企业主机安全
产品介绍
文档版本 21
发布日期 2021-10-22
版权所有 © 华为技术有限公司 2021。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 什么是企业主机安全服务...1
2 功能特性...3
3 产品优势...10
4 服务版本差异...11
5 应用场景...19
6 使用约束...20
7 项目与企业项目... 23
8 计费说明...25
9 个人数据保护机制... 27
10 HSS 权限管理... 28
11 与其他云服务的关系... 30
12 相关概念... 32
A 修订记录... 35
产品介绍 目 录
1 什么是企业主机安全服务
企业主机安全服务(Host Security Service,HSS)是提升主机整体安全性的服务,通 过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识 别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业 构建服务器安全体系,降低当前服务器面临的主要安全风险。
工作原理
在主机中安装Agent后,您的主机将受到HSS云端防护中心全方位的安全保障,在安全 控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机 安全风险。
企业主机安全服务的工作原理如图1-1所示。
图1-1 工作原理
企业主机安全服务的组件功能及工作流程说明如下:
产品介绍 1 什么是企业主机安全服务
表1-1 组件功能及工作流程说明
组件 说明
管理控制台 可视化的管理平台,便于您集中下发配置信息,查看在同一区 域内主机的防护状态和检测结果。
HSS云端防护中心 ● 使用AI、机器学习和深度算法等技术分析主机中的各项安全 风险。
● 集成多种杀毒引擎,深度查杀主机中的恶意程序。
● 接收您在控制台下发的配置信息和检测任务,并转发给安装 在服务器上的Agent。
● 接收Agent上报的主机信息,分析主机中存在的安全风险和 异常信息,将分析后的信息以检测报告的形式呈现在控制台 界面。
Agent ● Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接 通信,默认端口:443。
● 每日凌晨定时执行检测任务,全量扫描主机;实时监测主机 的安全状态;并将收集的主机信息(包含不合规配置、不安 全配置、入侵痕迹、软件列表、端口列表、进程列表等信 息)上报给云端防护中心。
● 根据您配置的安全策略,阻止攻击者对主机的攻击行为。
说明
● 如果未安装Agent或Agent状态异常,您将无法使用企业主机安全服 务。
● Agent可安装在华为云弹性云服务器(Elastic Cloud Server,
ECS)/裸金属服务器(Bare Metal Server,BMS)、线下主机以及 第三方云主机中。
● 根据操作系统版本选择对应的安装命令/安装包进行安装。
● 网页防篡改与主机安全共用同一个Agent,您只需在同一主机安装 一次。
产品介绍 1 什么是企业主机安全服务
2 功能特性
企业主机安全服务主要包含资产管理、漏洞管理、入侵检测、基线检查和网页防篡改 功能。
资产管理
资产管理功能可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启 动任务,在“资产管理”界面,您可以统一管理主机中的信息资产。
表2-1 资产管理
功能项 功能描述 检测周期
账号信息 管理
检测主机系统中的账号,列出当前系统的账号信 息,帮助用户进行账户安全性管理。
根据账号的实时信息和历史变动,您可以快速排查 主机中的可疑账号。
● 账号的实时信息包括账号的“账号名”、“对应 主机数”以及具体账号对应的“对应服务器”、
“管理员权限”、“用户组”、“用户目录”和
“用户启动Shell”。
● 账号的历史变动信息包括“变动状态”、“弹性 服务器名称”、“账号名”、“管理员权限”、
“用户组”、“用户目录”、“用户启动Shell”
和“发生变动时间”。
实时检测
开放端口 检测
