服务器安全加固工具

1 背景概述

随着新基建的推进,云技术成为IT基础设施建设的主力军,是通信网络基础设施、算力基础设施与新技术基础设施进行协同配合的重要结合点,也是整合“网络”与“计算”技术能力的平台。随着全球数字经济发展,云计算成为企业数字化转型的必然选择,上云能够帮助企业创新商业模式、专注核心业务、管理数据资产以及处理遗留应用,从整体上推动企业的数字化转型实践。

随着云计算技术对计算机行业的重塑性影响愈演愈烈,其安全要求也有突破性的提高,IT架构从以传统数据中心为核心向以云计算为承载,融合大数据、人工智能、区块链等新一代技术的数字基础设施转变,多云、混合云成为主要形态,以数据中心内部和外部进行划分的安全边界被打破,IT架构面临更多安全风险:

  1. 工作负载分散难以进行有效的统一安全管理;
  2. 分布式应用架构东西向流量激增,威胁横向扩散风险增大;
  3. 外部威胁突破内网防护边界后隐藏,失陷主机难发现;
  4. 通过邮件投递、欺骗下载等API攻击,恶意文件难检测;
  5. 勒索、挖矿攻击事件不断递增;
  6. 繁冗的防火墙规则,让管理员筋疲力尽;
  7. 安全边界不清晰,缺乏内部区域流量走向可视化工具……

鉴于此,优炫软件推出了面向空间纵深防御的综合安全管理产品,通过多维度安全管理功能,丰富的检测手段,解决云环境、物理环境及混合环境下的安全管控问题。

2 产品简介

2.1 产品概述

优炫操作系统安全增强系统(RS-CDPS)是优炫软件自主研发、面向多行业、解决多需求的主机安全产品。融合Gartner提出的CWPP(Cloud Workload Protection Platform)理念构建主机安全防护方案,集安全检测、监测、响应、审计为一体,专注解决云工作负载层面的安全问题。从资产梳理、风险检测、风险评估、安全加固、入侵防御、主动防御、微隔离等维度,实现风险可视化管理,威胁毫秒级响应,流量东西向隔离,对云主机资产从网络层到应用层全方位立体式纵深防御。支持对公有云、私有云、传统数据中心等环境内的工作负载进行统一、高效管理,具备部署方式简单灵活、防护层面覆盖广泛、系统占用微乎其微等产品优势,在保障工作负载安全的同时,不影响原有业务的连续、稳定运行。

2.2 产品架构

优炫操作系统安全增强系统(RS-CDPS)采用C/S与B/S混合模式架构,由管理中心与安全代理组成。

管理中心:管理中心部署至服务器上,是该产品的安全核心。用户管理员可通过浏览器访问管理中心,进行大屏展示、策略下发、日志查询、报表导出、系统设置等操作。

安全代理:安全代理部署至客户端(需要被管控的服务器)上,是该系统的策略执行单元。提供采集终端信息、接收管理中心的策略、执行管控指令、上报日志等操作。

cdpsimg-3

图 2‑1产品架构图

2.3 产品部署

2.3.1 单中心集中式部署

该部署模式针对中小型集中式数据中心,此类数据中心运行模式通常具有网络结构内外网分离、主机设备相对较少、网络拓扑比较清晰、仅有数个安全域的划分等特点。针对此类场景仅需部署一个安全管理中心,安全代理端部署在物理机、虚拟机、云环境等节点上,实现一个管理中心对全部节点的安全管理。

cdpsimg-4

图 2‑2单中心集中式部署图

2.3.2 多层级分布式部署

该部署模式针对大型分布式数据中心,此类数据中心运行模式通常具有主机分布于多个物理地点、主机设备较多、网络拓扑复杂、有多个安全域的划分等特点。针对此类场景仅需部署一个一级安全管理中心、多个二级管理中心,二级管理中心将数据信息上报一级管理中心,安全代理端部署在物理机、虚拟机、云环境等节点上,实现分布式部署管理中心对全部节点的安全管理。

