产品背景
信息化发展至今,安全一直是围绕着信息系统建设整个生命周期不可忽视的问题。“木桶原理”的特性标志着信息安全防护任何一个环节的薄弱都将降低安全防护整体水平。为此,国内各大网络安全研究组织和监管单位积极探索信息安全防护体系,相继颁布网络安全建设的指导意见和规章制度,其中主机层的安全防护一直是最重要的一部分。
然而,企业在网络安全建设中往往更重视常规的网络边界安全防御手段,如加强防火墙、IDS、漏洞扫描等方面的防御,重要的安全设施大致集中于机房或网络出口处,在这些设备的严密监控下,来自网络外部的安全威胁已经大大地减小。相反,来自主机层面的安全威胁已经成为是众多安全管理人员所面临的最棘手的问题。“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”、“永恒之蓝”等病毒的连续性爆发为起点,到主机间的越权访问、入侵攻击等诸多终端安全事件在各地网络频繁发生,使政府机关和企事业单位的网络管理人员头痛不已,主机安全防护类产品日益受到客户的重视。
1.2 安全需求
(一) 入侵风险
主机系统脆弱性主要是指计算机系统存在安全漏洞,主机系统总是会存在各种各样的漏洞,现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险。并且补丁的更新往往会存在一定的滞后性,不法分子极易利用系统漏洞轻松的盗取和破坏主机中的信息和数据。
(二) 病毒威胁
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄露。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。
(三) 东西向隔离
云主机是租户上云业务的支撑点,所有的业务系统都是在云主机计算完成,但是因为云上主机的特殊性,云主机间的流量交互均在虚拟交换机内部完成,传统安全防护产品无法带到访问控制和攻击防护的目标。为了防止某台云主机被攻击后作为跳板进而攻击同宿主硬件服务器内部虚拟机,需要实现云主机间的东西向隔离。
(四) 其他安全性需求
主机系统一直面临包括数据窃取、数据篡改、非授权访问、病毒破坏等安全问题的威胁。需要通过操作系统的加固措施增强主机和操作系统平台的可靠性,增强对主机访问控制和审计,强化恶意代码防护,增强对关键数据的保护等。
1.3 政策要求
《中华人民共和国网络安全法》的颁布,让网络安全上升到国家法律的高度,网络安全法要求:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,且履行采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的义务。
GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》于2019年5月10日正式发布,安全计算环境部分要求:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
产品简介
2.1 产品架构
云主机防御产品由管理控制中心和客户端两部分组成。
管理中心通过虚机实例的形式为租户提供,主要功能为终端信息收集和集中管理、集中管控、统一策略下发。管理中心采用B/S架构,系统管理人员可通过云管平台直接跳转至管理中心管理页面制定终端防护策略。
客户端软件是一个独立的可执行程序,安装在被控的主机上,管理中心下发策略至客户端软件,客户端软件根据防护指令完成被控主机的病毒查杀、访问控制、入侵保护等工作。
2.2 功能概述
云主机防御InHD(Inspur Host defense)是一款集成了系统防护与加固、网络防护与加固等功能的主机安全产品。主机防御产品有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。支持防病毒功能、入侵防御功能、数据信息采集上报、安全事件的一键处置等。适用于云服务器、桌面PC、服务器、工控系统、国产操作系统、容器安全等各个场景。
2.3 产品规格
| 名称 | 规格 | 单位 | 描述 |
|---|---|---|---|
| 云主机防御 | 标准版 | 台 | 云主机(虚拟机)提供防病毒、主机防火墙、入侵防御、防暴力破解、webshell检测、安全基线、虚拟化加固等功能 |
功能详解
3.1 资产管理
全网终端资产的全面盘点,包含业务服务器的终端和用户PC的终端。盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等。每一台的终端上的资产信息清晰,每一个安全事件责任到人,使得安全管理能落实到位。
3.2 网络防护
3.2.1 微隔离
产品采用内核级防火墙技术,精确识别云主机流入/流出业务流量,支持以源/目的IP地址、地址组、服务类型、端口号等多元素制定访问控制策略,精准阻断云主机间未授权流量的交互。
3.2.2 防扫描
通过对指定地址端口恶意探测次数的限制,防止对云主机服务端口的扫描。一旦发现恶意扫描行为,及时锁定扫描源地址,防止其对云服务器的进一步恶意操作。
3.3 病毒查杀
云主机防御产品采用多个本地病毒查杀引擎,能够对已知、未知病毒、木马、恶意程序以及各种加壳的病毒文件进行检测和清除。
3.3.1 病毒防护能力
病毒查杀功能支持极速查杀、均衡查杀和性能保护查杀三种模式。通过快速查杀、全盘查杀的方式扫描各文件夹发现病毒并进行自动清除。采用启发式引擎,具有未知病毒扫描查杀能力。系统预置亿级病毒特征库,并具备机器学习能力,在断网状态下具备不依赖病毒库特征,而采用人工智能识别方式对未知病毒进行查杀。
产品具备宏病毒查杀能力,可以解析office所有常用版本的文档,处理被感染的文档,将恶意代码清除而保留正常文档。清除操作的粒度可以到清除excel公式、宏脚本中某个函数等。支持25种解压缩格式,涵盖压缩包、安装包、文档格式解析能力。支持安装脚本级查杀,拦截流氓软件捆绑和勒索软件查杀能力。
3.3.2 信任文件
支持设置信任列表,通过指定添加文件的方式手工指定信任文件,减少文件误杀率。
3.3.3 病毒库更新
病毒库支持每周从互联网和本地病毒库服务器下载更新病毒特征库。
3.4 威胁防护
产品采用主动防御技术,包括系统关键点防护、注册表防护、驱动加载防护、程序防注入防护、进程防护。具备基于多步行为判断的主动防御技术,能够根据样本一系列的行为特征来进行综合的风险判定。
3.4.1 登录防护
支持制定账户登录管理策略,针对访问来源(账户、 地理位置、远程 IP 或域名、远程计算机名)、访问时间的配置管理策略, 实时阻断非法登录。同时支持弱口令监测能力。
3.4.2 进程防护
进程启动防护是进程启动时的主动防御机制,在进程启动、文件创建时自动触发,阻断恶意程序运行。
开启进程白名单,通过配置进程白名单,只允许受信任的进程启动,对其他进程可以做仅记录、阻断并记录两种设置。
3.4.3 攻击防护
产品具备常见的SQL注入攻击、XSS跨站、Web容器及应用漏洞、文件名解析漏洞等网站攻击行为的防护。
支持通过静态检查与动态执行检测结合,可对网站目录下所有文件进行深入检测,清扫隐藏的WebShell,解除后顾之忧。
产品部署
通过虚拟机实例交付云主机防御管理中心,被控终端通过管理中心下载安装安全管理客户端。
