文 / 成都农村商业银行科技信息部总经理 李黎明
成都农村商业银行科技信息部副总经理 叶明
成都农村商业银行科技信息部 曾银
随着成都农商银行线上业务的持续增长,承载线上业务系统的服务器资源也在逐步增长,很容易引起外来入侵者的窥探,各类威胁如病毒、入侵与恶意权限提升等都会抓住一切机会造访服务器系统。为保障业务连续性,应对新形势下的安全风险,我行于2022年启动服务器入侵检测防护项目,加强业务系统运行中的安全防御能力,确保业务系统稳定安全运行和实现服务器业务数据精细化防控,实现了业务系统纵深安全防御能力进一步提升。
项目目标
服务器是银行数字资产安全的最后防线,我行本次采用基于主机的入侵检测系统(HIDS),以信息资产为导向,有效掌控服务器资产面临的安全风险。以流量模型为基础,智能学习并建立外联访问白名单,通过运行时应用自防护技术精准识别并发现已知和未知威胁。针对现有生产业务系统资产进行分组分类,并开启检测勒索病毒、敏感命令执行、业务访问控制、恶意扫描攻击检测等功能,当服务器进行敏感命令执行或者被恶意攻击时予以实时监控告警。针对新上线业务系统,结合资产信息分组和微隔离功能,对不同服务器进行分区分域管理,实现东西向访问控制的精细化,通过部署微隔离功能实现东西向硬件防火墙替代,在实现端对端防护控制的同时显著减少了防御体系构建成本。
架构设计
基于主机的入侵检测系统(HIDS)整体采用分布式部署方式,确保系统高可靠性,同时实现高效的入侵检测和安全监控。技术架构方面采用松耦合模式,通过组件化分布式部署,结合大数据分析引擎,致力于提高系统的灵活性、可扩展性、安全性以及并发处理能力。系统采用C/S架构进行整体部署,通过安全行为搜集和日志分析,准确定位服务器上的异常行为、安全风险以及入侵威胁的各类状况。
本次服务器安全管理系统分为基线检查,实时检测和微隔离三个子系统。主要功能设计如下。
1.基线检查子系统。确保业务系统服务器达到安全基线标准,完成合规性检查以及制定安全策略,减少潜在的安全威胁和风险。
一是基线扫描。可以对服务器的安全配置进行检查,包括操作系统、密码要求等方面,通过与安全基线标准进行比对,检查服务器是否符合最佳实践和安全策略要求,以发现潜在的安全风险和配置错误。
二是漏洞扫描。定期扫描服务器上存在的安全隐患和脆弱性,如存在未打补丁的安全漏洞等。通过发现这些安全隐患,及时采取措施进行修补和加固,防止黑客入侵和数据泄露。
2.实时检测子系统。通过内置规则库和病毒库以及自定义高危命令要求,全方面发现和分析服务器文件、流量、命令执行等,实时检测预警其中的恶意文件、恶意行为、高危操作。
一是检测恶意扫描。通过实时检测发现服务器是否存在被扫描工具进行端口扫描和漏洞扫描的情况,避免潜在安全风险。
二是检测勒索病毒。通过内置的病毒检测引擎以及行为分析模型监控服务器上的文件操作行为,及时发现勒索行为、进行系统加固、创建勒索诱饵、隔离病毒文件,保障文件安全。
三是检测高危命令。建立自定义高危命令模型,通过在服务器部署的Agent驱动,检测服务器中所有行为的特征,来识别高危命令执行行为。四是检测恶意攻击。在生产环境中,Agent驱动将实时检测进出服务器的网络流量并分析流量特征,及时发现、阻断未授权的访问、数据窃取或破坏等恶意行为。
3.微隔离子系统。通过梳理细粒度的访问关系,按照最小化原则严格控制服务器东西向流量的传输路径,在满足生产服务器业务、管理数据流量控制需求的同时将安全风险降至最低。
一是外联白名单。在考虑服务器存在外联需求的同时,严格控制其与外部网络之间的通信,通过建立自学习模型,精准识别服务器与外部网络正常通信访问关系,并将其纳入白名单内,可减少外部攻击的风险,防止内部系统与未知或不信任的网络进行通信。
二是主机防火墙。为保证业务系统安全运行,针对服务器进行网络访问限制,未受信主机或IP地址将无法访问,只允许其访问受信任的主机或IP地址的通信请求,有效防止未经授权的外部连接和潜在的横向恶意攻击。
应用与价值
服务器安全管理系统为我行构建了高效的服务器主机主动防御体系。在资产盘点、风险识别以及入侵检测能力等多个方面发挥了关键作用。
1.平时无感,战时可防。平时能够实现无感化运行,对业务系统的影响降到最低。然而在关键时刻,如在重大保障期间,该系统便能发挥其主动防御能力,对攻击进行实时监控及防护。大运会期间成功发现并快速处置了近百项威胁事件,有效防止了系统遭受攻击。
2.访问控制,降本增效。微隔离功能实现了对服务器所在不同网络分区的东西向流量访问控制。这一创新技术改变了传统的硬件防火墙部署方式,做到了防火墙功能下沉至最底层,通过主机自带白名单机制增强了系统的安全性,也带来了显著的经济效益。随着业务系统的不断扩展,这种部署方式将继续发挥其优势,进一步降低成本和提高效率。
3.填补服务器杀毒功能空白。在银行系统中,许多非Windows服务器未部署杀毒软件曾是一大难题,服务器安全管理系统成功地弥补了这一空白。防病毒功能可对病毒攻击进行及时告警与处置,有效防止病毒对服务器系统的危害,进一步完善银行的纵深防御体系。
4.及时发现并修复系统漏洞。在以往的服务器管理中,由于漏洞信息的不对等以及补丁升级的难落实,导致无法迅速有效地处理漏洞。虚拟补丁模块能够实时监控服务器操作系统和中间件漏洞,一旦发现漏洞被利用,便能迅速进行处理,极大节约了人力成本,提高了服务器管理的效率。经统计,针对银行业内部定期公布的针对操作系统和中间件的漏洞缺失,识别率在85%以上。
综上所述,基于主机的入侵检测系统(HIDS)在保障服务器主机安全方面表现出色,不仅填补了服务器杀毒功能的空白,完善了防御体系,并且降低了设备投入和人力投入。这些优势证明了,基于主机的入侵检测系统(HIDS)在服务器主机安全建设中的重要价值。
(此文刊发于《金融电子化》2024年7月下半月刊)
