【單位簡介】

奇安信科技集團(tuán)股份有限公司（以下簡稱奇安信，股票代碼688561）成立于2014年，專注于網(wǎng)絡(luò)空間安全市場，向政府、企業(yè)用戶提供新一代企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，在人員規(guī)模、收入規(guī)模和產(chǎn)品覆蓋度上均位居行業(yè)第一。奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司是奇安信集團(tuán)旗下集技術(shù)研發(fā)、平臺管理、綜合服務(wù)于一體的信息安全產(chǎn)品與服務(wù)提供商。

2019年5月，中國電子以37.31億元戰(zhàn)略入股奇安信，奇安信正式成為網(wǎng)絡(luò)安全國家隊(duì)。2019年12月，奇安信成為北京2022年冬奧會和冬殘奧會官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商。2020年7月22日，奇安信在科創(chuàng)板掛牌上市。2021年，奇安信在“中國網(wǎng)安產(chǎn)業(yè)競爭力50強(qiáng)”榜單中排名第一，并被評為北京市第一批“隱形冠軍”企業(yè)。2022年3月13日，奇安信圓滿完成了北京冬奧會和冬殘奧會網(wǎng)絡(luò)安全保障工作，兌現(xiàn)了北京冬奧網(wǎng)絡(luò)安全“零事故”的承諾,為我國關(guān)鍵信息基礎(chǔ)設(shè)施和重大活動的網(wǎng)絡(luò)安全保障提供示范樣本和有益經(jīng)驗(yàn)。

奇安信一直是國家重大活動保障任務(wù)的重要支撐力量。公司多次參與國家重大活動網(wǎng)絡(luò)安保工作，包括全國“兩會”、70周年閱兵、一帶一路峰會等，是同行業(yè)里參與重保次數(shù)最多、配備人力最多的企業(yè)。同時，公司也是實(shí)戰(zhàn)攻防演習(xí)的主力軍，攻擊能力和防守效果全面領(lǐng)先，屢獲國家相關(guān)部門和客戶的認(rèn)可及感謝。公司還建立了一支覆蓋全國省市的三級應(yīng)急響應(yīng)和安全服務(wù)團(tuán)隊(duì)，并開通了全國第一個網(wǎng)絡(luò)安全行業(yè)服務(wù)短號95015，全面滿足各大政企機(jī)構(gòu)的應(yīng)急響應(yīng)和網(wǎng)絡(luò)安全保障需求。

【應(yīng)用背景】

在目前的網(wǎng)絡(luò)安全大環(huán)境下，傳統(tǒng)防護(hù)手段和防病毒安全系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，避免病毒對企業(yè)的數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)等資產(chǎn)帶來威脅，必須對企業(yè)的主機(jī)安全系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，企事業(yè)單位主要面臨以下挑戰(zhàn)：

一是服務(wù)器資產(chǎn)家底不明，由于企業(yè)在信息化方面的投入不斷增加，IT資產(chǎn)也隨之增漲。早幾年里，企業(yè)的安全運(yùn)營人員面對機(jī)房里的資產(chǎn)管理還能從容應(yīng)對。如今，如果對資產(chǎn)管理的重視程度和運(yùn)營方式還停留在以前的水平，遲早會成為黑客的下一個目標(biāo)；

二是服務(wù)器資產(chǎn)暴露公網(wǎng)不知，如果要入侵一臺服務(wù)器，從開放的端口服務(wù)下手；那么，如果要入侵一家企業(yè)，從互聯(lián)網(wǎng)暴露面資產(chǎn)進(jìn)行探測，主要圍繞域名、IP進(jìn)行信息收集。不少企業(yè)因各種歷史遺留問題，如業(yè)務(wù)端口開通沒有進(jìn)行登記管理、項(xiàng)目交接、人員調(diào)動等客觀因素，導(dǎo)致企業(yè)外網(wǎng)資產(chǎn)一直存在混亂狀態(tài)，隱形資產(chǎn)成為了攻擊者的切入點(diǎn)；

