信创主机安全解决方案 | 优炫操作系统安全增强系统(RS-CDPS)
点击 信创咨询 并设为星标⭐️ 及时获取最新资讯
编者按:优炫操作系统安全增强系统(RS-CDPS)基于CWPP安全理念,采用自适应安全架构模型(ASA),解决现代混合云、多云数据中心基础架构中主机的独特保护要求,综合保护云主机免受攻击,保障国产主机安全能力的全面性。产品占用资源低、运行透明、安装后无需重启主机,保障了业务的连续性、稳定性、安全性及可靠性。安全代理部署至客户端(需要被管控的服务器)上,支持国产操作系统UOS和麒麟V10,以及龙芯、飞腾、鲲鹏、海光、申威等国产处理器。
编辑|信创咨询公众号(ID:XConsultancy)出品 | 安东工作室作者|优炫软件转载|请注明出处
01
解决方案基本概述
02
解决方案总体架构及说明
优炫操作系统安全增强系统(RS-CDPS)采用C/S与B/S混合模式架构,由管理中心与安全代理组成。
管理中心:管理中心部署至服务器上,是该产品的安全核心。用户管理员可通过浏览器访问管理中心,进行大屏展示、策略下发、日志查询、报表导出、系统设置等操作。其管理数据存储采用优炫自主研发的数据库(UXDB)。
安全代理:安全代理部署至客户端(需要被管控的服务器)上,支持国产操作系统UOS和麒麟V10,以及龙芯、飞腾、鲲鹏、海光、申威等国产处理器。是该系统的策略执行单元。提供采集终端信息、接收管理中心的策略、执行管控指令、上报日志等操作。
优炫操作系统安全增强系统,分级实现主机安全建设要求,即“事前检查”、“事中拦截”、“事后溯源”。
“事前” 阶段,以资产为维度进行合规检查,合规检查从合规基线、系统漏洞、应用漏洞、病毒、Webshell后门、弱口令、高危端口、文件完整性等多维度进行风险检测,针对风险合规处理实现基础安全防范,提高了系统的攻击门槛。
“事中” 阶段,根据攻击流程从“入侵检测”和“主动防御”两方面实时监测,针对发生的危险事件第一时间发出告警,并且对监测到的事件做出安全防御响应,通过以功能联动为出发点的安全防御机制,第一时间弥补出现的“安全漏洞”。
“事后”阶段,RS-CDPS具备溯源能力,通过详细的审计日志发现入侵行为的始末,为后续安全防御手段升级提供数据支撑。
在以上安全建设的基础上,RS-CDPS也为客户提供了资产管理,方便可户盘点资产,快速定位问题资产。提供微隔离对计算机网络进行东西向管理,有效的阻止暴露面的扩散。最后,RS-CDPS提供了安全评分、大屏展示,方便客户及时掌握主机的安全状态,针对安全事件及时作出相应。通过采集海量安全数据,实时监测并进行关联分析, 生成简单、直观、易懂的安全周报和安全月报,帮助管理者提高决策水平和质量。
03
解决方案功能模块介绍
3.1安全总览
3.2 主机资产
3.2.1 主机列表
以列表形式展示主机的主机信息、分组、代理端状态、风险状态、告警数量、安全评分与性能等信息,提供主机详情,方便客户对单个主机进行资产管理、合规管理、主机防御、访问控制策略配置。方便客户快速掌握主机资产安全状态,及时对安全风险高的主机进行安全策略配置,提高主机的安全性、抗攻击性。
3.2.2 资产指纹
以细粒度指纹的形式可视化展示所有帐户、端口、数据库、进程、中间件涉及的主机数,方便用户全面掌握主机的资产信息。
3.3 合规管理
3.3.1 合规检查
以主机为单位从合规基线、漏洞、恶意代码、弱口令、高危端口、文件完整性等维度,综合评估操作系统及其上部署的应用或其它组件的安全性,按照风险模型进行全面检查并评估出健康值,针对风险合规处理实现基础安全防范,提高了系统的防御门槛。其通过可视化风险分析,发现多种类设备潜在风险,方便用户基于主机角度简单直观地查看系统安全情况。
3.3.2 合规基线
合规基线作为最小化的操作系统安全保护屏障,其内置了丰富的等级保护(安全计算环境三级)基线规范和CIS模板,全面覆盖操作系统、数据库(Mysql、Oracle、UXDB等)、中间件(Nginx、Tomcat等),模板可灵活更改,量身定制。通过一键批量式和周期性合规化流程,既高效又便捷地完成基线合规需求,随时导出报表,做好基础安全防范,提高系统安全性、抗攻击能力。