检测主机系统中的端口,列出当前系统开放的端口 列表,帮助用户识别出其中的危险端口和未知端 口。
根据端口的“端口类型”、“对应主机数”、“危 险程度”、“状态”、“端口描述”以及具体端口 对应的“对应服务器”、“绑定IP”、“状态”、
“对应进程的PID”、“程序文件”,您能够快速排 查主机中含有风险的端口。
实时检测
产品介绍 2 功能特性
功能项 功能描述 检测周期 进程信息
检测
检测主机系统中运行的进程,对运行中的进程进行 收集及呈现,便于自主清点合法进程发现异常进 程。
根据主机中“进程名”、“对应主机数”、“进程 总数”、“文件名称总数”以及具体进程对应的
“对应服务器”、“进程路径”、“文件权限”、
“运行用户”、“PID”以及“进程启动时间”,您 能够快速排查主机中的异常进程。
实时检测
Web目录 管理
检测并列出当前系统中Web服务使用的目录,帮助 用户进行Web资源管理。
在“Web目录管理”界面,您可以统一查看Web目 录对应的“文件路径”、“应用类型”、“本地端 口”、“URL”、“进程编号(PID)”和“程序文 件”。
实时检测
软件信息 管理
检测并列出当前系统安装的软件信息,帮助用户清 点软件资产,识别不安全的软件版本。
根据软件的实时信息和历史变动,您能够快速排查 主机中含有风险的软件。
● 软件的实时信息包括“软件名称”、“对应主机 数”以及具体软件对应的安装该软件的“对应服 务器”和“软件版本号”。
● 软件变动的历史记录包括软件的“变动状态”、
“服务器名称”、“软件名称”、“软件版本 号”和“发生变动时间”。
● 您可以使用手动检测功能检测主机中的软件信 息。
● 每日凌晨自动 检测
● 手动检测
自启动 检测并列出当前所有主机系统中自启动服务、定时 任务、预加载动态库、Run注册表键或者开机启动文 件夹的汇总信息。
帮助用户通过自启动变更情况,及时发现异常自启 动项,快速定位木马程序的问题。
实时检测
漏洞管理
漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞,帮助用户 识别潜在风险。
产品介绍 2 功能特性
表2-2 漏洞管理
功能项 功能描述 检测周期
软件漏洞
检测 包括Linux软件漏洞和Windows系统漏洞。
通过与漏洞库进行比对,检测出系统和官方软件
(非绿色版、非自行编译安装版;例如:SSH、
OpenSSL、Apache、MySQL等)存在的漏洞,
帮助用户识别出存在的风险。
● 每日凌晨自动检 测
● 手动检测
Web-CMS漏洞 检测
通过对Web目录和文件进行检测,识别出Web- CMS漏洞,提升Web服务安全性。
基线检查
基线检查功能可扫描出主机系统和关键软件含有风险的配置信息。
表2-3 基线检查
功能项 功能描述 检测周期
口令复杂 度策略检 测
● 检测系统中的口令复杂度策略,并给出修改建 议,帮助用户提升口令安全性。
● 您可以使用手动检测功能检测主机中的口令复 杂度策略。
● 每日凌晨自动检 测
● 手动检测
经典弱口
令检测 ● 检测系统账户口令是否属于常用的弱口令,针 对弱口令提示用户修改,防止账户口令被轻易 猜解。
● 在经典弱口令检测界面,您可查看使用弱口令 的“账号名”、“账号类型”以及“弱口令使 用时长”。
● 您可以使用手动检测功能检测主机中使用的弱 口令。
● 每日凌晨自动检 测
● 手动检测
配置检测 检测常见的Tomcat配置、Nginx配置、SSH登录 配置,帮助用户识别不安全的配置项。
在配置检测界面,您可以查看主机中不同配置检 测种类的“描述”、存在威胁的“检测规则”、
“威胁等级”和“状态”。
● 根据配置检测规则和检测结果详情,您可以处 理含有风险的配置项或忽略可信的配置项。
● 您可以使用手动检测功能检测主机中的关键配 置信息。
● 每日凌晨自动检 测
● 手动检测
产品介绍 2 功能特性
入侵检测
入侵检测功能可识别并阻止入侵主机的行为,实时检测主机内部的风险异变,检测并 查杀主机中的恶意程序,识别主机中的网站后门等。
表2-4 入侵检测
功能项 功能描述 检测周期
账户暴力
破解 检测SSH、RDP、FTP、SQL Server、MySQL等账 户遭受的口令破解攻击。