cdpsimg-5

图 2‑3多层级分布式部署图

3 产品功能

3.1 安全可视化

以全面采集海量安全数据为载体,以实时监测、关联分析与风险评估为依托,以重要安全事件的发现与告警为保障,生成安全大屏、安全总览、安全态势,全面认知系统整体情况,使资产与安全的查看更直观清晰。全面简单、直观易懂的可视化界面满足高效浏览安全数据的需求,帮助管理者提高决策水平和质量。

cdpsimg-6

图 3‑1安全大屏界面

cdpsimg-7

图 3‑2安全总览界面

cdpsimg-8

图 3‑3安全态势界面

3.2 安全体检

安全体检模块对主机进行一键式或定时体检,协助客户掌控主机的安全状态,并自主生成体检报告,方便客户及时下载查看。

cdpsimg-9

图 3‑4安全体检界面

3.3 资产清点

资产清点模块提供细粒度资产信息采集能力,可对主机系统资产、应用资产、Web资产、数据库资产等进行全面清点,并且从这些资产中发现安全隐患,保证资产运维和安全能力兼顾,提取资产信息实现可视化资产分析;跨平台资源管理,统筹安全运维;多种类设备发现,赋能安全运营;细粒度资产指纹,主机分组/标签化管理,协助客户清晰认识资产详情。

3.3.1 资产列表

以列表形式展示主机的主机信息、分组、代理端状态、资产信息、告警数量、安全评分、硬件信息、安装时间、最后在线时间等信息,提供主机详情,方便客户对单个主机进行资产管理、风险评估、入侵检测、安全防护、高级防御、合规基线、访问控制策略配置。方便客户快速掌握主机资产安全状态,及时对安全风险高的主机进行安全策略配置,提高主机的安全性、抗攻击性。

cdpsimg-10

图 3‑5资产列表界面

3.3.2 资产指纹

通过细粒度指纹的形式,以主机视角和资产视角可视化展示所有帐户、端口、数据库、进程、web中间件、Web站点、Web应用、Web应用框架、应用软件、第三方组件、Jar包、环境变量、内核模块、计划任务、系统启动项、xinetd托管服务、windows证书等资产,方便用户全面掌握主机的资产信息。

cdpsimg-11

图 3‑6资产指纹界面

3.4 风险评估

以主机为单位从漏洞、病毒、Webshell后门、弱口令、风险帐号、文件完整性等维度,综合评估操作系统及其上部署的应用或其它组件的安全性,按照风险模型进行全面检查并评估出健康值,针对风险合规处理实现基础安全防范,提高了系统的防御门槛。其通过可视化风险分析,发现多种类设备潜在风险,方便用户基于主机角度简单直观地查看系统安全情况。

3.4.1 漏洞管理

漏洞管理通过在扫描粒准确性上优于网络扫描的主机扫描方式,全面、高效地发现主机漏洞,提供漏洞修复方案,其漏洞库包含CEV和CNNVD,并获国家信息安全漏洞库CNNVD兼容性认证。具备漏洞库升级功能,保障了漏洞检查的全面性、精确性。通过主机视角、漏洞视角、可视化漏洞分析,方便用户简单直观地查看系统漏洞情况。

cdpsimg-12

图 3‑7漏洞管理界面

3.4.2 病毒扫描

通过病毒扫描,一键批量检测主机病毒文件,并设置隔离区、信任区管理恶意代码文件,提供“节能”和“高速”两种扫描方式,支持快速、全盘、自定义三种查杀方式,对关键目录和外接设备文件实时病毒监测。提供病毒库升级功能,保障了病毒扫描的全面性、精确性、准确性。通过主机视角、恶意代码视角,方便用户简单直观地查看、处理恶意代码文件。

cdpsimg-13

图 3‑8病毒扫描界面

3.4.3 Webshell扫描

监测主机web路径的PHP、ASP、ASPX、JSP等web类型文件是否存在后门,支持后门文件下载查看,并设置隔离区、信任区管理后门文件。通过主机视角、后门视角,方便用户简单直观地查看、处理后门文件,减少主机暴漏面。

