客戶背景

2019 年，全球互聯(lián)網(wǎng)數(shù)據(jù)進一步呈現(xiàn)指數(shù)級增長之勢，某大型金融企業(yè)數(shù)字化轉(zhuǎn)型基本完成。但其面臨威脅呈現(xiàn)出更加多元化、復雜化趨勢?？蛻粼诎踩\維上難以入手，主要表現(xiàn)如下：

難管理：金融行業(yè)對接入互聯(lián)網(wǎng)安全要求是非常嚴格的，為了保護核心數(shù)據(jù)安全，銀行采購大量安全防護產(chǎn)品，但復雜的網(wǎng)絡攻擊在不斷增加，攻擊者仍然能夠輕而易舉的突破層層防線，并且開啟多個安全防護策略后對業(yè)務使用體驗也會造成一定影響。

同時由于業(yè)務發(fā)展需要，暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)資產(chǎn)難以管理，業(yè)務開通端口、服務越來越多，業(yè)務與安全逐步深度融合，讓IT 管理員很難有效進行管理。

難分析：由于IT 管理環(huán)境繁瑣化，發(fā)現(xiàn)問題后，管理員只能反復登錄多臺安全設備，逐條對異常數(shù)據(jù)進行分析，分析周期長、難度大，無法及時、有效解決問題，例如：IDS 檢測到風險，其每天打印成千上萬條日志，運維人員疲于救火。

難解決：攻擊手段多樣化、智能化、隱蔽化、持續(xù)化等特征，如何在保障業(yè)務不中斷情況下對問題進行解決，讓IT 管理員左右為難。

實施目的及意義

1.抵御未知威脅

計算機體系結(jié)構決定了任何安全威脅都需要經(jīng)過CPU 進行運算，其數(shù)據(jù)都需要經(jīng)過內(nèi)存進行存儲，但傳統(tǒng)的安全軟件對運行中內(nèi)存和系統(tǒng)的讀、寫、執(zhí)行情況缺乏實時有效的監(jiān)控手段。安芯智能內(nèi)存保護系統(tǒng)通過使用CPU 提供的硬件虛擬化技術能感知到進程（和系統(tǒng)）執(zhí)行了哪些敏感指令和內(nèi)存上的讀寫執(zhí)行行為，能深度、細粒度的分析出程序的各種行為（含一些明顯的異常行為），實時發(fā)現(xiàn)各類已知、未知威脅。

2.防止數(shù)據(jù)泄露

安芯智能內(nèi)存保護系統(tǒng)采用先進的內(nèi)存保護技術，基于實時的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術實現(xiàn)在應用程序級別保護內(nèi)存，防止一些跨進程的內(nèi)存數(shù)據(jù)讀取，有效保護進程內(nèi)的數(shù)據(jù)；此外，安芯智能內(nèi)存保護系統(tǒng)還配合內(nèi)存冗余等技術確保應用程序正常代碼，不會因病毒竊取、漏洞觸發(fā)而遭受攻擊，切實有效的保護客戶核心業(yè)務不被阻斷，核心數(shù)據(jù)資產(chǎn)不被竊取。

3.確保業(yè)務正常運行

安全能力必須在內(nèi)部的業(yè)務系統(tǒng)上進行構建，才能真正解決業(yè)務安全問題，安芯智能內(nèi)存保護系統(tǒng)精準定義為對關鍵業(yè)務應用程序中的威脅，具有一定自適應能力，擁有針對一般性網(wǎng)絡攻擊自我發(fā)現(xiàn)、自我控制、自我平衡能力，從而保證關鍵業(yè)務不中斷。

4.統(tǒng)一資產(chǎn)管理

對分布于各機房的服務器進行集中管理，可以通過服務端直接查看所有服務器、操作系統(tǒng)、中間件、數(shù)據(jù)庫信息，并可檢測其實時運行狀態(tài)。

