干货 | 谈一谈某局是如何构建主机安全防御体系的

主机承载了企业机构越来越多的业务资产，成为攻击者的主要目标。攻击者通过各类工具利用系统脆弱性突破企业防线，入侵主机内部完成攻击目的。守卫安全最后一公里，主机安全成为关键。

本文以政府行业的主机安全能力构建为例，梳理了政府行业主机安全能力建设时的需求优先级和关键点，以及在政府行业主机安全的最佳实践案例。由青藤和信通院联合发布的《主机安全能力建设指南》梳理了不同行业的主机安全能力需求、产品能力评估流程，帮助不同行业用户建设自适应的主机安全能力提供更好的策略指导，可以扫描二维码，下载完整版的《主机安全能力建设指南》。

政府行业面临的安全挑战

最近几年我国加快建设数字政府，提升政务服务水平，相关监管部门相继出台《政务云安全要求》、《国家政务信息化项目建设管理办法》、《信息安全技术政务信息共享数据安全技术要求》等政策标准，对国家政务信息化项目的建设管理提出了系统全面的要求，推动着政府机构进一步加强网络安全建设。政务平台上承载着亿万公民的信息数据，一旦服务器受到攻击而失陷，政府系统将面临被篡改、植入病毒等巨大的安全隐患。政府部门普遍面临的安全挑战主要体现在：

1、高级攻击

政府部门职能众多，各部门之间存在着复杂的网络系统。政府行业经常面对来自黑客持久性、高度针对性的攻击。

2、入侵检测难

传统安全体系的入侵检测能力有限，特别是Linux服务器上，缺乏一个行之有效的失陷检测系统。加之，网络系统中存在不断出现的漏洞，传统入侵检测技术无法有效应对这些多变的安全问题。

3、监管合规要求

政府机构必须遵从国家的法律法规，满足来自国家和行业的各种监管要求和安全标准，避免遭受业务损失。

4、电子政务云安全

电子政务网络平台规模不断扩大,新架构网络云平台的安全问题备受关注，虚拟化是现阶段云计算数据中心实施最为广泛的技术之一。

政府及重要信息系统的安全问题频发，这就需要政府提升网络安全防护能力，进行高效的主机安全产品选型，保障重要信息和数据不被恶意篡改和利用。

政府行业主机安全成熟度

政府机构所具备的主机安全能力越完善，覆盖的主机安全能力更多，越能为主机及其承载业务提供更好的安全保护。在政府行业信息化建设初期，政府的安全建设主要以合规驱动为主，在进行主机安全选型时，政府机构更为关注主机安全的基础级能力和病毒查杀能力。伴随着攻击手法的复杂化加深，政府机构需要补充增强级、先进级的主机安全能力。在近期发布的《主机安全能力建设指南》报告中提到，政府行业所需具备的主机安全能力分为三个等级，即基础级主机安全能力、增强级主机安全能力和先进级主机安全能力。报告分别对这三个等级能力进行了拆解：

一、基础级主机安全建设需求

1、资产清点

系统管理员通常需要对网络环境内的主机资产进行有效清点和管理，当主机规模过大时，盘查和分析信息耗时耗力，为进一步提高大规模集群主机的管理效率，需提高自动化程度，减少人工介入。

资产清点的基础要求：

·主机发现：能够自动进行主机发现，针对不同网络状况，提供多种探查方法。

·应用清点：自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、 Web 框架、Web 站点等十余类安全资产。

