国产服务器占比持续提升 奇安信：安全是服务器信创的底板

2021年是“十四五”开局之年，中央 经济 工作会议指出，信创产业是重塑中国IT产业基础、加快发展现代产业体系、推动经济体系优化升级的重要力量。由于目前我国重要信息系统、关键基础设施中使用的核心产品绝大多数来自国外，加上近年来发生的芯片断供、微软多个操作系统停服、棱镜门等重大事件，都在给我国信息化建设敲响安全警钟。因此国家将信创产业列为“十四五”规划发展的重要抓手。

在国际形势和相关政策的推动下，党政信创订单纷纷落地，三大运营商不约而同选择集采国产化服务器，中国信创产业进入高速增长期。对于信创产业而言，国产CPU是“芯”，国产操作系统是“魂”，虽然国产操作系统正在快速崛起，党政、 金融 、运营商、交通、能源等重要行业也逐步启动信创替代之路，但是黑客攻击、后门、勒索病毒等安全威胁并没有因此消失，尤其是在服务器安全领域，还在存在着较大的供需缺口。

信创适配对于服务器安全产品而言尤为艰难

据奇安信虚拟化安全事业部负责人冯顾介绍，不同于旁路接入设备，服务器安全产品需要在服务器上部署，在实现安全防护同时，要最大限度的保证系统和应用的兼容性、不影响业务的正常运行，因此在信创平台重构完底层代码后，还需要对每个信创系统的发行版本做适配，目前光是信创操作系统的大小发行版本就有几十个，所以市面上除了奇安信虚拟化产品外，很少看的到能满足信创需求的服务器安全产品。得益于虚拟化安全团队在服务器安全领域积累的深厚开发经验，目前一个新操作系统的适配1周左右就能完成适配和测试，加上和信创操作系统开发厂商一直保持紧密的合作关系，所以基本上每个新版本发出，虚拟化安全产品很快能实现适配兼容，将安全空窗期缩到最短。

信 创业 务环境要关注的安全风险

冯顾认为，信创改变的是底层架构，但上层的业务逻辑总体没有太大变化，对于服务器安全而言，需要重点关注的仍是系统安全、应用安全、网络访问控制、入侵检测、恶意代码防范这5个层面。

① 信创系统安全

国产化操作系统起步晚于国外，因此在自身安全和安全生态建设上还有比较长的路要走，存在出现高危漏洞的概率，虚拟化安全解决思路是：第一步，摸清资产家底，比如客户哪些机器装了麒麟、哪些装了欧拉、对应的版本是什么，可以自动化的识别出来，如果某个特定的版本出现漏洞，可以快速的排查;第二步，做好漏洞管理，以全局视角去看漏洞的整体情况并给出整改建议;第三步，对于官方还未发布修复方案的系统及应用漏洞，可以利用产品的入侵防御机制下发虚拟补丁，无需重启服务器即可实现对漏洞利用的防护，从而实现虚实结合，多层级的漏洞利用防护;第四步，在系统层还建立了应用权限控制、文件完整性监控等安全机制，以防御漏洞利用成功后的进一步操作。

② 信创应用安全

根据CNVD最新报告，应用程序漏洞数量占2021年Q1总数的61%，因此应用程序的漏洞需要重点关注，尤其是web应用漏洞，最受黑客喜爱和追捧，因此虚拟化安全在服务器本地内置入侵防御模块，通过代理http请求匹配流量检测规则，可以有效发现SQL注入、XSS等常见网络攻击。另外，针对黑客常用的webshell类恶意文件，虚拟化安全在服务器本地建立强大的检测引擎，结合威胁情报可以实现精准识别和利用阻断。

③ 网络访问控制

目前恶意访问大概分为两种类型：阻断型和入侵型。阻断型恶意访问的如DDOS和CC，主要目的是消耗服务器的带宽、CPU、内存等资源，让正常访问受阻，针对这类攻击，虚拟化安全采用了DPI(深度包检测)技术，可以智能识别恶意流量，并实现清洗或流量转发;入侵型的恶意流量主要是为了实现服务器间的横向移动，从而进一步入侵或传播恶意代码，虚拟化安全采用微隔离和流可视化技术，可以将服务器间的流量可视化呈现，并基于服务器分布式防火墙技术，对进出网流量进行双向管控，从而有效限制恶意流量的东西向横向扩散。

④ 入侵检测

黑客入侵服务器后会留下指纹和线索，虚拟化安全通过本地的入侵检测引擎、云端的大数据日志分析引擎&威胁情报，以及来自奇安信集团其他安全能力的联动，可以有效回溯黑客的入侵点和入侵轨迹，实现高效识别、全面复盘。

⑤ 恶意代码防范

不少勒索病毒、挖矿病毒具有跨平台的能力，在国外操作系统、国产化操作系统上或者容器上都能成功运行，近年来，勒索病毒攻击尤为猖獗，恶性事件频发，尤其是公共部门成为勒索攻击的主要目标。虚拟化安全采用QOWL、clamav、DB等多杀毒引擎查杀技术，可以对PE，ELF，MACHO，PDF，OLE等几十种格式识别和解析，并支持支持UPX(全平台)，ASPACK等几十种壳的脱壳检测，除了本地引擎外，还包含160万/天的云查杀及威胁情报样本，可以实现对服务器病毒的精准检测与查杀，新版本还将人工智能检测引擎QDE，进一步提升检测能力。

奇安信虚拟化安全完成主流信创平台适配 奇安信虚拟化安全目前已经完成对麒麟&统信等信创操作系统、飞腾&鲲鹏等信创CPU的兼容适配，但服务器信创安全除了要关注CPU、操作系统的变化外，还要关注业务工作负载的变化，目前除了物理机和云主机外，越来越多的容器和serverless被用于构建核心业务，冯顾介绍，目前虚拟化安全在信创场景主推agent base(有代理)形态，为了适应业务的变化，后续还会开发agentless(无代理)部署形态。有代理模式需要在本机操作系统上部署，直接接管本机系统和应用安全;无代理模式只要在虚拟化层(xen、kvm)层部署，就可以接管虚拟化上层所有虚拟机的安全，方便大规模虚机集群、容器、serverless等使用场景，两种产品形态最终将实现管理平台打通，统一管理、统一策略下发。

没有网络安全就没有国家安全，作为网络安全的头部企业，奇安信很早就坚定不移执行国家信创战略，积极投入党政、金融、运营商、交通、能源等多个重要领域的信创建设，已经有众多成功案例落地，并致力于联合信创生态合作伙伴，合力构建安全、开放、创新的网信产业生态环境，更好地保障国家重要信息系统和关键基础设施的网络安全。