一、项目方案

我联社在数字化转型过程随着业务规模与生产环境变化，配套IT 设施也在发生改变。从传统企业环境逐步采用混合数据中心架构，包括本地环境、虚拟环境、云环境等；这些转变无疑对我联社体系化安全建设提出严峻挑战，业务变得越来越开放和复杂，固定的防御边界已经不复存在，而黑客的手段却越来越多样化。但大多数企业在安全防护方面，还是优先使用传统的拦截和防御以及基于策略的控制将危险拦截在外，但高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制，安全威胁已防不胜防。

基于服务器入侵检测与防御体系通过对服务器信息和行为进行持续全方位收集、分析和监控，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，保护服务器免遭 0day 等攻击造成的各种风险（如敏感信息泄露、关键基础设施破坏等）。

基于服务器入侵检测与防御体系采用“中心+端”的模式，主要由agent，Server，Web 三部分构成，为产品服务提供基础的、灵活的、稳固的核心能力支持。是一种低耦合、高内聚的架构，易于扩展和统一管理。详细架构如下图所示：

二、创新点

1.从安全角度重新定义资产

传统意义上的资产，被定义为服务器和IT 设备，仅限于从物理层清点资产；基于服务器入侵检测与防御体系角度出发，通过服务器入侵检测与防护平台，结合攻防对抗、安全检查、溯源取证、应急响应中的对资产需求，构建业务型资产对象，其中包括：进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web 框架、Web 站点等，更加契合了安全运营对资产的实际需求。    

2.突破传统基线检查

服务器入侵检测与防护平台在安全基线配置检查上深入思考，总结目前传统检查手段的不足、人工工作繁重、可维护性差、检测时长与频率难以满足现今越来越高的安全要求，大胆革新，在各服务器分布的agent仅进行基础信息搜集，搜集完毕后上传至控制引擎，由控制引擎进行规整发送至分析引擎。分析引擎根据所选择的检测模版进行数据分析并将分析结果发送至统一管理台呈现。因每个agent仅负责所属服务器的基础信息搜集，十分迅速，而分析呈现运算主体在独立高性能的分析引擎与管理台，所以能做到“低人工介入、高自定义、高维护性、每日自动秒级检测、结果清晰呈现”的良好体验。

三、技术实现特点

1.全面的资产收集

服务器入侵检测与防御平台对服务器基本信息、进程、端口、账号、软件应用、数据库、WEB资产（WEB服务（即WEB容器）、WEB站点、WEB应用、WEB框架）、系统安装包、Jar包、计划任务、系统启动项、环境变量、内核模块等信息进行清点，对各种资产信息进行多维度筛选、排序、统计。

2.全面系统脆弱性发现

基于服务器入侵检测与防御体系角度出发，在资产细粒度清点的基础上，深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁。并主动、持续性地监控所有服务器上的软件漏洞、弱密码、应用风险等，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，另外，安全运营团队持续关注国内外新安全动态及漏洞利用方法，不断推出新漏洞的检测能力，实现紧急安全事件快速响应持续、全面透彻地发现潜在风险及安全薄弱点。通过全面系统脆弱性发现，在企业安全建设的过程中化被动为主动，让不发分子无机可乘。 

3.全方位的入侵检测与实时的响应

传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力，基于服务器入侵检测与防御体系角度，从了解黑客的攻击方式，对暴力破解、Web后门、反弹Shell、本地提权、系统后门、内存后门、web远程命令执行、系统危险命令操作等攻击行为、转化成对服务器指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部的异常变化，从而被迅速发现并联动态势感知，做到快速响应。

