【天翼云】服务器安全卫士

服务器安全卫士，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

产品优势
扫描速度快
基于Agent扫描，执行主机资产清点和风险发现功能，扫描N台主机和1台所需时间一样。

精准检测
设立数万个监测指标，建立多维度、多层次的纵深检测体系，检测结果精准。

资源占用低
CPU占用率<1%，内存占用<40M，消耗极低。

病毒查杀全面
查杀病毒多，集成小红伞、ClamAV等国内外主流的病毒查杀引擎。

产品功能

资产清点

资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供10余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。

（1）智能的主机发现
通过设置检查规则，系统自动检查已安装探针主机，所在网络空间未纳入安全管理的主机，自动排除普通网络设备。针对不同网络状况，提供多种探查方法，包括“ARP缓存分析”、“Ping扫描”、“Nmap扫描”、“连接记录分析”等，客户可基于实际业务环境，灵活选择对应功能发现主机，减少无意义网络资源消耗，保证探测与被探测主机正常运转。

（2）全面的应用清点
自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等十余类安全资产，覆盖通用资产。根据每个服务器业务特点，系统针对性识别应用，目前可识别业务应用已覆盖200余类，例如Nginx、Apache、JBoss、Mysql、Memcached、Redis、Hbase等。每个应用在风险发现与入侵检测中，均提供对应安全策略保护。未来版本中，将允许自定义清点对象，可根据业务需要，自助清点数据。针对不同清点对象均采用单独模块管理，模块间保持一定联动性，确保同时运行的清点单元最小化，瞬时性能消耗最低。

（3）灵活的资产检索
对于每类业务资产，系统提供“主机视角”和“资产视角”两种通用维度，聚合展示数据，每个数据表格列均允许搜索与排序。每个表格额外提供大量可选列（不常用的数据列被默认隐藏），客户可根据需求灵活显示的数据，定义自己的表格显示。在复杂搜索场景下，例如横跨多种资产联合搜索，系统已提供关键资产（主机、账号、进程等）全系统关联，未来还将提供全局搜索工具。

（4）强大的资产面板
在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示企业整体资产状况。“概览视图”使用图形化的方式展示企业的关键资产状况，帮助用户直观的了解资产。“分级视图”通过树状结构逐层展示资产信息，并显示关键资产的数值，引导用户找到需要的信息。针对每种特定业务资产，产品提供“分析板”功能，多维度剖析单一资产，详细分析内部情况。此外资产面板功能还提供一些从安全角度出发的特殊资产视角，引导客户从安全维度发现一些问题。

（5）报表导出与API支持
所有数据均提供报表导出功能，可任意选择导出的数据列与数据行，形成自定义报表。所有资产均提供基础API，可结合自身业务情况，获得清点的数据，进行二次开发。

风险发现

风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。

（1）发现未安装的重要补丁
持续更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

（2）发现应用配置缺陷
自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用Redis应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理了某个配置缺陷后，将有效解决潜在安全隐患、阻断黑客的进一步活动。

（3） 快速发现新型漏洞
持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累37000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。

（4） 智能化的弱口令检测
精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN等。识别方法以离线破译优先，且识别弱口令后会对没有发生变化的离线弱口令文件哈希入库，如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的Agent对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。

入侵检测
主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。

（1）暴力破解监控
通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试。

（2）Web后门监控
通过自动化地监控关键路径，结合正则库，相似度匹配，沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web后门，并对后门影响部分进行清晰标注。

（3）反弹Shell
通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell连接操作产生的反弹Shell行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹Shell的详细进程树。

（4）本地提权监控
通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。

（5） 系统后门监控
区别于传统的特征分析，我们通过对进程关联信息的分析，结合模式识别和行为检测，提供了不依赖Hash的自动化系统后门检测方式，能够实现在多系统中进行多维度、高准度、快速度的后门发现，能够对包括Linux下的Rootkit、Bootkit，还有Windows下的可疑进程、可疑线程等多种后门。

合规基线

合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。

（1）支持等保/CIS等多重标准
安全研究人员持续研究国家等级保护政策、CIS基线标准，不断推进更多基线标准的支持。产品目前支持Centos、Debian、RedHat、SUSE、Windows Server 2008、Windows Server 2012等常用操作系统，同时覆盖apache mongoDB mysql等10余种数据库类、Web服务类应用。

（2）自动识别服务器需检查的基线
在资产细粒度清点的基础上，根据所选服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务，操作简单易用。

（3） 一键任务化检测
合规基线功能设计了灵活可配置的任务式的扫描机制，用户可快捷创建基线扫描任务。根据检测需要，自行选择需要扫描的主机和基线。在完成检测后，检查结果将以“检查项视图”和“主机视图”两种方式可视化呈现，满足企业个性化的检测需求。

（4）自定义基线检查项能力
企业可根据实际的使用场景，自行定义基线的检查项，如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等，以满足企业多样化的内部监管要求。

应用场景

等保合规检查场景

适用场景

帮助客户实现主机系统安全基线的建立，形成针对不同系统的详细漏洞要求和Checklist要求，为标准化的技术安全操作提供了框架和标准，主要的应用场景有新业务系统上线安全检查，合规性安全检查（上级检查）、日常安全检查等。通过对目标主机系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。

发现新型漏洞应用场景

适用场景
至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网 90% 安全防护。同时，基于Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及 Agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户 发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

主机安全防护应用场景

适用场景
主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上 解决入侵事件。有主机的地方就需要主机入侵检测。

服务案例

交通物流
龙邦速运
龙邦物流有限公司（LBEX）成立于2002年，注册资金1000万人民币，是一家经政府批准的、合法经营的民营快递企业。迄今为止，已有员工2万余人，运输、派送车辆8000余台，已建立8大全国货物转运枢纽，拥有30多家分公司，80多个仓储分拣中心，2600多个专业配送网点，形成了完善、流畅的物流配送业务体系。龙邦物流在东莞虎门设立了全国网络管理中心。在北京、上海、成都、沈阳分别建立了华北、华东、西南、东北四大片区网络管理中心。主要经营国际、国内快递货运业务。龙邦通过持续努力发展，服务网络已经覆盖了港、台、珠三角、长三角及国内各大、中城市，并且业务区域及网络仍在飞速拓展中。 龙邦物流通过拥有自主知识产权的物流信息系统，将货物在途管理、车辆管理、客户信息交互平台，在线跟踪等功能进行整合，运用PDA条码扫描技术对所有进出港货物进行电子数据管理，利用GPS全球定位系统对运输车辆进行24小时全方位跟踪，货物在途信息实时掌握，为客户提供全方位、高品质的综合物流服务。

使用产品
云专线CDA 弹性云主机 服务器安全卫士