随着信息技术的发展，特别是云计算时代各类算力资源池交付变得越来越灵活和开放，相应的网络区域和安全边界变得越来越模糊，单独依托网络安全域边界安全防护已难以完全满足日益严峻的安全威胁。网络攻击也向着分布化、规模化、复杂化的趋势发展，APT高级攻击威胁层出不穷、木马病毒持续泛滥、0DAY漏洞精准突袭。主机作为攻击者最后的着陆点，是攻击链中无法绕过的环节，主机安全在纵深安全防御体系中起到了尤为关键的作用。为此，G行开展了基于主机安全能力框架的安全建设和运营，旨在打造具备持续监控分析、安全协同联动的主机安全能力，保障企业安全的最后一公里。

02 主机安全能力框架介绍

主流的主机安全能力框架是基于Gartner在2016年提出的主机安全能力塔模型，即云工作负载保护平台（Cloud Workload Protection Platform），主要为现代混合多云数据中心架构中工作负载提供保护策略，并提供对所有服务器工作负载持续地可视化监控。

图1 主机安全能力模型

以上为Gartner最新的主机安全能力金字塔模型，各层措施对应的技术点如下：

表1 CWPP控制措施及技术点

G行基于主机安全能力模型，结合国内安全现状和实际需求情况，以“先基础落地、后扩展增强”的原则，梳理出如下建设路径：

表2 CWPP建设路径规划

目前G行第一阶段建设相关内容已完成实施落地，第二阶段建设正在积极调研试点中。

03 G行主机安全能力建设实践

3.1主机安全平台建设

（1）平台架构

主机安全平台核心架构主要由Agent主机探针、Server安全引擎和Web控制中心三部分构成，提供基础、灵活、稳固的主机安全能力支持。平台主要功能包含资产清点、风险发现、入侵检测等。

Agent主机探针：适配各种物理机、虚拟机和云环境主机，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控进程、网络连接等行为，与Server端通信，执行其下发的任务，主动发现主机侧安全问题。

Server安全引擎：Server安全引擎作为核心平台的信息处理中枢，实现人机交互的主机安全态势实时监控、风险分析和平台配置管理，通过Agent主机探针管理和数据交互，持续进行数据分析检测，从各维度信息中发现漏洞、弱口令等安全风险和后门程序、暴力破解、动态蜜罐访问、Web命令执行等异常行为，对入侵行为进行实时预警。

Web控制中心：平台管理界面以Web控制台的形式进行交互，展示各项安全检测和分析结果，对重大威胁进行实时预警，提供集中管理的安全工具，便于运维安全管理员进行系统配置和管理、安全响应等相关操作。

图2 主机安全平台核心架构

（2）部署覆盖情况

G行主机安全平台已覆盖包括总行、分行、子公司及信用卡中心生产办公、开发测试等环境的物理机、虚拟机和云主机，通过系统镜像母带安装、定期差量对比推送等方式确保各类主机全覆盖部署，实现资产数据每日清点、安全风险扫描检测、威胁行为实时监测的主机安全防护体系。

3.2 主机安全资产管理

NIST发布的《提升关键基础设施网络安全框架》中提到IPDRR模型，其中的I(identify识别)，强调了首先要对资产进行识别和管理。GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》中，对资产识别的要求如下：

图3 关键信息基础设施安全保护资产识别要求

可见全量的资产识别是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础，是安全工作的前提。对于主机安全的认知基础来源于对主机资产的了解程度，资产要求“看得全、理得清、查得到”。

传统资产主要是系统名称、管理员、IP地址、操作系统类型等维度的运维资产，攻击者关心的资产往往是主机上运行的进程、应用、数据库、Web站点框架等业务资产，攻防信息的不对称将导致安全防护工作不够聚焦，资产风险未能提前识别。主机安全平台资产管理功能从安全角度出发，自动化构建细粒度资产信息，通过对主机、系统、应用、Web等资产的精准识别和动态感知，让保护对象清晰可见。

表3 资产管理识别内容

（1）资产信息自动构建

通过安装云主机Agent，可从正在运行的主机环境中反向自动化构建主机业务资产结构，对 Web服务、Web站点、Web框架、数据库等业务型资产进行资产建模，与CMDB等行内系统信息形成互补。资产信息上报至Web控制中心，实现集中统⼀管理，确保安全覆盖无死角。

（2）资产变化实时通知

在清点资产后，保持对资产的持续监控，在主机账号、进程、端口、数据库、Web站点等资产发生变化时，平台能够及时进行更新，确保监控数据与实际业务数据⼀致，实现资产动态保护。

（3）资产信息快速定位

结合通用安全检查规范与安全事件的数据查询需求，形成细粒度资产清点体系；通过主机视角、资产视角、概览视图、分级视图等多维度视图和多角度搜索工具，实现关键资产信息快速定位。