● 如果30秒内,账户暴力破解次数达到5次及以 上,HSS就会拦截该源IP,禁止其再次登录,
防止主机因账户破解被入侵。
SSH类型攻击默认拦截12小时,其他类型攻击 默认拦截24小时。
● 根据账户暴力破解告警详情,如“攻击源 IP”、“攻击类型”和“拦截次数”,您能够 快速识别出该源IP是否为可信IP,如果为可信 IP,您可以通过手动解除拦截的方式,解除拦 截的可信IP。
实时检测
账户异常 登录
检测“异地登录”和“账户暴力破解成功”等异常 登录。
● 检测主机异地登录行为并进行告警,用户可根 据实际情况采取相应措施(例如:忽略、修改 密码等)。
异地登录检测信息包括“登录源IP”、“登录 时间”,攻击者尝试登录主机时使用的“用户 名”和“云服务器名称”。
若在非常用登录地登录,则触发安全事件告 警。
● 若账户暴力破解成功,登录到云主机,则触发 安全事件告警。
实时检测
恶意程序
(云查 杀)
通过程序特征、行为检测,结合AI图像指纹算法以 及云查杀,有效识别病毒、木马、后门、蠕虫和挖 矿软件等恶意程序,也可检测出主机中未知的恶意 程序和病毒变种,并提供一键隔离查杀能力。HSS 仅支持检测运行中的恶意程序。
根据恶意程序的相关信息,您可以“隔离查杀”已 识别的恶意程序和可疑的恶意程序,“取消隔离”
或“忽略”可信的程序。
说明
恶意程序(云查杀)仅支持检测运行中的恶意程序。
实时检测
产品介绍 2 功能特性
功能项 功能描述 检测周期 进程异常
行为
通过对运行进程的管控,全局检测各个主机的运行 信息,保障云主机的安全性。您可以建立自己的进 程白名单,对于进程的非法行为、黑客入侵过程进 行告警。
进程异常行为可以监控以下异常行为:
● 监控进程CPU使用异常。
● 检测进程对恶意IP的访问。
● 检测进程并发连接数异常等。
实时检测
关键文件
变更 ● 对系统关键文件(例如:ls、ps、login、top 等)进行监控,一旦文件被修改就进行告警,
提醒用户关键文件存在被篡改的可能。
● 关键文件变更信息包括“被更改的关键文件路 径”、“文件最后修改时间”以及配置文件所 在的“服务器名称”。
实时检测
网站后门(Websh ell)
检测云服务器上Web目录中的文件,判断是否为 WebShell木马文件,支持检测常见的PHP、JSP等 后门文件类型。
● 网站后门检测信息包括“木马文件路径”、
“状态”、“首次发现时间”、“最后发现时 间”。您可以根据网站后门信息忽略可信文 件。
● 您可以使用手动检测功能检测主机中的网站后 门。
● 实时检测
● 手动检测
反弹Shell 实时监控用户的进程行为,及时发现进程的非法 Shell连接操作产生的反弹Shell行为。
支持对TCP、UDP、ICMP等协议的检测。
实时检测
异常Shell 检测系统中异常Shell的获取行为,包括对Shell文 件的修改、删除、移动、拷贝、硬链接、访问权限 变化。
实时检测
高危命令 执行
实时检测当前系统中执行的高危命令,当发生高危 命令执行时,及时触发告警。
实时检测
自启动检 测
检测并列举当前系统中的自启动服务、定时任务、
预加载动态库、Run注册表键和开机启动文件夹,
帮助用户及时发现非法自启动。
实时检测
风险账户 检测主机系统中的账号,列出当前系统中的可疑账 号信息,帮助用户及时发现非法账号。
在风险账号告警详情界面,您可以查看“账号 名”、“用户组”、“UID/SID”、“用户目录”
以及“用户启用Shell”等信息。
实时检测
产品介绍 2 功能特性
功能项 功能描述 检测周期 提权操作 检测当前系统的“进程提权”和“文件提权”操
作。
检测以下异常提权操作:
● 利用SUID程序漏洞进行root提权。
● 利用内核漏洞进行root提权。
● 对文件的提权。
实时检测
Rootkit程
序 检测Rootkit安装的文件和目录,帮助用户及时发 现可疑的Rootkit安装。
● 支持使用文件特征码检测Rootkit。
● 支持对隐藏文件、端口、进程的检测。
每日自动检测
高级防御
功能项 功能描述 检测周期
程序运行 认证