cdpsimg-14

图 3‑9 Webshell后门检测界面

3.4.4 弱口令

通过弱口令字典全面检查操作系统帐户和数据库帐户密码,发现弱口令帐户,扫描时字典与帐号智能拼接实现非重复扫描。弱口令字典支持导出、更新功能,保障字典的全面性、精确性。通过主机视角、弱口令帐号视角实现弱口令帐户可视化,方便用户简单直观地处理弱口令帐户,提高主机的安全性、抗攻击力。

cdpsimg-15

图 3‑1弱口令界面

3.4.5 文件完整性

通过模板化定义核心文件完整性检查策略,手动或定时检测核心文件变更状态,以主机视角、变更文件视角方便客户及时发现被篡改的文件,快速解决文件被篡改带来的风险,减少客户损失。

cdpsimg-16

图 3‑11文件完整性界面

3.5 入侵防御

入侵防御基于行业安全标准、结合十余年安全领域技术积累与实践经验,建立入侵检测特征库,覆盖多达30000+种入侵特征,有效识别并处置入侵威胁事件,如:防暴力破解、本地提权、反弹Shell、隐藏进程、隐藏端口、提权文件、用户行为审计、微蜜罐等。

3.5.1 暴力破解防御

实时监控系统SSH、RDP、SMB、Telnet认证事件,通过对持续时间段内异常认证次数分析,识别暴力破解行为并上报告警,攻击IP自动加入IP黑名单,并根据IP黑名单防御策略进行响应。

cdpsimg-17

图 3‑12暴力破解配置界面

3.5.2 本地提权

根据提权进程特征,实时检测主机运行进程,发现提权进程告警通知,并提供加入白名单和阻断进程等方法,方便运维人员管理提权进程。

cdpsimg-18

图 3‑2本地提权配置界面

3.5.3 反弹Shell防御

结合深度行为检测算法实时监控用户的进程,及时发现进程的非法Shell连接操作产生的反弹Shell行为,如netcat工具反弹、socat反弹、bash直接反弹、 python脚本反弹、java脚本反弹、perl脚本反弹等。针对检测结果,按照配置的响应方式(仅记录和拦截)进行响应并上报告警,告警信息中提供了反弹行为的Shell进程、进程树等信息,为后续溯源提供判定依据。

cdpsimg-19

图 3‑14反弹shell配置界面

3.5.4 Rootkit检测

RS-CDPS根据隐藏端口、隐藏进程、提权文件的特征,创建其对应Rootkit检测模型,通过系统文件、进程、端口深度检测,发现隐藏端口、隐藏进程、提权文件,实时告警响应,方便客户及时kill隐藏进程,隐藏端口加入黑名单,提权文件添加审计。

cdpsimg-20

图 3‑15Rootkit检测界面

3.5.5 用户行为审计

通过对关键目录和核心文件的读、写、执行、修改等异常用户行为创建审计规则,并实时监控,发现异常操作后写入日志文件,方便运维人员追溯违规行为。

cdpsimg-21

图 3‑16文件完整性界面

3.5.6 微蜜罐

通过指定特定主机及其特定端口作为蜜罐,对各端口进行监听,扩大入侵监控范围,及时发现恶意端口攻击行为,并实时报警通知,为运维人员了解黑客攻击方法提供非常大价值,方便运维人员及时配置针对性的主机安全策略。

cdpsimg-22

图 3‑17微蜜罐管理界面

3.6 主机防御

主机防御针对黑客攻击关键节点建立联动自主机制的攻击模型,从黑客攻击的关键节点进行防御,针对发生的危险事件毫秒级响应,第一时间发出告警,并且对监测到的事件作­­­­­出安全防御响应,通过以功能联动为出发点的安全防御机制,弥补出现的“安全漏洞”,同时结合告警功能与可视化功能,对威胁程度较高的事件进行告警与展示。

