如何做好主机安全防护

当今数字化时代，网络安全威胁和风险日益突出，已成为企业面临的重大安全挑战。网络攻击者不断尝试利用各种技术和手段对企业网络资源进行探测和攻击，如：利用漏洞、木马、钓鱼、勒索等方式窃取数据、破坏系统、篡改信息。因此，企业也需要采取有效的防御措施保护自己的数据和业务安全。

主机安全防护作为网络安全防御过程中的重要组成部分，旨在对企业的服务器主机进行全方位的安全管理和保护，提高服务器主机的安全和防御能力。服务器主机是企业应用和数据的运行与存储平台，一旦遭受攻击或者被入侵，可能会造成数据泄露、业务中断、法律风险等严重后果。

那么，企业应当如何做好服务器主机的安全防护呢？本文将站在安全运营角度，从资产管理、入侵检测、风险管理、合规基线四个方面来进行介绍。

资产管理是进行主机安全防护的第一步，同时也是主机安全防护的重要组成部分。

资产管理是指对企业所有主机进行统一的管理和监控，我们可以从主机上的web站点、进程、网络连接、软件应用、数据库资产、账户资产、启动服务、计划任务、安装包、环境变量、内核模块等多个维度进行梳理，以便于企业掌握自身资产的安全运营情况。通过资产管理，企业可以及时发现主机的异常情况，并采取相应的措施进行处理。

入侵检测是指通过对主机的网络流量或行为进行监控，检查其是否有可疑活动或入侵行为。例如：对主机文件进行病毒扫描，监控主机是否存在暴力破解、webshell上传、反弹shell等入侵行为，侦测到异常行为时发出警报或者采取主动防御措施。

传统的入侵防护方案能够很好的抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。网络攻击者不断地尝试利用各种手段和技术，对企业的网络资源进行探测和攻击，但是攻击成功后要做的事情却是归一化的。

因此，我们可以从攻击者的视角，将攻击方式转换成内在指标的持续监控和分析，无论多么高级的黑客，其攻击行为都会触发内部指标的异常变化，从而迅速发现并处理问题。

例如，我们可以通过监控主机上文件的创建、修改、删除等操作，发现是否有恶意文件被植入或者网页被篡改；通过监控主机上进程的启动、停止、调用等行为，来发现是否有异常进程被执行或者注入；通过监控主机上网络连接的建立、断开、传输等事件，发现是否有非法连接被建立或者数据被窃取等。

风险发现是主机安全防护中的重要环节。事实证明，大多数的攻击都利用了主机尚未修复的漏洞。通常企业主机或多或少的都会存在一些安全风险。例如web风险文件、危险进程端口对外、不必要的进程服务、不必要的系统账号、弱口令等。

因此，企业需要对资产进行持续性的风险监控，化被动为主动，深入发现内部暴露的问题和潜在的风险。结合资产重要程度及资产上所有风险进行关联分析，综合分析出最容易受到攻击的资产。及时发现存在的安全风险并采取相应的措施进行修复，提供攻击者的攻击门槛，缩减修复时间窗。

例如，我们可以通过定期扫描主机上存在的漏洞，并根据漏洞等级和影响范围制定修复计划、明确优先级。

合规基线是一组规则、政策和控制措施。合规基线的制定与检查可以确保公司在其业务活动中遵守适用的法律、法规和行业标准。例如我国信息安全等级保护对合规基线有明确的要求，包括主机访问鉴权、网络配置、初始化配置、日志预审计等方面。

此外，合规基线还可以规范主机的安全设置，提高主机的安全性能。在构建合规基线时，我们可以参考国内信息安全等级保护要求和CIS（Center for Internet Security）组织的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。

通过结合这些基线内容，企业可以快速进行内部风险自测，发现问题并及时修复，以满足监管部门对安全条件的要求。企业也可以自行定义基线标准，作为企业内部管理的安全基准。

随着虚拟化及云计算的发展，企业环境逐步从物理环境转变为由物理环境、私有云及公有云混合组成的环境，传统内外网的网络边界消失了。特别是在提供多租户服务的公有云中，不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换，传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同安全防护等级的全新的安全防护模型。

帆一云平台智能探针提供了中央管控的全方位云安全管理平台，集成了资产管理、入侵检测、风险发现、合规基线等功能。通过对主机信息和行为进行持续监控与分析，快速、精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。