支持将重点防御的主机加入到白名单策略中,通过 检测白名单中指定的应用程序区分“可信”、“不 可信”和“未知”,防止未经白名单授权的程序运 行。可避免您的主机受到不可信或恶意程序的侵 害,还能防止不必要的资源浪费、保证您的资源被 合理利用。
实时检测
文件完整 性管理
检查Linux系统、应用程序软件和其他组件的文 件,帮助用户及时发现发生了可能遭受攻击的更 改。
实时检测
勒索病毒
防护 通过对主机运行状态的自动学习和管理端智能分 析,完成可信程序的判定,在防护阶段对非可信程 序的操作进行告警。
实时检测
网页防篡改
网页防篡改功能可实时发现并拦截篡改指定目录下文件的行为,并快速获取备份的合 法文件恢复被篡改的文件,从而保护网站的网页、电子文档、图片等文件不被黑客篡 改和破坏。
表2-5 网页防篡改
功能项 功能描述 检测周期
静态网页 防篡改
防止网站服务器中的静态网页文件被篡改。 实时检测
网盘文件 防篡改
防止共享文件网盘中的网页文件被篡改。
产品介绍 2 功能特性
功能项 功能描述 检测周期 动态网页
防篡改
防止网站数据库中动态网页内容被篡改。
产品介绍 2 功能特性
3 产品优势
企业主机安全服务是一个用于全面保障主机整体安全的服务,能帮助您高效管理主机 的安全状态,并构建服务器安全体系,降低当前服务器面临的主要安全风险。
集中管理
实现检测和防护的一体化管控,降低管理的难度和复杂度。
● 将Agent安装在华为云ECS服务器/BMS服务器、线下主机以及第三方主机中,您 可以集中管理同一区域内多样化部署的主机。
● 您可以在安全控制台上统一查看同一区域内主机中各项风险的来源,根据各项风 险的处理建议处理主机中的各项风险;利用多样化检索、批量处理等功能,快速 分析同一区域内所有主机的风险。
精准防御
拥有先进的检测技术和丰富的检测库,提供精准防御。
全面防护
提供事前预防、事中防御、事后检测的全面防护,全面降低入侵风险。
轻量 Agent
Agent占用资源极少,不影响主机系统的正常运行。
产品介绍 3 产品优势
4 服务版本差异
企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版供您选择,具体差异请 参见表4-2。详细的功能介绍请参见功能特性。
须知
● 企业主机安全服务包含基础版、企业版、旗舰版和网页防篡改版四个版本,支持版 本间升级。
请根据您已购买的配额版本,选择升级后的配额版本。
● 若已购买包周期“基础版”,可以升级为“企业版”、“旗舰版”或者“网页 防篡改版”。
● 若已购买包周期“企业版”,可以升级为“旗舰版”或者“网页防篡改版”。
● 在购买网页防篡改时赠送旗舰版主机防护,包含旗舰版所有功能。
版本推荐说明
● 用于测试、个人用户防护主机账户安全,推荐使用基础版。
● 对需要满足等保合规基本要求(例如:病毒木马查杀、漏洞一键修复、入侵检 测)的主机,推荐使用企业版。
● 对主机有高安全要求的用户(例如:应对护网行动、业务重要),推荐使用旗舰 版或者网页防篡改版。
若预算有限,您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险 主机上,例如:对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机 等。
● 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,主要部署在 网站或者应用的主机上,推荐使用网页防篡改版。
各版本适用场景详情请参见表4-1所示。
须知
为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机,导致企业内网整体 沦陷,建议您的云上主机全部署主机安全服务。
产品介绍 4 服务版本差异
表4-1 版本推荐说明
版本 计费模式 推荐场景 基础版 ● 按需计费
(免费)
● 包年/包月
用于测试、个人用户防护主机账户安全。
HSS暂不支持购买“基础版”,购买ECS/HECS后,即 可免费体验基础版(按需)。如何开启基础版(按需 或包年/包月)防护,请参见开启HSS基础版(免费)
防护。
基础版仅提供基线检查和入侵检测的部分功能,呈现 一定云上资产安全风险总览。
说明