3.6.1 DDOS攻击防御

根据IP白名单策略,持续抓取数据包,若依据防御阈值设置分析为DDOS攻击,则攻击源IP自动加入黑名单,根据IP黑名单防御策略进行响应,有效阻止流量式攻击。

cdpsimg-23

图 3‑18 DDOS攻击防护配置界面

3.6.2 登录管控

实时监控系统访问事件,基于IP和帐户白名单策略分析,对非法登录IP和帐户上报告警。

cdpsimg-24

图 3‑19登录管控配置界面

3.6.3 防端口扫描

根据端口扫描特征建立端口扫描模型模式,实时监测主机端口扫描行为,并告警通知。

cdpsimg-25

图 3‑20端口扫描配置界面

3.6.4 端口访问管控

检测主机的对外端口、对内端口、高危端口,方便运维人员根据系统业务的实际情况配置端口黑白名单策略。

cdpsimg-26

图 3‑21端口检测界面

3.6.5 系统防护

Ping攻击防御

Ping 攻击防御阻断黑客向主机发送不接收回复的数据包,避免消耗主机资源。

禁止磁盘格式化

禁止恶意格式化磁盘,有效阻断黑客恶意破坏主机数据。

产品自防护

通过内核防护技术保护RS-CDPS核心进程与文件,禁止删除、修改产品核心文件和阻断产品进程。

禁止主机管理用户

管理主机用户操作,禁止通过主机任意创建用户。

cdpsimg-27

图 3‑22系统防护配置界面

3.6.6 外设管控

通过以下方式对外接设备进行管控,防止病毒通过USB感染主机:

USB存储白名单

通过设置USB存储类型外接设备白名单库,细粒度地管理可信任外接设备的正常使用,而限制非法外接设备的随意接入。

光盘存储

限制USB光驱接入。

无线网卡防御

限制USB无线网卡接入。

cdpsimg-28

图 3‑23外设管控配置界面

3.7 高级防护

高级防护通过应用白名单管控、勒索病毒防护、挖矿病毒防护等方式,降低主机某些未知软件隐藏加载带来的风险,从根本上杜绝勒索病毒、木马病毒、蠕虫病毒、挖矿病毒及其变种病毒攻击。

3.7.1 应用白名单

以应用白名单策略为验证方式,通过内核安全技术控制主机上的应用,即白名单应用可在目标环境中运行,非白名单应用则阻断。对环境中运行的应用进行限制,减少不安全的应用对主机进行攻击的可能性,同时对应用进行监控,及时发现攻击并作出响应,实现软件运行真正安全可控。

cdpsimg-29

图 3‑24应用白名单配置界面

3.7.2 勒索病毒

根据勒索病毒特征建立病毒检测模型,通过投放诱饵、监控关键目录等方式,快速有效发现主机中的勒索病毒,并告警通知,提供信任、隔离等方式,方便运维人员管理勒索病毒。

cdpsimg-30

图 3‑25勒索防护界面

3.7.3 挖矿病毒

根据挖矿病毒特征建立检测模型,通过进程实时监控,快速有效发现主机中的挖矿病毒,并告警通知,提供信任、隔离等方式,方便运维人员管理挖矿病毒。

cdpsimg-31

图 3‑26挖矿防护界面

3.8 合规基线

合规基线作为最小化的操作系统安全保护屏障,其内置了丰富的等级保护(安全计算环境三级)基线规范和CIS模板,全面覆盖操作系统、数据库(Mysql、Oracle、UXDB等)、中间件(Nginx、Tomcat等),模板可灵活更改,量身定制。通过一键批量式和周期性合规化流程,直观的以主机视角和基线视角展示主机基线状况,即高效又便捷地完成基线合规需求,随时导出报表,做好基础安全防范,提高系统安全性、抗攻击能力。

cdpsimg-32

图 3‑27合规基线界面

3.9 微隔离

基于业务标签化处理,对主机各个分组端对端的网络流量、方向进行实时监控。监控发现的异常流量,可通过主机微隔离策略对东西向的网络进行隔离,实现针对主机内部网络东西向安全的风险防御,有效预防与应对未知威胁、暴露面扩大问题。