四、项目过程管理

广东农信于2021年6月启动了基于服务器入侵检测与防御体系的建设，在历经部署方案设计和服务器节点部署后，8月系统开始试点运行，并计划于11月开始正式运行。

五、运营情况

2021年8月系统部署实施完成进入试点运营状态，运营情况如下：

1.资产管理

通过服务器入侵检测与防护平台，清点我联社服务器中使用的各类中间件、数据库、三方组件关键资产，识别200 余类常见业务应用。

2.风险发现与整改

通过服务器入侵检测与防护平台，对我联社服务器全方位脆弱性检测，发现信息系统存在安全漏洞500+、安全配置问题300+、应用系统安全漏洞500+，检查系统存在的弱口令2000+。对检测到漏洞进行有序的整改，有效解决了潜在安全隐患，保障了我联社安全。

3.入侵监测与应急响应

截至目前，基于服务器入侵检测与防御体系共成功捕获60+攻击事件，其中下载黑客工具3起、远程命令执行20+、系统后门10+，网页后门20+（其中历史渗透遗留后门），发现“0day”攻击1起。针对这些攻击事件，结合资产信息，安全运营团队能够提供深入了解详细的入侵分析，做到了分钟级的应急响应。

六、项目成效

1.实现服务器数据的多维度、全方位数据分析和可视化管理

服务器入侵检测与防护系统部署在服务器内部，通过对安全运营中关注的资产进行收集，并与CMDB 系统进行联动，有效补充缺失的数据，提高我联社对整体资产把控能力。结合资产进行统一的量化分析，可每天自动给系统评估出当前所有服务器的安全状况，并且给当前安全情况打分，通过每天的分数和风险情况，使安全状态十分清晰，在出现安全问题时快速地将安全风险控制回安全状态，同时持续保持安全分值处于稳定的状态，这些价值都全方位通过服务器入侵检测与防护系统统一呈现。

2.加深了纵深防御能力。

服务器安全是网络安全建设的后一道防线，要建立纵深防御体系，服务器安全是必不可少的一环，基于服务器入侵检测与防御体系通过安装在服务器上的插件和服务端防护中心的联动，全面覆盖中心生产环境、测试环境、DMZ等环境中所有服务器。通过建立事前预测并规避、事中检测并告警、事后调查取证并分析的一套服务器入侵检测解决方案，利用合规基线和漏洞补丁管理进行事前的预测和规避，服务器入侵与防护系统进行事中的实时检测并告警，日志溯源分析对相应的日志进行事后调查取证，从而全面提升安全风险发现能力，提高安全事件实时处置水平，扩大服务器安全日志收集、分析、存储的范围，检测各类层出不穷的入侵攻击行为。目前我联社覆盖服务器已达上万台，极大加深了我联社的服务器入侵检测感知能力，有效防止服务器失陷，弥补了当前安全体系建设得后一公里“服务器安全”。

3.满足监管要求

在等级保护检查、测评、整改工作过程中，对服务器进行对应级别的安全风险检查是技术方面的必不可少的工作。我联社通过服务器入侵检测与防护系统对等级保护规范进行细化整理，将规范落实到每台服务器配置检查工作上通过服务器入侵检测与防护系统与等级保护工作相结合，对业务服务器资产进行等保定级跟踪，根据资产定级自动进行对应级别的安全配置检查，对合规情况出具相应的等保符合性报告，保证系统建设符合等保要求，保障等保监督检查工作高效执行。除了落实等保工作之外，我联社参考金融行业行业标准、等保合规制度和我联社安全管理基线要求，将平台与这些制度结合落地，既满足合规的同时也满足了我联社安全建设的要求。

七、经验总结

1.基于服务器入侵检测与防御体系的项目建设，实现服务器的信息采集和监测能力，在服务器侧进行风险和漏洞的统一管控，对服务器入侵能够做到主动感知和快速响应以及精准溯源，成为了我联社网络安全防御体系中的的重要一环，也是日常安全运营工作中不可缺少的一部分。

2.基于服务器入侵检测与防御体系充分体现了安全产品更强调安全产品落地性。基于服务器入侵检测与防御体系经过我联社安全人员结合实际情况进行多轮调优和持续的安全运营，更好的发挥了产品效果，在普遍强调技术性的行业环境下，以注重安全产品落地性、发挥安全产品大收益为目标和要求。