● 包周期的基础版到期后,系统将自动转为按需模式的基 础版,变更后享受的基础版防护内容不变。
● 选择“包年/包月”时,若出现配额不足的提示,选择
“按需计费”即可,变更后享受的基础版防护内容不 变。
企业版 ● 按需计费
● 包年/包月
需要满足等保合规基本要求(例如:病毒木马查杀、
漏洞一键修复、入侵检测)的主机。
旗舰版 包年/包月 对主机有高安全要求的用户(例如:应对护网行动、
业务重要),推荐使用旗舰版或者网页防篡改版。
若预算有限,您可以将“旗舰版”或者“网页防篡改 版”部署在关键或者高风险主机上,例如:对外暴露 EIP的主机、保存关键资产的应用主机、以及数据库主 机等。
网页防
篡改版 包年/包月 有网站或者关键系统防篡改需求,以及有应用安全防 护需求的主机,主要部署在网站或者应用的主机上,
推荐使用网页防篡改版。
购买网页防篡改,即赠送旗舰版。
版本功能差异说明
表4-2 版本功能说明 服
务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
资 产 管 理
账号信 息管理
检测当前系统的账号信 息,帮助用户进行账户 安全性管理。
× × √ √ √
开放端 口检测
检测当前系统开放的端 口,帮助用户识别出其 中的危险端口和未知端 口。
× × √ √ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
进程信 息管理
监测运行中的进程并进 行收集及呈现,便于用 户自主清点合法进程,
发现异常进程。
× × √ √ √
Web目
录管理 统计当前系统中Web服 务使用的目录,帮助用 户进行Web资源管理。
× × √ √ √
软件信 息管理
监测并记录当前系统安 装的软件信息,帮助用 户清点软件资产,识别 不安全的软件版本。
× × √ √ √
自启动 对系统中的自启动项进 行检测,及时统计自启 动项的变更情况。
× × × √ √
漏 洞 管 理
Windo ws漏洞 管理
通过与漏洞库进行比 对,检测并管理 Windows系统和软件存 在的漏洞,对当前系统 中存在的紧急漏洞进行 提醒。
× × √ √ √
Linux漏 洞管理
通过与漏洞库进行比 对,检测并管理Linux 系统和软件存在的漏 洞,对当前系统中存在 的紧急漏洞进行提醒。
× × √ √ √
Web-CMS漏 洞管理
通过对Web目录和文件 进行检测,识别出 Web-CMS漏洞,提升 Web服务安全性。
× × √ √ √
基 线 检 查
口令复 杂度策 略检测
检测系统中的口令复杂 度策略,给出修改建 议,帮助用户提升口令 安全性。
√ √ √ √ √
经典弱 口令检 测
检测系统账户口令是否 属于常用的弱口令,针 对弱口令提示用户修 改。
√ √ √ √ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
配置检
测 对常见的Tomcat配置、
Nginx配置、SSH登录 配置进行检查,帮助用 户识别不安全的配置 项。
× × √ √ √
入 侵 检 测
账户暴 力破解
检测账户遭受的口令破 解攻击,封锁攻击源,
防止云主机因账户破解 被入侵。
√ √ √ √ √
账户异
常登录 检测“异地登录”和
“账户暴力破解成功”
等异常登录。
● 检测主机异地登录行 为并进行告警,用户 可根据实际情况采取 相应措施(例如:忽 略、修改密码等)。
异地登录检测信息包 括“登录源IP”、
“登录时间”,攻击 者尝试登录主机时使 用的“用户名”和
“云服务器名称”。
若在非常用登录地登 录,则触发安全事件 告警。
● 若账户暴力破解成 功,登录到云主机,
则触发安全事件告 警。
√ √ √ √ √
恶意程 序(云 查杀)
对运行中的程序进行检 测,识别出其中的后 门、木马、挖矿软件、
蠕虫和病毒等恶意程 序。
× × √ √ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
进程异 常行为
检测各个主机的进程信 息,包括进程ID、命令 行、进程路径、行为 等。
对于进程的非法行为、
黑客入侵过程进行告 警。
进程异常行为可以监控 以下异常行为:
