01 引言

隨著信息技術的發展，特別是云計算時代各類算力資源池交付變得越來越靈活和開放，相應的網絡區域和安全邊界變得越來越模糊，單獨依托網絡安全域邊界安全防護已難以完全滿足日益嚴峻的安全威脅。網絡攻擊也向著分布化、規模化、復雜化的趨勢發展，APT高級攻擊威脅層出不窮、木馬病毒持續泛濫、0DAY漏洞精準突襲。主機作為攻擊者最后的著陸點，是攻擊鏈中無法繞過的環節，主機安全在縱深安全防御體系中起到了尤為關鍵的作用。為此，G行開展了基于主機安全能力框架的安全建設和運營，旨在打造具備持續監控分析、安全協同聯動的主機安全能力，保障企業安全的最后一公里。

02 主機安全能力框架介紹

主流的主機安全能力框架是基于Gartner在2016年提出的主機安全能力塔模型，即云工作負載保護平臺（Cloud Workload Protection Platform），主要為現代混合多云數據中心架構中工作負載提供保護策略，并提供對所有服務器工作負載持續地可視化監控。

圖1 主機安全能力模型

以上為Gartner最新的主機安全能力金字塔模型，各層措施對應的技術點如下：

圖片

表1 CWPP控制措施及技術點

G行基于主機安全能力模型，結合國內安全現狀和實際需求情況，以“先基礎落地、后擴展增強”的原則，梳理出如下建設路徑：

圖片

表2 CWPP建設路徑規劃

目前G行第一階段建設相關內容已完成實施落地，第二階段建設正在積極調研試點中。

03 G行主機安全能力建設實踐

3.1主機安全平臺建設

（1）平臺架構

主機安全平臺核心架構主要由Agent主機探針、Server安全引擎和Web控制中心三部分構成，提供基礎、靈活、穩固的主機安全能力支持。平臺主要功能包含資產清點、風險發現、入侵檢測等。

Agent主機探針：適配各種物理機、虛擬機和云環境主機，能夠持續收集主機進程、端口、賬號、應用配置等信息，并實時監控進程、網絡連接等行為，與Server端通信，執行其下發的任務，主動發現主機側安全問題。

Server安全引擎：Server安全引擎作為核心平臺的信息處理中樞，實現人機交互的主機安全態勢實時監控、風險分析和平臺配置管理，通過Agent主機探針管理和數據交互，持續進行數據分析檢測，從各維度信息中發現漏洞、弱口令等安全風險和后門程序、暴力破解、動態蜜罐訪問、Web命令執行等異常行為，對入侵行為進行實時預警。

Web控制中心：平臺管理界面以Web控制臺的形式進行交互，展示各項安全檢測和分析結果，對重大威脅進行實時預警，提供集中管理的安全工具，便于運維安全管理員進行系統配置和管理、安全響應等相關操作。

圖2 主機安全平臺核心架構

（2）部署覆蓋情況

G行主機安全平臺已覆蓋包括總行、分行、子公司及信用卡中心生產辦公、開發測試等環境的物理機、虛擬機和云主機，通過系統鏡像母帶安裝、定期差量對比推送等方式確保各類主機全覆蓋部署，實現資產數據每日清點、安全風險掃描檢測、威脅行為實時監測的主機安全防護體系。

3.2 主機安全資產管理

NIST發布的《提升關鍵基礎設施網絡安全框架》中提到IPDRR模型，其中的I(identify識別)，強調了首先要對資產進行識別和管理。GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》中，對資產識別的要求如下：

圖3 關鍵信息基礎設施安全保護資產識別要求

可見全量的資產識別是開展安全防護、檢測評估、監測預警、主動防御、事件處置等活動的基礎，是安全工作的前提。對于主機安全的認知基礎來源于對主機資產的了解程度，資產要求“看得全、理得清、查得到”。

傳統資產主要是系統名稱、管理員、IP地址、操作系統類型等維度的運維資產，攻擊者關心的資產往往是主機上運行的進程、應用、數據庫、Web站點框架等業務資產，攻防信息的不對稱將導致安全防護工作不夠聚焦，資產風險未能提前識別。主機安全平臺資產管理功能從安全角度出發，自動化構建細粒度資產信息，通過對主機、系統、應用、Web等資產的精準識別和動態感知，讓保護對象清晰可見。

圖片

表3 資產管理識別內容

（1）資產信息自動構建

通過安裝云主機Agent，可從正在運行的主機環境中反向自動化構建主機業務資產結構，對 Web服務、Web站點、Web框架、數據庫等業務型資產進行資產建模，與CMDB等行內系統信息形成互補。資產信息上報至Web控制中心，實現集中統?管理，確保安全覆蓋無死角。

（2）資產變化實時通知

在清點資產后，保持對資產的持續監控，在主機賬號、進程、端口、數據庫、Web站點等資產發生變化時，平臺能夠及時進行更新，確保監控數據與實際業務數據?致，實現資產動態保護。

（3）資產信息快速定位

結合通用安全檢查規范與安全事件的數據查詢需求，形成細粒度資產清點體系；通過主機視角、資產視角、概覽視圖、分級視圖等多維度視圖和多角度搜索工具，實現關鍵資產信息快速定位。

