安芯網盾金融企業安全運維項目

客戶背景

2019 年，全球互聯網數據進一步呈現指數級增長之勢，某大型金融企業數字化轉型基本完成。但其面臨威脅呈現出更加多元化、復雜化趨勢。客戶在安全運維上難以入手，主要表現如下：

難管理：金融行業對接入互聯網安全要求是非常嚴格的，為了保護核心數據安全，銀行采購大量安全防護產品，但復雜的網絡攻擊在不斷增加，攻擊者仍然能夠輕而易舉的突破層層防線，并且開啟多個安全防護策略后對業務使用體驗也會造成一定影響。

同時由于業務發展需要，暴露在互聯網上的數據資產難以管理，業務開通端口、服務越來越多，業務與安全逐步深度融合，讓IT 管理員很難有效進行管理。

難分析：由于IT 管理環境繁瑣化，發現問題后，管理員只能反復登錄多臺安全設備，逐條對異常數據進行分析，分析周期長、難度大，無法及時、有效解決問題，例如：IDS 檢測到風險，其每天打印成千上萬條日志，運維人員疲于救火。

難解決：攻擊手段多樣化、智能化、隱蔽化、持續化等特征，如何在保障業務不中斷情況下對問題進行解決，讓IT 管理員左右為難。

實施目的及意義

1.抵御未知威脅

計算機體系結構決定了任何安全威脅都需要經過CPU 進行運算，其數據都需要經過內存進行存儲，但傳統的安全軟件對運行中內存和系統的讀、寫、執行情況缺乏實時有效的監控手段。安芯智能內存保護系統通過使用CPU 提供的硬件虛擬化技術能感知到進程（和系統）執行了哪些敏感指令和內存上的讀寫執行行為，能深度、細粒度的分析出程序的各種行為（含一些明顯的異常行為），實時發現各類已知、未知威脅。

2.防止數據泄露

安芯智能內存保護系統采用先進的內存保護技術，基于實時的程序行為監控、內存操作監控等技術實現在應用程序級別保護內存，防止一些跨進程的內存數據讀取，有效保護進程內的數據；此外，安芯智能內存保護系統還配合內存冗余等技術確保應用程序正常代碼，不會因病毒竊取、漏洞觸發而遭受攻擊，切實有效的保護客戶核心業務不被阻斷，核心數據資產不被竊取。

3.確保業務正常運行

安全能力必須在內部的業務系統上進行構建，才能真正解決業務安全問題，安芯智能內存保護系統精準定義為對關鍵業務應用程序中的威脅，具有一定自適應能力，擁有針對一般性網絡攻擊自我發現、自我控制、自我平衡能力，從而保證關鍵業務不中斷。

4.統一資產管理

對分布于各機房的服務器進行集中管理，可以通過服務端直接查看所有服務器、操作系統、中間件、數據庫信息，并可檢測其實時運行狀態。

5.靜態防范惡意攻擊

不同于其他安全產品無休止的報警卻無所作為，安芯智能內存保護系統會安靜地防御各種攻擊，并在威脅造成損害之前阻止它們。因為安芯智能內存保護系統基于應用層、系統層、硬件層來做立體防護，這樣它能識別更多的程序行為種類。

服務端安全防護架構設計

安芯智能內存保護系統部署分為管理端、安全監控端、Agent 端。

管理端：用戶可通過服務端管理界面進行資產管理、安全威脅監控、安全策略設置、安全指令下發、批量管理、報警信息接收、系統資源查詢等。

安全監控端：會搭建socket 通信實時獲取主機信息，對數據進行智能分析行為建模，來實現對主機的威脅行為識別。

Agent 端：部署在業務服務器上，用于安全防御和數據收集。在不影響正常業務運行情況下，可直接在主機進行Agent 安裝。Agent 具有監控程序行為、文件病毒掃描、程序行為歸納識別威脅、漏洞攻擊檢測和防御、文件加殼、簽名信息檢測采集跟安全相關的數據、威脅響應、軟件更新等能力，同時能對新建文件、數據拷貝等行為進行檢測、阻止，防止數據泄露。

案例效果

安芯智能內存保護系統檢測的是尚在內存中的惡意行為，能夠防患于未然。其功能就是檢測應用執行中由基于內存的攻擊所造成的異常行為，并即時阻止。如果檢測到應用內部行為異常，智能內存保護系統不僅可以阻止未知0Day 攻擊，無文件攻擊，還能夠提供虛擬修復。執行過程中的任何異常都是遭到攻擊的跡象，應用內存防火墻能夠在微秒級阻止漏洞利用。安芯智能內存保護系統能夠有效保護應用運行時安全，交付遠超現有安全工具的有效性和準確性。通過基于系統硬件底層的內存安全防護技術，改變了操作系統被動防御的局面，變被動為主動，變脆弱為強健增加系統自動化安全防護能力。幫助某大型銀行建設安全運維環境。

在安全運維管理上更是極大減輕IT 運維管理難度。用戶在實施上線過程中無需中斷業務，即可成功安裝，安裝完成無需重新啟動服務器。同樣由于其基于硬件底層安全防護技術，并結合行為特征分析，極大減少了安全風險。

在系統適配上，安芯智能內存保護系統完全兼容現有應用系統（linux、中標麒麟、銀河麒麟系統等）的運行及升級，與已有安全產品結合，由橫向防護體系變為縱深、立體防御。

目前安芯智能內存保護系統已在某大型金融客戶中得到了很好的應用，相信隨著國家對安全領域產品越來越重視，銀行業務應用與安全防護技術越來越依賴，安芯網盾的產品從內存級別實現對惡意代碼的檢測和阻斷，將會為更多的銀行安全防護體系建設提供有效支撐。

點評

金融行業對安全運維管理工作要求極高，在某大型金融企業安全運維建設過程中，安芯智能內存保護系統通過在應用層、系統層、硬件層提供有機結合的立體防護，實現對惡意代碼的檢測和阻斷，為客戶安全防護系統建設提供了有效支撐。