奇安信网神云锁服务器安全管理系统解决方案

【单位简介】

奇安信科技集团股份有限公司（以下简称奇安信，股票代码688561）成立于2014年，专注于网络空间安全市场，向政府、企业用户提供新一代企业级网络安全产品和服务，在人员规模、收入规模和产品覆盖度上均位居行业第一。奇安信网神信息技术（北京）股份有限公司是奇安信集团旗下集技术研发、平台管理、综合服务于一体的信息安全产品与服务提供商。

2019年5月，中国电子以37.31亿元战略入股奇安信，奇安信正式成为网络安全国家队。2019年12月，奇安信成为北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。2020年7月22日，奇安信在科创板挂牌上市。2021年，奇安信在“中国网安产业竞争力50强”榜单中排名第一，并被评为北京市第一批“隐形冠军”企业。2022年3月13日，奇安信圆满完成了北京冬奥会和冬残奥会网络安全保障工作，兑现了北京冬奥网络安全“零事故”的承诺,为我国关键信息基础设施和重大活动的网络安全保障提供示范样本和有益经验。

奇安信一直是国家重大活动保障任务的重要支撑力量。公司多次参与国家重大活动网络安保工作，包括全国“两会”、70周年阅兵、一带一路峰会等，是同行业里参与重保次数最多、配备人力最多的企业。同时，公司也是实战攻防演习的主力军，攻击能力和防守效果全面领先，屡获国家相关部门和客户的认可及感谢。公司还建立了一支覆盖全国省市的三级应急响应和安全服务团队，并开通了全国第一个网络安全行业服务短号95015，全面满足各大政企机构的应急响应和网络安全保障需求。

【应用背景】

在目前的网络安全大环境下，传统防护手段和防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据、应用、网络等资产带来威胁，必须对企业的主机安全系统进行结构化的完善，企事业单位主要面临以下挑战：

一是服务器资产家底不明，由于企业在信息化方面的投入不断增加，IT资产也随之增涨。早几年里，企业的安全运营人员面对机房里的资产管理还能从容应对。如今，如果对资产管理的重视程度和运营方式还停留在以前的水平，迟早会成为黑客的下一个目标；

二是服务器资产暴露公网不知，如果要入侵一台服务器，从开放的端口服务下手；那么，如果要入侵一家企业，从互联网暴露面资产进行探测，主要围绕域名、IP进行信息收集。不少企业因各种历史遗留问题，如业务端口开通没有进行登记管理、项目交接、人员调动等客观因素，导致企业外网资产一直存在混乱状态，隐形资产成为了攻击者的切入点；

三是服务器漏洞层出不穷，据CNNVD统计，仅2020年被曝出漏洞就达29320个，这只是冰山一角，多数客户面对0day漏洞、未知漏洞时，缺乏有效防护手段；

四是服务器遭受攻击后无法止损和溯源，一旦企业中的某台服务器被攻破或遭受到勒索病毒攻击，攻击者会在内网扫描入侵更多机器进行横向爆破，但由于失陷主机受控或发起恶意行为往往难寻规律、隐蔽性极强，只能被动的等待问题发生后进行补救，同时黑客攻击技术越发精深、手段越发高超隐蔽，无法在第一时间精确的定位攻击者；

五是补丁周期滞后且无法覆盖已知所有漏洞，截止到2020年12月尚有2018的5056个漏洞未补，犹如定时炸弹，随时可能引爆，同时政企客户场景非常复杂，打补丁后经常出现程序不兼容甚至系统崩溃等现象。

结合以上的服务器安全防护痛点，我们可以得出，安全总是相对的，再安全的服务器也有可能遭受到攻击，系统遭受攻击并不可怕，可怕的是面对攻击束手无策，所以对于IT管理人员来说，公司服务器的运行，包括从运维人员运维到操作系统自身的整个生命周期，均存在安全隐患，所以应构建整体的主机安全防御体系，需从网络安全、数据安全、业务安全、应用安全、中间件安全、操作系统安全多个层次出发，才能达到整体安全防御的效果。

【技术架构】

（一）平台架构

奇安信网神云锁服务器安全管理系统是一款用于对政府、金融、能源、电力、交通、运营商等大型企事业单位服务器的立体化安全检测与防护系统，提供资产梳理、暴露面梳理、风险发现、威胁监测、病毒查杀、等保合规基线、系统加固、溯源分析等全面的安全能力，在服务器端形成、事中控制、事后溯源的一体化防护体系。全面覆盖服务器资产梳理、暴露面梳理、漏洞检测、病毒查杀、勒索病毒防护、等保合规、服务器微隔离、日常运维等12种场景。如下图所示：

奇安信网神云锁服务器安全管理系统为纯软件形态，采用轻量化Agent、管理控制中心结合的方式，为用户解决物理服务器、虚拟服务器环境中可能遇到的服务器管理问题、安全问题、合规问题。系统架构如下图所示：

整体架构分为三部分：

1.Agent客户端：

云锁基于无感化Agent技术，部署在被防护的服务器上（支持物理服务器、虚拟化服务器），支持私有化防护场景，提供多个层面的安全监控和安全保护，可通过接收管理控制中心下发的处置策略快速识别及阻断服务器攻击。

