1、云主机安全

 

 

1.1 需求概述

       随着业务的不断增长，以及业务上云的高速发展，各类端数量飞速提升，同时带来了许多终端主机安全问题，例如：网络木马、病毒、恶意软件等，同时由于终端操作系统及其上的软件漏洞无法避免、终端操作人员的水平各异，以及缺乏统一的终端管控与防病毒工具及平台，内部终端对外暴露大量风险点，给黑客入侵提供了诸多便利。

       通过建设云主机安全可以实现针对服务器及云主机资产的精细化安全访问控制，阻止攻击者在突破边界防御后进行云内的横向移动，同时能够梳理各资产之间的东西向业务访问关系流量，构建资产业务逻辑模型，对东西向流量进行展现和梳理。

 

 

1.2 功能概述

       云主机安全需要对云主机进行系统加固与防护、网络加固与防护等功能： 需要具备反病毒引擎的勒索专防专杀能力，并通过东西向流量隔离技术，实现网络隔离与防护。同时还拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力；具有高级威胁防护功能，专门应对攻防对抗场景。配合主动防御技术能够第一时间阻断恶意代码的运行。

 

1.3 功能说明
       云主机安全可以实现云上主机资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理云主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。

 

1.3.1 病毒防护与查杀
       1、云主机安全支持病毒实时防护功能，在潜在的风险即将发生之前可介入检测，及时阻断恶意代码的运行。病毒处置时，只清除病毒、不损坏文件。 需覆盖以下防御场景如下。

          1）代码执行：通常指进程启动、DLL加载、驱动加载、脚本执行时，会执行恶意代码检查，检出威胁将阻止进程执行并处置病毒。脚本类执行可覆盖无文件病毒的防御，类似PowerShell、WMI、Rundll32、Register32等。

          2）文件改动：当系统中有文件变动时，也会触发恶意代码的检查，可覆盖本机文件改变，浏览器下载文件、聊天软件接收文件。并不是所有的文件变动都会引发恶意代码检查，仅针对潜在的有风险的文件，包括PE类格式（EXE、DLL、SYS等）、Linux的ELF格式、所有的文档类（可能包含宏病毒）、所有的脚本类（Web动态脚本、PS、PY、BAT、SHELL等）。

          3）存储介质连接：U盘是局域网病毒传播的一种常见手段，EDR可在U盘插入电脑时感知到，并根据设置执行U盘病毒检查。

 

       2、云主机安全支持从终端视角查看所有终端病毒查杀情况，并可对所有终端批量进行病毒扫描（快速扫描/全盘扫描/自定义扫描）、停止扫描及处理病毒操作。支持模板化管理信任名单；支持查看单个终端的病毒查杀页面；支持查杀设置，包括扫描模式（极速模式、低资源占用模式）、多引擎设置（默认引擎、深度扫描引擎）、压缩包查杀设置、处理方式；支持扫描后导出病毒查杀的结果报告。

 

1.3.2 网马查杀

       云主机安全支持查看所有终端网马查杀情况，并对所有终端批量进行网马扫描、停止扫描、处理网马。支持模板化管理信任名单；支持查看单个终端的网马查杀页面；支持查杀设置，包括扫描模式（极速模式、低资源占用模式）、多引擎设置（默认引擎、深度扫描引擎）、网马引擎、处理方式；支持扫描后导出网马查杀的结果报告。同时需支持以下功能特点：

          1）对网站目录的文件进行全面检测、多重检测技术结合（特征码、模糊HASH、脚本虚拟机动态检测），对于一句话木马、大马检出率高，误报少。            2）在针对大量文件的情况下，能够在文件不改变的前提下缓存信息，待二次扫描时大幅度提升扫描速度。

          3）通过路径配置对Web应用目录进行深入检测，对扫描出的风险文件进行立即隔离、添加信任、删除操作。

 

1.3.3 主机漏洞管理

       云主机安全可查看所有终端漏洞扫描情况，支持的漏洞类型包括但不限于操作系统漏洞（Windows、Linux等）、数据库漏洞（MySQL等）、Web容器漏洞（Tomcat、Apache、Nginx等）及其他组件漏洞，支持扫描后的漏洞结果报告导出。同时支持对所有终端批量进行Windows漏洞修复。支持以下能力：

          1）采用漏洞库的方式进行检测，可精确快速地根据不同的操作系统定位到未安装的补丁，依靠管理平台的推送功能，可将漏洞库文件推送到终端上安装最新补丁，免受黑客攻击。

          2）在补丁的依赖关系上增加了重启验证机制，保证了补丁安装的稳定性。即使终端无法连接互联网，也可依赖管理平台的离线补丁下载器将补丁文件导入到管理平台，后续终端即可正常下载安装补丁。

          3）漏洞管理功能可对主机系统进行全面漏洞扫描，并对漏洞补丁进行一键修复或单个修复。补丁修复存在一定风险，需测试后再进行修复，以免对正常业务造成影响。

 

1.3.4 微隔离

       云主机安全通过微隔离技术实现云内东西向流量的防护。根据动态策略分析对这些节点执行访问控制，在逻辑上将这些节点隔离开，限制用户横向移动，可直接输入需要关闭的端口或需要屏蔽的恶意IP，可自动生成隔离规则。

 