● 监控进程CPU使用异 常。
● 检测进程对恶意IP的 访问。
● 检测进程并发连接数 异常等。
× × √ √ √
关键文 件变更
对于系统关键文件进行 监控,文件被修改时告 警,提醒用户关键文件 存在被篡改的可能。
× × √ √ √
网站后 门(Web shell)
检测云服务器上Web目 录中的文件,判断是否 为WebShell木马文件,
支持检测常见的PHP、
JSP等后门文件类型。
● 网站后门检测信息包 括“木马文件路 径”、“状态”、
“首次发现时间”、
“最后发现时间”。
您可以根据网站后门 信息忽略可信文件。
● 您可以使用手动检测 功能检测主机中的网 站后门。
× × √ √ √
反弹Shell 实时监控用户的进程行 为,及时发现进程的非 法Shell连接操作产生的 反弹Shell行为。
支持对TCP、UDP、
ICMP等协议的检测。
× × × √ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
异常Shell 检测系统中异常Shell的 获取行为,包括对Shell 文件的修改、删除、移 动、拷贝、硬链接、访 问权限变化。
× × × √ √
高危命 令执行
实时检测当前系统中执 行的高危命令,当发生 高危命令执行时,及时 触发告警。
× × × √ √
自启动
检测 检测并列举当前系统中 的自启动服务、定时任 务、预加载动态库、
Run注册表键和开机启 动文件夹,帮助用户及 时发现非法自启动。
× × × √ √
风险账 户
检测主机系统中的账 号,列出当前系统中的 可疑账号信息,帮助用 户及时发现非法账号。
× × √ √ √
提权操 作
检测当前系统的“进程 提权”和“文件提权”
操作。
检测以下异常提权操 作:
● 利用SUID程序漏洞 进行root提权。
● 利用内核漏洞进行 root提权。
● 对文件的提权。
× × × √ √
Rootkit
程序 检测Rootkit安装的文件 和目录,帮助用户及时 发现可疑的Rootkit安 装。
● 支持使用文件特征码 检测rootkit。
● 支持对隐藏文件、端 口、进程的检测。
× × × √ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
高 级 防 御
程序运 行认证
支持将重点防御的主机 加入到白名单策略中,
通过检测白名单中指定 的应用程序区分“可 信”、“不可信”和
“未知”,防止未经白 名单授权的程序运行。
可避免您的主机受到不 可信或恶意程序的侵 害,还能防止不必要的 资源浪费、保证您的资 源被合理利用。
× × × √ √
文件完 整性管 理
检查Linux系统、应用 程序软件和其他组件的 文件,帮助用户及时发 现发生了可能遭受攻击 的更改。
× × × √ √
勒索病 毒防护
通过对主机运行状态的 自动学习和管理端智能 分析,完成可信程序的 判定,在防护阶段对非 可信程序的操作进行告 警。
× × × √ √
安 全 运 营
策略管 理
支持自定义检测策略配 置与下发,能够为每组 或每台主机灵活配置检 测规则,便于精细化安 全运营。
● 查看策略组列表
● 依据默认策略组和已 创建的策略组添加策 略组
● 自定义策略
● 修改和删除策略组
● 针对策略组包含的策 略,进行修改和关闭 策略
● 在“主机管理”页面 可以对主机进行批量 部署策略
× × √
(仅 支持 默认 企业 版策 略 组)
√ √
产品介绍 4 服务版本差异
服 务 功 能
功能项 功能概述 基础
版
(按 需)
基础版
(包年/包 月)
企业 版
旗舰 版
网页防 篡改版
安全报 告
呈现每周或每月的主机 安全趋势以及关键安全 事件与风险。
× × √ √ √
安 全 配 置
双因子
认证 通过密码+短信/邮件认 证的方式,彻底防范账 号暴力破解行为。
× √ √ √ √
网 页 防 篡 改
静态网 页防篡 改
防止网站服务器中的静 态网页文件被篡改。
× × × × √
网盘文 件防篡 改
防止共享文件网盘中的
网页文件被篡改。 × × × × √
动态网 页防篡 改
防止网站数据库中动态 网页内容被篡改。
× × × × √
