提供的主动欺骗幻影技术，来快速识别异常访问行为。NID能根据网管域中的设备类型和数量，智能生成大量仿真设备，提升黑客攻击难度；将其攻击行为引诱到仿真设备上，主动捕捉异常或恶意行为；结合流量检测技术，大幅缩短发现入侵的时间周期，以便进行及时处置。

▲根据用户在网设备类型和数量（蓝）智能生成大批量仿真设备（灰），将攻击行为引诱到仿真设备上，主动捕捉异常/恶意行为

▲通过流量分析提升威胁检测精准度

3、建立安全可控的文件交换通道

从过往统计的四千多款软件中，我们发现有上千款软件存在捆绑安装甚至是携带病毒木马的行为。为防止利用软件植入恶意代码的方式侵入网管域，联软提供网间数据安全交换系统（NXG）。在确保网管域与互联网/终端接入域之间隔离的前提下，这个系统是数据/文件安全交换的唯一通道。NXG采用容错设计，可防跳板攻击。首先，如果互联网侧攻击通过NXG虚拟机进入，虚拟机可以快速重启；其次，NXG禁止TCP/IP通信。

如业务系统需要通过互联网引入软件或者组件，例如联软的LV7000终端安全管控平台的云软件仓库、云补丁库文件从互联网侧同步到网管域中的LV7000，就可以通过NXG安全、便捷实现。

终端接入域网管员日常运维系统需要上传软件或者组件，都必须通过NXG传输，传输前进行病毒检查，确保进入网管域的软件、组件是安全的，且对于终端侧的软件获取，联软提供互联网侧云端安全免费的软件库，包含上千款安全、免费的软件安装包。

4、设置紧急管理入口（跳板配置终端）

考虑到对于网管域运维的高可用场景，建议新增PC跳板机作为紧急备用，平时不开，如果启用跳板机去访问网管域内相关的设备，NID会截获流量进行报警，这样就可以解决有黑客知道这个跳板配置终端的IP然后冒用去访问网管域的风险。

业务价值

提供网管域统一访问入口，有效避免网管员终端被钓鱼或漏洞利用的风险；

提供容错式主动欺骗幻影技术，极大提高业务侧入侵网管域的难度，降低风险；

提供安全受控的唯一数据摆渡通道，保障域间隔离，容错设计，杜绝借助恶意软件入侵网管域的风险；

整体方案建设效果可有效保护网管域，防范大范围中勒索；

方案优势

WSG：统一网管域入口，保障网管域各个部件安全，即使网络安全管理员终端被钓鱼入侵，网管域仍然能安全运行；

NID：幻影技术，国内首创，部署于网管域，极大提升黑客攻击难度，防御效果显著；

NXG：技术原理独特，全球唯一，解决了在网络隔离的前提下，网管域与互联网或终端接入域之间数据和文件安全交换的需求。