随着行业数字化转型工作的不断深入,越来越多的业务系统和应用运行在国产服务器操作系统上,用户在云上和云下服务器主机管理中,在等保合规、服务器资产实时统一监测管理、应用和业务服务主动防御和保护、木马病毒后门防护、网络攻击识别分析等面临诸多问题。为助力行业客户构建自主创新的服务器主机安全管理防护体系,为行业应用和业务系统提供安全、稳定、合规的基础运行环境,麒麟软件联合百度安全,针对服务器主机安全场景推出了服务器主机安全管理解决方案。
解决方案在深入理解网络安全法和等保相关政策法规的基础上,结合行业客户的痛点需求,搭载银河麒麟高级服务器操作系统V10,以百度主机安全管理系统V6.0为核心管理工具,在基础平台方面具备高可用性、高稳定性、高灵活性和高可维护性等特点;主机防护方面提供了病毒查杀、入侵检测、基线核查等能力;云支持方面提供了公有云、私有云、混合云、IDC等多云集中管控能力。方案实现了对多类型服务器主机的统一资产清点管理和风险评估、病毒木马后门威胁实时监控查杀隔离、自动化检测系统应用高危漏洞、对CIS标准和等保三级标准的合规安全基线配置检查和控制、应用进程自动防护等功能。方案基于超20万台主机安全防护实践经验,且在基础功能和服务能力之上,麒麟软件与百度安全针对系统关键功能做了全面调优。
• Agent空闲:单核CPU消耗小于5%,Agent工作:单核CPU消耗小于30%;
• 支持5级资产分组与13项资产清点:服务器、操作系统、端口、进程、启动项、账号、应用、定时任务、Web服务、Web框架、Web站点、数据库、共享目录;
• 支持4类异常行为检测,包含反弹shell检测、文件完整性检测、进程提权检测、文件提权检测;
• 支持3类服务器加固能力:进程加固、文件加固、账号加固;
• 支持Webshell查杀扫描操作,具备2个以上的Webshell查杀引擎;
• 支持创建Redis蜜罐、Mysql蜜罐、自定义端口蜜罐。
应用场景
服务器主机安全管理场景
随着云计算和容器等技术的发展,行业应用和业务系统不再受制于物理服务器的数量,服务集群可以根据业务需要进行资源的灵活调整,为保证相应系统的高效、安全、稳定运行,需要解决对不断变化的服务器主机集群产生的资产管理风险,病毒威胁、安全基线配置风险以及系统和软件漏洞等威胁。解决方案以满足等保2.0通用技术要求和云计算扩展技术要求为基础,针对该场景提供了主机资产全面清点;文件和运行程序的实时病毒查杀;自动检索Web-CMS漏洞、应用漏洞、系统漏洞等全面的安全管理能力;同时根据等保2.0标准、CIS标准,支持对主机进行安全基线检查,发现配置缺陷、并提供整改建议。
服务器主机防御检测场景
当前对于服务器的攻击手段越来越复杂和多变,有针对服务端口的攻击、代码漏洞的攻击、网络报文和文件的攻击以及植入木马、病毒和挖矿程序等问题。解决方案针对服务器主机安全防护场景,在升级被动防护能力外,同时增加了主动防御能力,充分保障服务器的安全稳定运行,采用攻击诱捕方式,支持通过MySQL蜜罐、Redis蜜罐和端口监听蜜罐对恶意用户进行网络欺骗,捕获恶意用户连接数据,检测网络上的非法访问;通过RASP直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测防护未知漏洞;同时,结合百度云安全海量的安全数据分析能力,对用户设置的web目录进行实时防护,可对扫描到的文件进行隔离、加白、下载等操作;还可通过对程序行为和资源占用等综合分析,发现恶意挖矿进程,极大提高了服务器主机的主动防御能力。
成功案例
在某银行客户项目中,用户将新一代互联网银行、业务核心系统、支付平台、新一代客服中心、票据平台、信贷平台等迁移至某金融云上,期望通过服务器主机安全建设降低金融云内资产风险。针对用户服务器资产繁杂,难以管理;服务器可能存在网站后门、恶意程序植入;WEB应用和外联业务系统频繁的互联网请求及数据文件交互易感染病毒等问题。 解决方案采用基于银河麒麟高级服务器操作系统V10的云服务主机安全防护系统,为客户金融云内的云服务器主机提供主被动相结合的安全管理功能。
方案实施后,实现了用户云服务器资产的精细梳理和高效管理,通过对所有服务器资产进行自动安全基线检查,及时报告风险配置,在对外联网站等业务系统进行网站后门、木马、蠕虫、挖矿、反弹shell等恶意行为的实时检测,并对全域云服务器进行漏洞主动扫描,及时发现服务器漏洞,识别潜在风险,保障了用户业务系统的安全稳定运行。
基于银河麒麟操作系统的服务器主机安全管理解决方案能够快速建立主机安全防护体系,真正做到事前防范和事中控制,助力客户满足服务器主机等保合规要求。方案可广泛应用在金融、交通、能源、通信等行业。
通讯员 | 刘俊杰、陈奕彤
来 源 | 技术服务中心、厂商合作事业本部
审 核 | 市场与政府事务部