通過資產管理，自動化采集主機、系統、應用、Web等資產相關信息，實現資產全量識別納管；同時通過Kafka接口與安全態勢感知平臺對接，實現資產數據的統一分析。通過持續對不合規資產、脆弱性資產、可疑資產等進行及時排查和跟蹤，對高危中間件、Web框架、Jar包等進行提前梳理，實現對于0day漏洞風險資產的快速排查定位。

3.3 主機安全風險識別能力

據數據顯示，90%的攻擊事件都是由漏洞利用產生，隨著攻擊手段的不斷變化及安全漏洞的層出不窮，網絡安全狀況變得日益嚴峻。同時傳統的漏掃設備多為按季度或按年的周期性掃描，在未進行漏掃檢測期間，新的漏洞存在識別空窗期，易被黑客利用。主機安全平臺通過持續性的監測分析，化被動為主動，及時發現系統未安裝的重要補丁、檢測真實可利用的系統漏洞、識別配置缺陷導致的安全風險，深入發現主機系統脆弱性，持續有效地對風險進行監測及預警。

圖4 風險識別檢測內容

（1）提高攻擊門檻

在資產細粒度清點的基礎上，平臺能夠持續、全面地發現潛在漏洞風險及安全薄弱點，同時根據多維度風險分析及處理建議，提示管理員及時處理修復重要風險，從而提高系統的攻擊門檻。

（2）風險內容可視

持續性監測所有主機安全狀況，圖形化展現安全指標變化、安全走勢分析、風險分析結果和風險處理進度等風險場景，提供可視化風險分析報告，使主機安全狀況的處置進展清晰可衡量。

（3）持續監測分析

主動持續性地監控所有主機上的軟件漏洞、弱口令、應用風險、系統風險等，并根據漏洞威脅等級進行風險分析，定位急需處理的風險，快速解決潛在威脅。持續更新漏洞特征及漏洞利用方法，不斷提升漏洞檢測能力。

通過風險識別，在主機內部以白盒視角進行漏洞和弱口令掃描發現，有效提高掃描覆蓋效率和準確率。設置每日凌晨自動進行漏洞風險和弱口令檢測，并對已修復情況進行統計更新，便于后續分析及跟進修復進展。

3.4 主機安全入侵檢測

當前的攻擊手段千變萬化，但是攻擊者一旦攻擊成功后要做的后續操作基本一致，攻擊者不管使用多么高級的攻擊手法，無論是0day、Nday、還是內存馬，只要攻擊產生，就會在主機上觸發對應進程、命令操作、文件、內存、網絡連接等相關數據指標的變化。主機安全平臺通過對主機的暴力破解、反彈shell、系統提權、Webshell、內存后門等入侵行為進行實時監控，對黑客行為進行多維度監測，能夠快速發現入侵行為。通過設立特征錨點、分析行為模式、建立關系模型等手段，對黑客在內網的入侵攻擊鏈進行多層次監測，實時感知入侵事件，發現失陷主機。

圖片

圖5 攻擊鏈多瞄點監測

（1）實時發現失陷主機

通過多維度的感知疊加能力，對攻擊路徑的各個節點進行深入監控，具備全方位、高實時的攻擊監控能力，對進程變化、文件變化、異常登錄等事件洞若觀火，能夠實時發現失陷主機，對入侵行為進行預警。

（2）檢測未知惡意攻擊

結合專家經驗、威脅情報、大數據、機器學習等多種分析方法，通過對主機運行環境的實時監控，能夠發現包括“0Day”在內的未知異常行為，彌補基于攻擊特征的檢測能力不足，應對突發的新型漏洞和未知的攻擊手段。

（3）業務系統“零”影響

Agent以輕量高效的特性運行，實時感知主機性能負載，動態調整運行狀態，在保證對主機安全監控的前提下，不會對業務系統運行產生影響，為主機安全提供高效持續的保護。

（4）主機蜜罐大作用

在具體運維安全建設實踐中，結合網絡、完全和系統層面技術規范配置，建立主機蜜罐，擴大異常檢測范圍，快速定位攻擊源頭。通過主機入侵檢測能力，建立基于攻擊打點、執行、持久化、橫向滲透等黑客攻擊路徑上的多瞄點追蹤技術，實現對于可疑命令執行、Web后門等互聯網打點攻擊實時監測，應對代理穿透、遠控木馬、文件篡改等主機持久化攻擊操作；同時通過主機高危端口蜜罐、暴力破解、異常登錄監控等識別橫向滲透攻擊。

04 總結與展望

在“打造一流財富管理銀行”戰略愿景和“123+N”數字銀行發展體系的指導下，G行互聯網線上化業務越來越多，攻擊暴露面也隨之變大，運維安全工作的重心也由單一邊界堡壘式防御轉向基于對互聯網資產全面梳理后的各類威脅檢測、云主機入侵檢測識別分析和溯源響應等維度。本文從主機安全能力金字塔模型角度介紹了G行主機安全運營建設實踐，后續將結合科技運營維護工作實際，持續調研和創新，不斷優化和完善縱深安全防御體系，護航業務系統高質量發展。