三是服務(wù)器漏洞層出不窮，據(jù)CNNVD統(tǒng)計(jì)，僅2020年被曝出漏洞就達(dá)29320個，這只是冰山一角，多數(shù)客戶面對0day漏洞、未知漏洞時，缺乏有效防護(hù)手段；

四是服務(wù)器遭受攻擊后無法止損和溯源，一旦企業(yè)中的某臺服務(wù)器被攻破或遭受到勒索病毒攻擊，攻擊者會在內(nèi)網(wǎng)掃描入侵更多機(jī)器進(jìn)行橫向爆破，但由于失陷主機(jī)受控或發(fā)起惡意行為往往難尋規(guī)律、隱蔽性極強(qiáng)，只能被動的等待問題發(fā)生后進(jìn)行補(bǔ)救，同時黑客攻擊技術(shù)越發(fā)精深、手段越發(fā)高超隱蔽，無法在第一時間精確的定位攻擊者；

五是補(bǔ)丁周期滯后且無法覆蓋已知所有漏洞，截止到2020年12月尚有2018的5056個漏洞未補(bǔ)，猶如定時炸彈，隨時可能引爆，同時政企客戶場景非常復(fù)雜，打補(bǔ)丁后經(jīng)常出現(xiàn)程序不兼容甚至系統(tǒng)崩潰等現(xiàn)象。

結(jié)合以上的服務(wù)器安全防護(hù)痛點(diǎn)，我們可以得出，安全總是相對的，再安全的服務(wù)器也有可能遭受到攻擊，系統(tǒng)遭受攻擊并不可怕，可怕的是面對攻擊束手無策，所以對于IT管理人員來說，公司服務(wù)器的運(yùn)行，包括從運(yùn)維人員運(yùn)維到操作系統(tǒng)自身的整個生命周期，均存在安全隱患，所以應(yīng)構(gòu)建整體的主機(jī)安全防御體系，需從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)安全、應(yīng)用安全、中間件安全、操作系統(tǒng)安全多個層次出發(fā)，才能達(dá)到整體安全防御的效果。

【技術(shù)架構(gòu)】

（一）平臺架構(gòu)

奇安信網(wǎng)神云鎖服務(wù)器安全管理系統(tǒng)是一款用于對政府、金融、能源、電力、交通、運(yùn)營商等大型企事業(yè)單位服務(wù)器的立體化安全檢測與防護(hù)系統(tǒng)，提供資產(chǎn)梳理、暴露面梳理、風(fēng)險發(fā)現(xiàn)、威脅監(jiān)測、病毒查殺、等保合規(guī)基線、系統(tǒng)加固、溯源分析等全面的安全能力，在服務(wù)器端形成、事中控制、事后溯源的一體化防護(hù)體系。全面覆蓋服務(wù)器資產(chǎn)梳理、暴露面梳理、漏洞檢測、病毒查殺、勒索病毒防護(hù)、等保合規(guī)、服務(wù)器微隔離、日常運(yùn)維等12種場景。如下圖所示：

奇安信網(wǎng)神云鎖服務(wù)器安全管理系統(tǒng)為純軟件形態(tài)，采用輕量化Agent、管理控制中心結(jié)合的方式，為用戶解決物理服務(wù)器、虛擬服務(wù)器環(huán)境中可能遇到的服務(wù)器管理問題、安全問題、合規(guī)問題。系統(tǒng)架構(gòu)如下圖所示：

整體架構(gòu)分為三部分：

1.Agent客戶端：

云鎖基于無感化Agent技術(shù)，部署在被防護(hù)的服務(wù)器上（支持物理服務(wù)器、虛擬化服務(wù)器），支持私有化防護(hù)場景，提供多個層面的安全監(jiān)控和安全保護(hù)，可通過接收管理控制中心下發(fā)的處置策略快速識別及阻斷服務(wù)器攻擊。