2.云锁管理控制中心：

云锁管理控制中心系统是基于Hadoop构建的服务器安全大数据分析平台，可根据Agent客户端收集到的安全行为和日志进行快速分析及挖掘，准确定位服务器异常行为和安全风险以及入侵威胁，并第一时间进行预警。同时可下发对服务器端口、IP、文件、应用的处置策略，可在第一时间对受攻击的服务器进行阻断及隔离，防止横向感染。

3.接口/API：

云锁提供多种方式的API接口，支持以syslog的方式将系统登录日志、网络行为日志、系统加固日志、文件操作日志、进程操作日志、网络攻击日志、外连设备监控日志、威胁感知事件等日志，推送至威胁感知系统、态势感知与安全运营平台进行数据协同分析。

（二）关键技术

1.资产发现与测绘技术

资产发现与测绘技术，通过主动探测和被动识别的两种方式，从多维度对资产进行探测，管理中心通过自动或人工的方式下发资产收集任务给agent端，该任务由若干负责资产收集的lua脚本组成。agent通过执行任务中的lua脚本，完成主机上各类资产的收集工作。同时还可通过同网段内的Agent自动扫描技术，对未安装Agent的资产进行发现，从而发现未安装Agent的主机。

通过对资产的发现与测绘分析技术，实现了对对服务器资产、进程、账户资产、软件应用、web站点、web框架、web服务、数据库、端口、网络连接、启动服务、计划任务、环境变量、内核模块、安装包、等多个纬度对服务器资产进行全面盘点，并对没有安装客户端的服务器进行识别，解决了服务器资产无法精确盘点、无法知晓的问题。

2.服务器异常行为分析技术

采用服务行为识别和分析技术，通过关联主要服务名称（路径）和端口号对服务器的网络外连，命令执行，文件创建等行为进行监控和学习，并形成行为基线白名单策略，当服务器存在漏洞并被黑客利用后，产生非白名单范围内的网络外连，命令执行，文件创建等行为（偏离行为基线），系统可进行阻断或告警。如下图所示：

通过对服务器服务行为识别分析和判断，实现了白名单行为自主学习，对异常服务行为进行监控告警，解决了攻击者通过混淆服务的行为对服务器发起的攻击。

3.虚拟补丁技术

虚拟补丁技术在不修改应用程序源代码、修改二进制代码或重新启动应用程序的情况下，能够即时建立的一个安全策略实施层，用来防止对已知漏洞的攻击。防护原理如下图所示：

使用虚拟补丁技术，组织可以在大幅减少补丁所需的成本、时间和工作之间取得很好的平衡，同时保持服务的可用性和正常的补丁周期。

4.系统内核驱动加固技术

内核加固技术，通过hook技术对系统I/O请求进行过滤检测,匹配访问控制规则，实现对特定进程文件、注册表的操作的监控与防护，可以对服务器系统安全涉及的控制点实现访问控制限制，防止黑客利用应用漏洞进行提权、创建可执行文件等操作。有效防止原本可信的【白应用】被【黑利用】。如下图所示：

通过构建操作系统的保护层，可确保系统中的信息执行和系统自身的安全性，解决操作系统层面和内核层面面临的恶意代码执行、越权访问、数据泄露、破坏数据等行为，保障操作系统的保密性、完整性、可用性、可靠性。

【应用成效】

1.不更改企业原有的系统及应用

奇安信网神云锁服务器安全管理系统，不会更改原有的业务流程，对系统和应用完全透明，系统和应用性能无影响。

2.全面纵深的服务器安全防御

奇安信网神云锁服务器安全管理系统，可打造服务器、应用、数据多层安全保障的安全生态，并从外部攻击防御到内部安全管控两方面提升网络安全水平。

3.变被动为主动的防御体系

无论是操作系统补丁、杀毒、或IDS等安全防护手段，是以被动防御方式为主，在攻击行为已经出现以后，才进行防御。椒图云锁采用主动防御手段，先将所有行为都视为不可信，根据行为学习及基线，逐步放开可信的行为。

4.变脆弱为强壮的系统

椒图云锁通过资产梳理以及暴露资产的分析加固，可将“脆弱”的操作系统提升至等保2.0的二级、三级标准，对已知和未知的攻击形成防范手段。

【创新经验】

新冠疫情期间，“北京市大数据管理局+北京市大数据中心”联合指挥，推出“北京健康宝”。北京健康宝是北京市民健康、出行、文娱等必备通行证。支撑全市公众健康查询服务。北京健康宝如出现异常，将给北京市按下“暂停键”。北京健康宝自投入使用，一直存在网络攻击干扰，尤其2022年重保之年，接连遇到安全挑战：

2022年冬奥会期间，北京健康宝多次遭受境外网络黑客攻击;

2022年4月28日，北京健康宝多时段遭受境外黑客攻击。

北京健康宝总计部署650台服务器，覆盖9套用途的集群环境，椒图云锁扛起北京健康宝服务器安全防护大旗；针对北京健康宝业务环境，综合采用操作系统加固、威胁发现、rasp防护、命令审计、事件回溯等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现集中的安全管理，从外到内形成一个纵深的安全防御体系。