·资产检索：提供关键资产（主机、账号、进程等）全系统关联，横跨多种资产进行联合搜索。

·

2、风险发现

风险发现能力可以让安全管理人员在攻击入侵发生前进行系统加固，减少风险点存在。

风险发现的基础要求：

·能够对新漏洞进行实时更新和响应。

·能够设置扫描偏好。

·减少主机资源消耗，能够适配特定主机、特定环境。

·漏洞扫描可以与现有的补丁管理系统集成。

·支持所有操作系统。

·支持对漏洞修复的影响性进行判断。

3、入侵检测

主机入侵检测是指识别主机中发生的入侵事件并分析其入侵迹象的能力，帮助安全人员监控和分析入侵过程。

入侵检测的基础要求：

·操作简单，后期运维方便。

·最小系统占用，能够适配多种系统。

·能够正确记录事件，并向安全管理员发送入侵告警消息

·能够进行有效的入侵分析、事件处理和取证。

·易于访问和查看日志，提供日志过滤功能，方便操作和搜索。

4、合规基线

合规基线能力指针对操作系统、数据库、中间件等进行配置安全检测，并提供检测结果说明和加固建议，帮助政府机构进行系统安全加固，降低入侵风险并满足安全合规要求。

合规基线的基础要求：

·能够实现一键自动化检测，并根据检测结果提供修复建议，达到合规要求。

·支持自定义基线，通过制定策略提前自查整改，灵活应对各强度标准。

·基于国内外基线标准，如等保2.0、CIS 基准，建立丰富的 Checklist 知识库。

·能够适配不同操作系统环境，支持扫描操作系统、数据库、中间件等。

5、病毒查杀

病毒查杀承担主机入口的安保角色，防止恶意程序进入。

病毒查杀的基础要求：

·综合多个具有影响力的病毒检测引擎，并定期更新检测库。

·贴合常见使用场景和等保要求。

·对确认的病毒主动进行阻断和隔离。

·快速验证发现的病毒，并分析其入侵路径。

·能够还原主机被恶意修改的内容。

6、文件完整性

文件完整性能力可以帮助政府机构监控关键的系统文件、目录等，以便检测任何未经授权的更改。

文件完整性的基础要求：

·对常用或有合规要求的文件或目录建立文件完整性监控的能力。

·能够发现非预期的文件变化。

·提供监控规则的自定义能力，减少上报噪声，并对需要重点关注的文件变化事件进行告警通知。

二、增强级主机安全建设需求

1、内存马检测

最近几年，攻防演习热度越来越高。在攻防双方的博弈中，防守方综合使用 NDR、EDR等专业安全产品，传统文件上传的 Webshell 或以文件形式驻留的后门易被成功检测，内存马使用率快速提升。

内存马检测的基础要求：

·能够检测内存 Webshell、进程内存注入、恶意动态链接库加载等常见的内存马。

·内存后门检测时不应影响主体业务程序的运行。

·能够发现在进程内存中运行的恶意代码，并及时向用户发送告警。

·提供对恶意代码的特征分析和说明。

·利用精确检测的能力验证对内存后门的修复结果。

2、主机型蜜罐

主机型蜜罐通过布置诱饵主机、网络服务或者文件，诱使攻击方对诱饵进行攻击，从而对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机。

主机性蜜罐的基础要求：

·设置蜜罐迷惑攻击者，收集实际攻击及其他未授权活动的真实数据。

·通过部署蜜罐文件，实时监控文件的操作行为，引诱黑客攻击，避免真实业务文件泄漏。

·实时监控可疑端口扫描行为并记录，分析黑客的攻击目的和动机，以及时修补系统安全漏洞，避免真实攻击的发生。

3、微隔离

微隔离架构能够对内网（东西向）流量提供防护，契合行业发展需求。在微隔离框架下，主机、操作系统、容器均成为传感器，一旦发生违反策略的访问，立即触发告警或拒绝访问，只有授权的流量才可放行，内网中 90%以上不安全的网络访问可被消除。