3.3.3 漏洞管理
漏洞管理通过在扫描粒度和准确性上优于网络扫描的主机扫描方式,全面、高效地发现主机漏洞,提供漏洞修复方案,其漏洞库包含CEV和CNNVD,并获国家信息安全漏洞库CNNVD兼容性认证。具备漏洞库升级功能,保障了漏洞检查的全面性、精确性。通过主机视角、漏洞视角、可视化漏洞分析,方便用户简单直观地查看系统漏洞情况。
3.3.4 弱口令
通过弱口令字典全面检查操作系统帐户和数据库帐户密码,发现弱口令帐户,扫描时字典与帐号智能拼接实现非重复扫描。弱口令字典支持导出、更新功能,保障字典的全面性、精确性。通过主机视角、弱口令帐号视角实现弱口令帐户可视化,方便用户简单直观地处理弱口令帐户,提高主机的安全性、抗攻击力。
3.3.5 恶意代码查杀
通过病毒扫描和Webshell后门检测,一键批量检测主机恶意代码文件,并设置隔离区、信任区管理恶意代码文件,提供“节能”和“高速”两种扫描方式,支持快速、全盘、自定义三种查杀方式。提供病毒库升级功能,保障了病毒扫描的全面性、精确性、准确性。通过主机视角、恶意代码视角,方便用户简单直观地查看、处理恶意代码文件。
3.3.6 高危端口
通过全局配置高危端口信息,手动或定时检测高危端口状态,以主机视角和端口视角方便客户掌握主机高危端口状态,并提供一键批量黑名单化处理高危端口,提高主机的安全性、抗攻击力。
3.3.7 文件完整性
通过模板化定义核心文件完整性检查策略,手动或定时检测核心文件变更状态,以主机视角、变更文件视角方便客户及时发现被篡改的文件,快速解决文件被篡改带来的风险,减少客户损失。
3.4 主机防御
3.4.1 入侵防御
暴力破解:实时监控系统SSH、RDP、SMB、Telnet认证事件,通过对持续时间段内异常认证次数分析,识别暴力破解行为并上报告警,攻击IP自动加入IP黑名单,并根据IP黑名单防御策略进行响应。
非法IP登录:实时监控系统访问事件,基于IP白名单策略分析,对非法登录IP上报告警。
非法帐户登录:实时监控系统访问事件,基于帐户白名单策略分析,对非法登录帐户上报告警。
反弹shell防御:结合深度行为检测算法实时监控用户的进程,及时发现进程的非法Shell连接操作产生的反弹Shell行为,如netcat工具反弹、socat反弹、bash直接反弹、 python脚本反弹、java脚本反弹、perl脚本反弹等。针对检测结果,按照配置的响应方式(仅记录和拦截)进行响应并上报告警,告警信息中提供了反弹行为的Shell进程、进程树等信息,为后续溯源提供判定依据。
rookit检测:RS-CDPS根据隐藏端口、隐藏进程、提权文件的特征,创建其对应Rootkit检测模型,通过系统文件、进程、端口深度检测,发现隐藏端口、隐藏进程、提权文件,实时告警响应,方便客户及时kill隐藏进程,隐藏端口加入黑名单,提权文件添加审计。
3.4.2 主动防御
DDOS攻击防御:根据IP白名单策略,持续抓取数据包,若依据防御阈值设置分析为DDOS攻击,则攻击源IP自动加入黑名单,根据IP黑名单防御策略进行响应,有效阻止流量式攻击。
应用白名单:以应用白名单策略为验证方式,通过内核安全技术控制主机上的应用,即白名单应用可在目标环境中运行,非白名单应用则阻断。对环境中运行的应用进行限制,减少不安全的应用对主机进行攻击的可能性,同时对应用进行监控,及时发现攻击并作出响应。实现软件运行真正安全可控,降低某些未知软件隐藏加载带来的风险,从根本上杜绝勒索病毒、木马病毒、蠕虫病毒、挖矿病毒及其变种病毒攻击。
外接设备管控:RS-CDPS通过USB存储白名单、光盘存储、无线网卡开关对外接设备进行管控,通过设置USB存储类型外接设备白名单库,细粒度地管理可信任外接设备的正常使用而限制非法外接存储设备的随意接入,限制USB光驱和无线网卡接入,防止病毒通过USB感染主机。
Ping攻击防御:阻断黑客向主机发送不接收回复的数据包,避免消耗主机资源。
缓冲区溢出防御:采用禁用缓冲区执行权限,加以堆栈地址随机化手段达到防护目的,防止黑客通过内存缓冲区攻击主机。