通过资产管理，自动化采集主机、系统、应用、Web等资产相关信息，实现资产全量识别纳管；同时通过Kafka接口与安全态势感知平台对接，实现资产数据的统一分析。通过持续对不合规资产、脆弱性资产、可疑资产等进行及时排查和跟踪，对高危中间件、Web框架、Jar包等进行提前梳理，实现对于0day漏洞风险资产的快速排查定位。

3.3 主机安全风险识别能力

据数据显示，90%的攻击事件都是由漏洞利用产生，随着攻击手段的不断变化及安全漏洞的层出不穷，网络安全状况变得日益严峻。同时传统的漏扫设备多为按季度或按年的周期性扫描，在未进行漏扫检测期间，新的漏洞存在识别空窗期，易被黑客利用。主机安全平台通过持续性的监测分析，化被动为主动，及时发现系统未安装的重要补丁、检测真实可利用的系统漏洞、识别配置缺陷导致的安全风险，深入发现主机系统脆弱性，持续有效地对风险进行监测及预警。

图4 风险识别检测内容

（1）提高攻击门槛

在资产细粒度清点的基础上，平台能够持续、全面地发现潜在漏洞风险及安全薄弱点，同时根据多维度风险分析及处理建议，提示管理员及时处理修复重要风险，从而提高系统的攻击门槛。

（2）风险内容可视

持续性监测所有主机安全状况，图形化展现安全指标变化、安全走势分析、风险分析结果和风险处理进度等风险场景，提供可视化风险分析报告，使主机安全状况的处置进展清晰可衡量。

（3）持续监测分析

主动持续性地监控所有主机上的软件漏洞、弱口令、应用风险、系统风险等，并根据漏洞威胁等级进行风险分析，定位急需处理的风险，快速解决潜在威胁。持续更新漏洞特征及漏洞利用方法，不断提升漏洞检测能力。

通过风险识别，在主机内部以白盒视角进行漏洞和弱口令扫描发现，有效提高扫描覆盖效率和准确率。设置每日凌晨自动进行漏洞风险和弱口令检测，并对已修复情况进行统计更新，便于后续分析及跟进修复进展。

3.4 主机安全入侵检测

当前的攻击手段千变万化，但是攻击者一旦攻击成功后要做的后续操作基本一致，攻击者不管使用多么高级的攻击手法，无论是0day、Nday、还是内存马，只要攻击产生，就会在主机上触发对应进程、命令操作、文件、内存、网络连接等相关数据指标的变化。主机安全平台通过对主机的暴力破解、反弹shell、系统提权、Webshell、内存后门等入侵行为进行实时监控，对黑客行为进行多维度监测，能够快速发现入侵行为。通过设立特征锚点、分析行为模式、建立关系模型等手段，对黑客在内网的入侵攻击链进行多层次监测，实时感知入侵事件，发现失陷主机。

图5 攻击链多瞄点监测

（1）实时发现失陷主机

通过多维度的感知叠加能力，对攻击路径的各个节点进行深入监控，具备全方位、高实时的攻击监控能力，对进程变化、文件变化、异常登录等事件洞若观火，能够实时发现失陷主机，对入侵行为进行预警。

（2）检测未知恶意攻击

结合专家经验、威胁情报、大数据、机器学习等多种分析方法，通过对主机运行环境的实时监控，能够发现包括“0Day”在内的未知异常行为，弥补基于攻击特征的检测能力不足，应对突发的新型漏洞和未知的攻击手段。

（3）业务系统“零”影响

Agent以轻量高效的特性运行，实时感知主机性能负载，动态调整运行状态，在保证对主机安全监控的前提下，不会对业务系统运行产生影响，为主机安全提供高效持续的保护。

（4）主机蜜罐大作用

在具体运维安全建设实践中，结合网络、完全和系统层面技术规范配置，建立主机蜜罐，扩大异常检测范围，快速定位攻击源头。通过主机入侵检测能力，建立基于攻击打点、执行、持久化、横向渗透等黑客攻击路径上的多瞄点追踪技术，实现对于可疑命令执行、Web后门等互联网打点攻击实时监测，应对代理穿透、远控木马、文件篡改等主机持久化攻击操作；同时通过主机高危端口蜜罐、暴力破解、异常登录监控等识别横向渗透攻击。

04 总结与展望

在“打造一流财富管理银行”战略愿景和“123+N”数字银行发展体系的指导下，G行互联网线上化业务越来越多，攻击暴露面也随之变大，运维安全工作的重心也由单一边界堡垒式防御转向基于对互联网资产全面梳理后的各类威胁检测、云主机入侵检测识别分析和溯源响应等维度。本文从主机安全能力金字塔模型角度介绍了G行主机安全运营建设实践，后续将结合科技运营维护工作实际，持续调研和创新，不断优化和完善纵深安全防御体系，护航业务系统高质量发展。