1.3.5 存储介质查杀

       云主机安全支持对所有终端的移动存储设备进行管控及审计。支持管理员对入网的移动存储介质进行注册，并且对已注册的移动介质进行管理。未进行注册的移动存储设备默认权限按照终端对应的策略模板中“移动存储管控”设置的读写权限执行，已注册的移动存储设备权限优先级高于策略模板。

 

1.3.6 勒索防御

       云主机安全支持通过全周期（事前、事中、事后）、多维度的防护可对各类已知、未知的勒索软件精准检出与防御，发现勒索病毒并及时阻断其运行，实时保护用户关键数据。可通过以下功能实现：

          1）对通用类恶意软件进行主动防御，在进程启动、文件落地、模块加载的时机进行恶意文件扫描，若勒索软件能被杀毒引擎检查到，此时会立即拦截。

          2）勒索诱饵防护引擎：在磁盘根目录放置诱饵文件，确保调用Windows API遍历文件首先遍历到诱饵文件，当对诱饵文件进行操作时，立即告警并结束操作进程。

          3）勒索行为防护引擎：内核驱动级，文件过滤驱动监控针对所有文件的操作，当一定时间内，某进程有大量的文件重命名及写入事件触发内置阈值时，未命中内置白名单则告警并结束操作进程。

          4）文件保险柜：内核驱动级，用户可自定义关键的数据目录（可配置例外进程），被保护的关键目录变为只读，保障数据安全。

          5）事件溯源功能：勒索软件一般执行完毕后会进行自删除操作，当触发针对勒索的防护策略时，会对当前勒索软件进行备份，便于事后确定勒索软件家族、数据恢复。

 

1.3.7 网络防护

          1）防端口扫描 在网络驱动中检查入站到本机的数据包，当某个IP在设置的时间周期内连接本地的不重复的端口数量达到一定次数时，可将该恶意探测IP锁定，防止其进一步获取终端敏感信息。

          2）网络分域隔离 可根据业务需要，将网络划分为多个较小的安全信任域并将主机放入。用户可在信任域内部实施较松的安全策略，而信任域边界实施较为严格的监控与访问控制。终端切换到特定网络域后，将无法访问其他所有自定义网络域地址

 

1.3.8 应用防护

       云主机安全支持Web应用防护能力，可在Web后台程序处理请求之前获取到所有的请求上下文信息提前过滤，对恶意请求及时拦截。

       1、网站漏洞防护 网站漏洞防护具有以下四大功能：

          1）针对常见的SQL注入、XSS跨站攻击进行防护。

          2）可检测到各种主流扫描器行为，根据设置屏蔽对本站的扫描。

          3）针对集中爆发的Web应用程序漏洞（Struts系列漏洞等）可及时更新策略达到免疫效果，自定义的网站漏洞防护，可对页面请求的所有字段进行过滤，并能支持对自定义的请求字段（用户业务自定义字段）进行过滤。

       2、CC攻击防护 智能检测并防御CC攻击行为。同时与微隔离模块达成联动响应，从内核网络驱动中直接丢弃攻击者的数据包，以保证网站的正常服务能力。

       3、网站访问控制

          1）支持对一个IP或IP范围进行Web应用层面的细粒度访问控制。网站访问控制的策略优先级高于网站漏洞防护策略。

          2）支持对网站的URL进行配置，也可通过直接设置域名达到全站放行。

 

1.3.9 事件响应

       云主机安全支持用户设置终端响应动作。

       1、文件变更

          1）告警（是否产生告警日志）。

          2）删除文件（删除此文件）。

       2、进程变更

          1）告警（是否产生告警日志）。

          2）删除文件（删除此进程对应的文件）。

          3）结束进程（结束此进程）。

          4）网络隔离（阻止终端的所有网络连接）。

       3、网络连接

          1）告警（是否产生告警日志）。

          2）网络隔离（阻止终端的所有网络连接）。

       4、账号变更

          1）告警（是否产生告警日志）。

          2）账号登出（登出此账号）。

          3）账号删除（删除此账号）。

          4）账号禁用（禁用此账号）。

          5）结束进程（结束此账号运行的进程）。

 

1.1.3.10 日志管理

       云主机安全支持对相关日志的管理能力，如：防护日志、操作日志、运维日志、日志报表等。

       1、防护日志 记录防护日志，包括渗透追踪、系统防护、网络防护等日志类型。并支持导出和根据关键字进行搜索查询；

       2、操作日志： 可查看用户登录日志、修改密码日志、策略管理日志、分组标签日志、移动存储日志、告警配置日志、资产解绑日志、启用/停止防护日志及短信发送日志。并支持导出和根据关键字进行搜索查询。

       3、运维日志 可查看资产日志（资产上线、资产离线、资产安装、资产卸载、资产升级、开关机日志、账号创建日志）、性能监控日志（CPU监控、内存监控、网络IO监控、磁盘监控、熔断监控）、外设管控日志（外设使用审计、文件拷贝审计）及运维操作日志（文件推送、病毒扫描、病毒处置、网马扫描、网马处置、漏洞扫描、漏洞修复、弱口令扫描、IP/MAC绑定）。并支持导出和根据关键字进行搜索查询。

       4、日志报表 从攻防视角记录平台日志，包括防护日志、操作日志、运维日志等日志类型。并支持分类和根据关键字进行搜索查询。对事情趋势和病毒以及风险终端进行图表展示，并支持导出多种格式报表。