禁止磁盘格式化:禁止恶意格式化磁盘,有效阻断黑客恶意破坏主机数据。
进程保护:通过内核防护技术保护核心应用进程的正常运行,阻止黑客恶意停止核心应用进程,并上报告警通知客户。
3.5 微隔离
3.5.1 可视化展示
微隔离可根据位置、环境、系统等标签,帮助系统可视化展示标签内外的流量方向,流量线根据不同颜色展示异常流量,支持对未定义流量线、应用系统间流量、指定服务过滤。可视化即可自动根据角色归类展示,也可单独展示,支持对流量线的流量信息查看和微隔离策略添加。
3.5.2 标签管理
3.5.3 策略仓库
3.5.4 策略自学习
3.6 文件剩余信息清除
3.7 报表管理
04
解决方案实施效果
未知威胁防护,保障生产连续性
资产安全管理,维护纯净计算环境
主机集中管理,提高运维效率
流量自动识别,提高东西向安全
05
解决方案应用案例
需求背景
某省财政厅主机承载了全省资源配置、财政收支、财政监督、会计事务等各项业务工作,汇集的业务数据和国家隐私信息越来越敏感和重要。与此同时,财政厅主机已成为境内外敌对势力和黑客攻击、窃密的主要目标之一,存在主机防护水平脆弱、管理制度执行不到位等问题,以及主机安全保障体系建设滞后于《中华人民共和国网络安全法》所要求的《网络安全信息统等级保护通用要求》,以往的安全建设项目中,大多“重网络、轻主机”,网络层面的安全防护盲区日益凸显,导致主机面对勒索病毒、恶意攻击,无招架之力,主机安全加固建设工作已迫在眉睫。
解决方案
通过对核心数据库服务器部署主机加固产品:优炫操作系统安全增强系统(简称CDPS),分级实现主机安全建设要求。从合规角度讲,CDPS内置等级保护-安全计算环境三级基线规范,通过一键式、批量式、周期性方式,既高效又透明地完成合规需求。完成合规要求也相当于在“事前”做了基础安全防范,提高了系统的攻击门槛;“事中”要求CDPS具备实时监测能力,实时发现主机中的完整性监测、入侵检测,针对发生的危险事件第一时间发出告警,并且要求针对监测到的事件做出安全防御响应,通过功能联动出发安全防空机制,第一时间弥补出现的“安全漏洞”;在“事后”阶段,要求具备溯源能力,通过详细的审计日志发现入侵行为的始末,为后续安全防御手段升级提供数据支撑。
CDPS系统以保护系统核心资源为目标,针对操作系统核心资源(系统进程和关键文件),通过一套默认的系统管控策略强制保护操作系统核心进程及关键文件,防止因黑客、木马病毒或用户不当操作而导致的安全问题。另外,以“非白即黑”高强度的自动化安全管控策略为保障(程序白名单):采用安全管控策略来控制用户对系统指定文件、进程的访问,禁止或限制用户访问未被允许的资源,从而可以有效防止如勒索病毒之类的未知恶意代码攻击。
客户收益
优炫操作系统安全增强系统(简称RS-CDPS)通过程序白名单策略,有效的解决本院长期遭遇勒索病毒的困扰,保障我院服务器的正常运行,避免遭受黑客恶意攻击而带来的经济损失。
需求背景
解决方案
为了保障D5000系统的信息安全,省调控中心对系统进行等保测评,发现操作系统层没有安装主机安全产品,面对日益增长的黑客攻击,操作系统层成为整个网站系统中的脆弱环节,存在严重安全隐患。为此在EMS系统、SCADA系统、OMS、AGC、AVC等重要业务系统的操作员站、Web服务器、数据库服务器部署了优炫软件RS-CDPS系统(即优炫操作系统安全增强系统产品),通过实施一键式电力安全基线,完成核心服务器原始合规需求,并且提供预测、监测、响应的闭环安全管理机制,确保核心数据不被非法删改,核心业务不被非法终止。解决了用户最关心的非法外联,USB等困扰已久的心病。
客户收益
优炫软件主机安全建设方案保证数据在数据中心流程中的安全,从外部访问和内部访问、系统应用安全、主机安全的角度为客户打造了纵深的防御体系。在对系统运行和业务操作零影响的同时还保证了调控中心关键服务器本身的安全,对内部用户实行集中管控机制,形成了对数据中心应用的实时监管,数据中心运行状况可视化的全方位的安全体系。
06
相关产品列表介绍
序号 | 产品名称 | 说明 |
1 | 操作系统安全增强系统 |
07
解决方案联系方式
END