5.靜態(tài)防范惡意攻擊

不同于其他安全產(chǎn)品無休止的報警卻無所作為，安芯智能內(nèi)存保護系統(tǒng)會安靜地防御各種攻擊，并在威脅造成損害之前阻止它們。因為安芯智能內(nèi)存保護系統(tǒng)基于應用層、系統(tǒng)層、硬件層來做立體防護，這樣它能識別更多的程序行為種類。

服務端安全防護架構設計

安芯智能內(nèi)存保護系統(tǒng)部署分為管理端、安全監(jiān)控端、Agent 端。

管理端：用戶可通過服務端管理界面進行資產(chǎn)管理、安全威脅監(jiān)控、安全策略設置、安全指令下發(fā)、批量管理、報警信息接收、系統(tǒng)資源查詢等。

安全監(jiān)控端：會搭建socket 通信實時獲取主機信息，對數(shù)據(jù)進行智能分析行為建模，來實現(xiàn)對主機的威脅行為識別。

Agent 端：部署在業(yè)務服務器上，用于安全防御和數(shù)據(jù)收集。在不影響正常業(yè)務運行情況下，可直接在主機進行Agent 安裝。Agent 具有監(jiān)控程序行為、文件病毒掃描、程序行為歸納識別威脅、漏洞攻擊檢測和防御、文件加殼、簽名信息檢測采集跟安全相關的數(shù)據(jù)、威脅響應、軟件更新等能力，同時能對新建文件、數(shù)據(jù)拷貝等行為進行檢測、阻止，防止數(shù)據(jù)泄露。

案例效果

安芯智能內(nèi)存保護系統(tǒng)檢測的是尚在內(nèi)存中的惡意行為，能夠防患于未然。其功能就是檢測應用執(zhí)行中由基于內(nèi)存的攻擊所造成的異常行為，并即時阻止。如果檢測到應用內(nèi)部行為異常，智能內(nèi)存保護系統(tǒng)不僅可以阻止未知0Day 攻擊，無文件攻擊，還能夠提供虛擬修復。執(zhí)行過程中的任何異常都是遭到攻擊的跡象，應用內(nèi)存防火墻能夠在微秒級阻止漏洞利用。安芯智能內(nèi)存保護系統(tǒng)能夠有效保護應用運行時安全，交付遠超現(xiàn)有安全工具的有效性和準確性。通過基于系統(tǒng)硬件底層的內(nèi)存安全防護技術，改變了操作系統(tǒng)被動防御的局面，變被動為主動，變脆弱為強健增加系統(tǒng)自動化安全防護能力。幫助某大型銀行建設安全運維環(huán)境。

在安全運維管理上更是極大減輕IT 運維管理難度。用戶在實施上線過程中無需中斷業(yè)務，即可成功安裝，安裝完成無需重新啟動服務器。同樣由于其基于硬件底層安全防護技術，并結(jié)合行為特征分析，極大減少了安全風險。

在系統(tǒng)適配上，安芯智能內(nèi)存保護系統(tǒng)完全兼容現(xiàn)有應用系統(tǒng)（linux、中標麒麟、銀河麒麟系統(tǒng)等）的運行及升級，與已有安全產(chǎn)品結(jié)合，由橫向防護體系變?yōu)榭v深、立體防御。

目前安芯智能內(nèi)存保護系統(tǒng)已在某大型金融客戶中得到了很好的應用，相信隨著國家對安全領域產(chǎn)品越來越重視，銀行業(yè)務應用與安全防護技術越來越依賴，安芯網(wǎng)盾的產(chǎn)品從內(nèi)存級別實現(xiàn)對惡意代碼的檢測和阻斷，將會為更多的銀行安全防護體系建設提供有效支撐。

點評

金融行業(yè)對安全運維管理工作要求極高，在某大型金融企業(yè)安全運維建設過程中，安芯智能內(nèi)存保護系統(tǒng)通過在應用層、系統(tǒng)層、硬件層提供有機結(jié)合的立體防護，實現(xiàn)對惡意代碼的檢測和阻斷，為客戶安全防護系統(tǒng)建設提供了有效支撐。