2.云鎖管理控制中心：

云鎖管理控制中心系統(tǒng)是基于Hadoop構(gòu)建的服務(wù)器安全大數(shù)據(jù)分析平臺，可根據(jù)Agent客戶端收集到的安全行為和日志進(jìn)行快速分析及挖掘，準(zhǔn)確定位服務(wù)器異常行為和安全風(fēng)險以及入侵威脅，并第一時間進(jìn)行預(yù)警。同時可下發(fā)對服務(wù)器端口、IP、文件、應(yīng)用的處置策略，可在第一時間對受攻擊的服務(wù)器進(jìn)行阻斷及隔離，防止橫向感染。

3.接口/API：

云鎖提供多種方式的API接口，支持以syslog的方式將系統(tǒng)登錄日志、網(wǎng)絡(luò)行為日志、系統(tǒng)加固日志、文件操作日志、進(jìn)程操作日志、網(wǎng)絡(luò)攻擊日志、外連設(shè)備監(jiān)控日志、威脅感知事件等日志，推送至威脅感知系統(tǒng)、態(tài)勢感知與安全運(yùn)營平臺進(jìn)行數(shù)據(jù)協(xié)同分析。

（二）關(guān)鍵技術(shù)

1.資產(chǎn)發(fā)現(xiàn)與測繪技術(shù)

資產(chǎn)發(fā)現(xiàn)與測繪技術(shù)，通過主動探測和被動識別的兩種方式，從多維度對資產(chǎn)進(jìn)行探測，管理中心通過自動或人工的方式下發(fā)資產(chǎn)收集任務(wù)給agent端，該任務(wù)由若干負(fù)責(zé)資產(chǎn)收集的lua腳本組成。agent通過執(zhí)行任務(wù)中的lua腳本，完成主機(jī)上各類資產(chǎn)的收集工作。同時還可通過同網(wǎng)段內(nèi)的Agent自動掃描技術(shù)，對未安裝Agent的資產(chǎn)進(jìn)行發(fā)現(xiàn)，從而發(fā)現(xiàn)未安裝Agent的主機(jī)。

通過對資產(chǎn)的發(fā)現(xiàn)與測繪分析技術(shù)，實(shí)現(xiàn)了對對服務(wù)器資產(chǎn)、進(jìn)程、賬戶資產(chǎn)、軟件應(yīng)用、web站點(diǎn)、web框架、web服務(wù)、數(shù)據(jù)庫、端口、網(wǎng)絡(luò)連接、啟動服務(wù)、計(jì)劃任務(wù)、環(huán)境變量、內(nèi)核模塊、安裝包、等多個緯度對服務(wù)器資產(chǎn)進(jìn)行全面盤點(diǎn)，并對沒有安裝客戶端的服務(wù)器進(jìn)行識別，解決了服務(wù)器資產(chǎn)無法精確盤點(diǎn)、無法知曉的問題。

2.服務(wù)器異常行為分析技術(shù)

采用服務(wù)行為識別和分析技術(shù)，通過關(guān)聯(lián)主要服務(wù)名稱（路徑）和端口號對服務(wù)器的網(wǎng)絡(luò)外連，命令執(zhí)行，文件創(chuàng)建等行為進(jìn)行監(jiān)控和學(xué)習(xí)，并形成行為基線白名單策略，當(dāng)服務(wù)器存在漏洞并被黑客利用后，產(chǎn)生非白名單范圍內(nèi)的網(wǎng)絡(luò)外連，命令執(zhí)行，文件創(chuàng)建等行為（偏離行為基線），系統(tǒng)可進(jìn)行阻斷或告警。如下圖所示：

通過對服務(wù)器服務(wù)行為識別分析和判斷，實(shí)現(xiàn)了白名單行為自主學(xué)習(xí)，對異常服務(wù)行為進(jìn)行監(jiān)控告警，解決了攻擊者通過混淆服務(wù)的行為對服務(wù)器發(fā)起的攻擊。

3.虛擬補(bǔ)丁技術(shù)

虛擬補(bǔ)丁技術(shù)在不修改應(yīng)用程序源代碼、修改二進(jìn)制代碼或重新啟動應(yīng)用程序的情況下，能夠即時建立的一個安全策略實(shí)施層，用來防止對已知漏洞的攻擊。防護(hù)原理如下圖所示：