同时,RS-CDPS相比于传统防火墙,通过自然语言的微隔离策略,减少了90%以上的防火墙策略配置,借助流量可视化展示工具,协助用户了解内部网络信息流动情况,梳理业务访问关系,有效提高了用户的管理效率。

cdpsimg-33

图 3‑28微隔离拓扑可视化界面

流量采集

通过流量采集器持续采集主机流量包,分析其上下行流量及频次,为流量可视化展示和流量异常告警提供依据。

标签管理

RS-CDPS支持配置主机的位置、环境、系统、角色、内外网标签,可通过IP段快速设置主机标签,为微隔离可视化展示、外网流量线提供依据。

可视化展示

微隔离可根据位置、环境、系统等标签,帮助系统可视化展示标签内外的流量方向,流量线根据不同颜色展示异常流量,支持对未定义流量线、应用系统间流量、指定服务过滤。可视化即可自动根据角色归类展示,也可单独展示,支持对流量线的流量信息查看和微隔离策略添加。

策略自适应

微隔离基于标签化、接近自然语言的策略模型,变更主机策略跟随标签自动适应迁移,相比于传统产品可降低90%的防火墙策略配置数量。

策略自学习

微隔离通过24、48或72小时的持续流量采集,根据规则模型统计分析自动生成微隔离策略,更好的适应实际网络需要。

3.10 运维监控

实时监控主机CPU、内存、硬盘、网络流量等资源使用情况,发现高负载资产及时告警通知,方便人员及时处理,保障业务系统正常运行。同时RS-CDPS具有性能保护机制,当业务主机长时间处于高负载状态,RS-CDPS自动休眠,降低主机资源使用率,保障用户业务正常运转。

cdpsimg-34

图 3‑29运维监控告警界面

3.11 文件剩余信息清除

文件剩余信息清除以防止已删除核心数据泄露为目的,确保删除后文件不可恢复。

cdpsimg-35

图 3‑30文件剩余信息清除

3.12 事件溯源

RS-CDPS具备溯源能力,通过详细的审计日志发现入侵行为的始末,为后续安全防御手段升级提供数据支撑。

cdpsimg-36

图 3‑31事件溯源

3.13 报表管理

通过采集海量安全数据,实时监测并进行关联分析,为用户生成简单、直观、易懂的安全周报和安全月报,帮助管理者提高决策水平和质量。

cdpsimg-37

图 3‑32报表管理界面

4 技术优势

4.1 云主机安全解决方案

基于CWPP云主机安全解决方案理念,集安全检测、监测、响应、审计为一体,重点解决云工作负载层面失陷主机难发现、安全边界不清晰、横向风险易扩散等安全问题,兼顾传统物理机安全加固、风险检测、主动防御等安全防御策略,形成云主机安全整体解决方案。

cdpsimg-38

图 4‑1云主机安全解决方案

4.2 安全功能模块化

平台以业务安全为核心目标,以功能模块化为设计理念,通过授权配置“变身”为不同的安全管理系统。帮助用户实现功能需求一键扩展,大幅降低实施部署成本。

图 4‑2安全功能模块

4.3 内核深层次防护

根据自主性的攻击防御策略,基于深层次内核防护技术,从IP黑名单、端口黑名单、文件访问控制、应用程序白名单对主机进行全方位深度防护。

4.4 融合ATT&CK攻击框架理念

融合ATT&CK攻击框架理念,分解黑客攻击流程的关键节点,形成优炫自有威胁分析知识库,有效提升安全事件识别率,减少误报风险。

4.5 安全代理轻量化

客户端安全代理实现“轻量化”运行,对系统整体性能影响微乎其微,CPU占用不超过1%,内存占用不超过30M,不影响客户的业务系统正常运行,有效节省服务器资源。

4.6 第三方系统集成

通过API接口,提供与第三方业务系统、产品整合的能力。

4.7 一键部署无影响

支持从管理中心推送安装,客户端主机安装代理后无需重启等任何操作,实现无影响安装,达到安全代理一键部署、开“箱”即用的效果,降低实施成本。

5 典型应用场景

5.1 等保合规

RS-CDPS满足国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、关键信息基础设施等重要行业和领域等级保护评定要求,提供快速合规通道,实现一键合规。支持用户根据不同等保级别进行一键切换,灵活调整基础设施的安全保护级别,配置生效后系统提供详细安全报告,实现了重大社会活动期间安全保护级别的快速提升。