微隔离的基础要求：

·零信任：基于零信任理念实现网络之间的访问，通过管理员授信后才可访问，及时阻断非授信机器的访问，扼杀潜在威胁。

·可视化：网络间的访问对用户可视化，当非法或者恶意访问发生后，能通过不同的颜色分辨合法与非法的访问。

·自适应：网络访问策略自适应。策略应自动适应网络环境的变更，及时分发执行最新的策略。

·持续监控：应实时且持续不断地监控网络中可能发生的异常或非法访问行为。

三、先进级主机安全建设需求

1、供应链安全

软件供应链攻击具有成本低、效果好的特点，SolarWinds、Log4j2 等供应链安全事件均造成极大影响，软件供应链安全受到广泛关注。

供应链安全的基础要求：

·负责供应链网络安全的人员应与产品开发周期内相关团队通力合作，充分考虑供应商和开发商的员工、流程、工具等方面的安全问题。

·维护管理自身的 SBOM，能够精确识别关键信息。同时需支持云原生环境下的资产信息。

·采用云原生技术的政府机构，应基于 DevSecOps 理念，采用从开发阶段延伸到运行时保护的集成方法，实现软件全生命周期安全。

·

2、威胁狩猎

威胁狩猎是一种主动的、假设驱动的威胁发现活动，旨在寻找被动监控功能中没有涵盖的控件、活动或攻击者 TTP。

威胁狩猎的基础要求：

·判断行为正常和不正常：从政府机构的行为中总结规律，生成相关模型，并定期查看是否有破坏原有规律的行为，有效识别正常和不正常的行为。

·了解组织的高价值目标：需要知道攻击者的攻击目标，梳理政府机构所有高价值目标。

·数据关联分析：联通数类原始数据，全局分析，关联查询，发现异常行为，实现未知威胁的及时发现和已知威胁的路径溯源。

·预测被攻击方式：攻击者通过组织架构和数据流中的弱点，试图在不被注意的情况下获取有价值的数据。

政府行业的主机安全建设案例

基于政府行业的主机安全需求优先级和能力要求，青藤面向政府行业，推出了基于主机自适应安全方案、安全集约化管理方案、实时入侵检测方案、电子政务云安全方案等综合解决方案，并已实现了1个轻量级Agent无限扩展，500,000+政府行业Agent部署量，覆盖了100+中央部委及地方行政机构，累计支持大型重保活动100+的重要成果，成为政府机构信赖的主机安全服务商。

下文，将以青藤为某省地震局提供了跨区域主机安全防御体系建设方案，我们来具体分析下该方案的落实情况。

一、背景概述

地震局不仅为中央和各级地方政府，以及高铁、核电等国家重大基础设施行业提供专业的地震信息，也为社会公众提供便捷、易懂的地震信息服务。地震局网络资产是重要的信息基础设施，也是地震部门开展地震监测、预报、科研的网络基础平台。

二、方案需求

地震局管理全国地震监测预报工作，保护承载核心业务的服务器安全是开展工作的基础，但在主机安全方面存在几个突出的问题。

1、增强安全防护能力

近年来跨区域的网络攻击事件逐年增加，影响范围也逐步扩大，往往是一个小漏洞，需要全网应对，需要增强地震网的安全防护能力。

2、提高风险发现能力

在安全运维团队资源有限的情况下，如何提高风险预警和发现能力，避免在发生安全事件后才进行安全应急工作。

3、满足等保三级要求

需要对登录操作系统和数据库系统的用户进行有效的身份鉴别，对重要用户行为、系统资源的异常使用等情况进行审计，继而满足等保合规等监管要求。

三、解决方案

·利用自动化运维工具实现快速部署，快速实现去中心化行业局域网内服务器安全保障能力。

·在地震局业务网和台网中心网络两个核心业务系统上都部署了青藤Agent，通过模型分析计算，实时发现风险威胁。

·通过专家远程在线咨询、现场支持服务做到安全策略风险的深度剖析、跟踪、处理、关闭，形成安全管理闭环。

四、方案收益 

“地震局为了准确地预报地震信息，离不开庞大的业务系统支持，而在背后守护这个业务网络的，正是青藤主机自适应安全平台。我们通过青藤安全解决方案，大幅提高了风险发现和响应能力。”客户这样评价青藤的主机安全平台。青藤在助力地震局政务信息化进程和主机安全防护建设方面取得了认可，帮助地震局实现了安全高效运维，减少了人力成本；在第一时间发现各种入侵行为，保障损失最小化；建立起合理的安全防御体系，满足监管层的等保合规要求。

总结

介于不同行业进行安全建设的驱动因素有所不同，且业务关系面临的风险存在差异，各行业对各主机安全能力建设的优先级也不尽相同，应在人力、财力有限的条件下，优先完成最迫切需要的、与业务安全要求最匹配的能力建设。

本文仅主要分析了政府机构对各主机安全能力的需求优先级和能力建设要求。如果您还想进一步了解或免费试用主机安全产品，可以点击“阅读原文”进行申请~

扫码下载完整版《主机安全能力建设指南》

原文始发于微信公众号（明不可欺）：干货 | 谈一谈某局是如何构建主机安全防御体系的