使用虛擬補(bǔ)丁技術(shù)，組織可以在大幅減少補(bǔ)丁所需的成本、時間和工作之間取得很好的平衡，同時保持服務(wù)的可用性和正常的補(bǔ)丁周期。

4.系統(tǒng)內(nèi)核驅(qū)動加固技術(shù)

內(nèi)核加固技術(shù)，通過hook技術(shù)對系統(tǒng)I/O請求進(jìn)行過濾檢測,匹配訪問控制規(guī)則，實(shí)現(xiàn)對特定進(jìn)程文件、注冊表的操作的監(jiān)控與防護(hù)，可以對服務(wù)器系統(tǒng)安全涉及的控制點(diǎn)實(shí)現(xiàn)訪問控制限制，防止黑客利用應(yīng)用漏洞進(jìn)行提權(quán)、創(chuàng)建可執(zhí)行文件等操作。有效防止原本可信的【白應(yīng)用】被【黑利用】。如下圖所示：

通過構(gòu)建操作系統(tǒng)的保護(hù)層，可確保系統(tǒng)中的信息執(zhí)行和系統(tǒng)自身的安全性，解決操作系統(tǒng)層面和內(nèi)核層面面臨的惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)等行為，保障操作系統(tǒng)的保密性、完整性、可用性、可靠性。

【應(yīng)用成效】

1.不更改企業(yè)原有的系統(tǒng)及應(yīng)用

奇安信網(wǎng)神云鎖服務(wù)器安全管理系統(tǒng)，不會更改原有的業(yè)務(wù)流程，對系統(tǒng)和應(yīng)用完全透明，系統(tǒng)和應(yīng)用性能無影響。

2.全面縱深的服務(wù)器安全防御

奇安信網(wǎng)神云鎖服務(wù)器安全管理系統(tǒng)，可打造服務(wù)器、應(yīng)用、數(shù)據(jù)多層安全保障的安全生態(tài)，并從外部攻擊防御到內(nèi)部安全管控兩方面提升網(wǎng)絡(luò)安全水平。

3.變被動為主動的防御體系

無論是操作系統(tǒng)補(bǔ)丁、殺毒、或IDS等安全防護(hù)手段，是以被動防御方式為主，在攻擊行為已經(jīng)出現(xiàn)以后，才進(jìn)行防御。椒圖云鎖采用主動防御手段，先將所有行為都視為不可信，根據(jù)行為學(xué)習(xí)及基線，逐步放開可信的行為。

4.變脆弱為強(qiáng)壯的系統(tǒng)

椒圖云鎖通過資產(chǎn)梳理以及暴露資產(chǎn)的分析加固，可將“脆弱”的操作系統(tǒng)提升至等保2.0的二級、三級標(biāo)準(zhǔn)，對已知和未知的攻擊形成防范手段。

【創(chuàng)新經(jīng)驗(yàn)】

新冠疫情期間，“北京市大數(shù)據(jù)管理局+北京市大數(shù)據(jù)中心”聯(lián)合指揮，推出“北京健康寶”。北京健康寶是北京市民健康、出行、文娛等必備通行證。支撐全市公眾健康查詢服務(wù)。北京健康寶如出現(xiàn)異常，將給北京市按下“暫停鍵”。北京健康寶自投入使用，一直存在網(wǎng)絡(luò)攻擊干擾，尤其2022年重保之年，接連遇到安全挑戰(zhàn)：

2022年冬奧會期間，北京健康寶多次遭受境外網(wǎng)絡(luò)黑客攻擊;

2022年4月28日，北京健康寶多時段遭受境外黑客攻擊。

北京健康寶總計(jì)部署650臺服務(wù)器，覆蓋9套用途的集群環(huán)境，椒圖云鎖扛起北京健康寶服務(wù)器安全防護(hù)大旗；針對北京健康寶業(yè)務(wù)環(huán)境，綜合采用操作系統(tǒng)加固、威脅發(fā)現(xiàn)、rasp防護(hù)、命令審計(jì)、事件回溯等多種技術(shù)和措施，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)集中的安全管理，從外到內(nèi)形成一個縱深的安全防御體系。