产品介绍 4 服务版本差异
5 应用场景
等保合规
企业主机安全是等保合规的关键项,企业主机安全服务提供的入侵检测功能,能协助 各企业保护企业云服务器账户、系统的安全。
统一安全管理
企业主机安全服务提供统一的主机安全管理能力,帮助用户更方便地管理云服务器的 安全配置和安全事件,降低安全风险和管理成本。
安全风险评估
对主机系统进行安全评估,将系统存在的各种风险(账户、端口、软件漏洞、弱口令 等)进行展示,提示用户及时加固,消除安全隐患。
账户安全保护
提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录,防止用户云 服务器上的账户遭受暴力破解攻击,提高云服务器的安全性。
主动安全防御
通过清点主机安全资产,管理主机漏洞与不安全配置,预防安全风险;通过网络、应 用、文件主动防护引擎主动防御安全风险。
黑客入侵检测
提供主机全攻击路径检测能力,能够实时、准确地感知黑客入侵事件,并提供入侵事 件的响应手段,保证业务系统的正常运行使用,有效应对APT攻击等高级威胁。
产品介绍 5 应用场景
6 使用约束
支持的云服务器类型
● 华为云弹性云服务器(Elastic Cloud Server,ECS)
● 华为云裸金属服务器(Bare Metal Server,BMS)
● 华为云云耀云服务器(Hyper Elastic Cloud Server,HECS)
● 第三方云主机
● 线下主机
针对线下主机,HSS暂不支持线下多台服务器共用一个公网IP,与HSS绑定的每一 个服务器均需要一个公网IP地址。如果共用公网IP,请联系技术支持。
支持的操作系统
企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。
须知
已停止服务的Linux系统版本或者Windows系统版本,与Agent可能存在兼容性问题,
建议重装或者升级为Agent支持的操作系统版本,以便获得企业主机安全更好的服务体 验。
● 企业主机安全服务支持的华为云主机Linux系统版本如表6-1和表6-2所示。
表6-1 Linux 系统版本(X86 计算)
序号 支持的OS类型
1 CentOS:6,7 and 8 (64 bit)
2 Debian:7,8,9 and 10 (32/64 bit) 3 EulerOS:2.2,2.3 and 2.5 (64 bit) 4 Fedora:24,25,and 30 (64 bit)
产品介绍 6 使用约束
序号 支持的OS类型
5 OpenSUSE:13.2,15.0 and 42.2 (64bit)
6 Ubuntu:14.04,16.04,18.04 and 20.04 (32/64 bit) 7 Gentoo:13.0 and 17.0 (64 bit)
8 Oracle Linux:6.9 and 7.4 (64bit)
表6-2 Linux 系统版本(鲲鹏计算)
序号 支持的OS类型
1 CentOS:7.4,7.5,7.6,8.0 64bit with ARM(40GB) 2 EulerOS:2.8 64bit with ARM(40GB)
3 Fedora:29 64bit with ARM(40GB) 4 OpenSUSE:15.0 64bit with ARM(40GB) 5 Ubuntu:18.04 64bit with ARM(40GB)
● 企业主机安全服务支持的华为云主机Windows系统版本如表6-3所示。
表6-3 Windows 系统版本
序号 支持的OS类型 使用限制说明
1 Windows Server 2019 数据中心版 64位英文
(40GB) 若服务器安装了
McAfee软件、360 安全卫士、腾讯管 家等第三方安全防 护软件,请先停止 第三方安全防护软 件的防护功能,待 Agent安装完成后再 开启。
2 Windows Server 2019 数据中心版 64位简体 中文(40GB)
3 Windows Server 2016 标准版 64位英文 (40GB)
4 Windows Server 2016 标准版 64位简体中文 (40GB)