图 5‑1等保安全计算环境要求结构图

5.2 主机安全检查

RS-CDPS从资产管理、合规管理、安全报表三个方面,满足当前社会行业安全建设、测评安全整改、企业风险排查的需求。资产管理对主机资产进行梳理,展示主机风险检测的不合规统计结果、安全评分等信息;合规管理从合规基线、弱口令、漏洞、高危端口、恶意代码、文件完整性等维度进行风险检测,将不合规项合规化处理;报表管理可自定义报表、自动生成安全周报、安全月报,进而达到行业主机安全检查、安全建设要求,提高主机防御门槛,保证主机计算环境的清朗有序。

cdpsimg-41

图 5‑2主机安全检查

5.3 主机攻击防御

黑客攻击的一般流程为信息收集、漏洞利用、暴力破解、提权、渗透内网、隐藏痕迹、攻击主机。RS-CDPS融合ATT&CK理念,分析黑客攻击的关键节点,从黑客攻击流程关键节点建立威胁事件的检测、监测、响应联动机制,从风险检测加固、入侵监测响应、攻击主动防御等维度,对黑客攻击的关键节点进行全方位综合防护,提升主机抗攻击性和主动防御能力。

cdpsimg-42

图 5‑3主机攻击防御

5.4 防勒索病毒

RS-CDPS以“零信任”理念为基础,通过内核安全技术控制主机上的应用,采用白名单方式验证,以“非白即黑”高强度的自动化安全管控策略为保障,对环境中运行的应用进行实时监控,及时发现非法应用程序运行并作出响应,限制不安全应用运行,杜绝不安全应用对主机进行攻击,实现软件运行真正安全可控,降低一些未知的软件隐藏加载带来的风险,从根本上杜绝勒索病毒、未知病毒的入侵。

cdpsimg-42

图 5‑4防勒索病毒

5.5 东西流量管控

RS-CDPS基于部署代理方式进行探测,以图形化的方式向用户展示业务流量,以主机标签的方式,合并应用内主机,梳理完业务后,阻断非必须的连接,达到对云主机东西流量管控,解决客户对云主机边界不清晰、威胁面易扩散、防火墙规则难管理的问题。

cdpsimg-43

图 5‑5流量管控

5.6 主机安全综合防护

RS-CDPS对主机安全进行全方位综合防护。首先分级实现主机安全建设要求,即“事前检查”、“事中拦截”、“事后溯源”。

“事前”合规检查从合规基线、漏洞、恶意代码、弱口令、高危端口、文件完整性等多维度进行风险检测,针对风险进行合规处理,实现基础安全防范,提高了系统的防御门槛。

“事中”根据攻击流程从“入侵检测”和“主动防御”两方面实时监测,针对发生的危险事件第一时间发出告警,并且对监测到的事件作出安全防御响应,通过以功能联动为出发点的安全防御机制,第一时间弥补出现的“安全漏洞”。

“事后”具备溯源能力,通过详细的审计日志记录入侵行为的始末,为后续安全防御手段升级提供数据支撑。

其次,在以上安全建设的基础上,提供如下功能,进一步加强主机的安全建设。

资产管理,方便客户盘点资产。

微隔离对计算机网络进行东西向管理,有效阻止暴露面的扩散。

访问控制对用户、角色、进程、文件的访问进行强制或自主权限管控,限制用户访问未被允许的资源,从而有效防止核心数据被恶意篡改、泄露。

最后,RS-CDPS提供了安全评分、大屏展示等功能,方便客户及时掌握主机的安全状态,针对安全事件及时启动响应。通过采集海量安全数据、实时监测并进行关联分析,生成简单、直观、易懂的安全周报和安全月报,帮助管理者提高决策水平和质量。

cdpsimg-45

图 5‑6主机安全综合防护方案

Copyright © 2026 UXSNIO版权所有