5 Windows Server 2016 数据中心版 64位英文 (40GB)
6 Windows Server 2016 数据中心版 64位简体 中文(40GB)
7 Windows Server 2012 R2 标准版 64位英文 (40GB)
8 Windows Server 2012 R2 标准版 64位简体 中文(40GB)
产品介绍 6 使用约束
序号 支持的OS类型 使用限制说明 9 Windows Server 2012 R2 数据中心版 64位
英文(40GB)
10 Windows Server 2012 R2 数据中心版 64位 简体中文(40GB)
产品介绍 6 使用约束
7 项目与企业项目
项目
IAM中的项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和 隔离。用户拥有的资源必须挂载在项目下,项目可以是一个部门或者项目组。一个帐 户中可以创建多个项目。
企业项目
企业管理中的企业项目是对多个资源进行分组和管理,在目标区域中同一类型的资源 可以划分到一个企业项目中,且主机安全服务的使用不受企业项目的划分影响。
企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管 理,并支持资源在企业项目之间迁移。
项目与企业项目的区别
● IAM项目
IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中 的资源不能转移,只能删除后重建。
● 企业项目
企业项目是IAM项目的升级版,是针对企业不同项目间资源的分组和管理。企业 项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。如果您开通了 企业管理,将不能创建新的IAM项目(只能管理已有项目)。未来IAM项目将逐渐 被企业项目所替代,推荐使用更为灵活的企业项目。
产品介绍 7 项目与企业项目
项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归 属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获 得策略中定义的权限。
关于如何创建项目、企业项目,以及如何授权,请参阅《企业管理用户指南》。
产品介绍 7 项目与企业项目
8 计费说明
本小节主要介绍企业主机安全的计费说明,包括计费项、计费模式、续费等,详细信 息请参考产品价格详情。
计费项
HSS根据您的HSS服务版本和购买时长计费。
表8-1 计费项信息
计费项目 计费说明 服务版本
(必选)
按购买的服务版本(基础版、企业版、旗舰版或者网页防篡改版)
计费。
说明在购买ECS或者HECS时赠送主机安全“基础版”,您可以持续享受免费的主 机安全“基础版”服务。
购买时长 提供包月和包年的购买模式。
计费模式
HSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择配额的计费 模式。
表8-2 HSS 各服务版本计费模式 服务版
本
支持的计费模式 说明 价格详情
基础版 ● 包年/包月
● 按需计费
● 两种模式均为免费使用。
● 您在购买ECS或者HECS时会默认 赠送按需模式的基础版,可持续 免费使用。
● 选择包年/包月模式若出现配额不 足,选择按需计费即可。
产品价格 详情
产品介绍 8 计费说明
服务版 本
支持的计费模式 说明 价格详情
企业版 ● 包年/包月
● 按需计费
● 按需计费模式,即按实际使用的 时长收费,以小时为单位,每小 时整点结算,不设最低消费标 准。
● 相对于按需付费,包年/包月购买 方式能够提供更大的折扣,对于 长期使用者,推荐该方式。包周 期计费为按照订单的购买周期来 进行结算。
旗舰版 包年/包月 网页防
篡改版
包年/包月
变更配置
● 更改计费模式
– 按需变更为包周期。
按需变更为包周期,需要用户购买包周期配额,生成新的订单,用户支付订 单后,包周期配额立即生效。包周期配额生效后,需要用户在云服务器列表 页面,勾选目标主机,单击“开启防护”,选择包周期防护配额,直接开启 包周期配额防护。
– 包周期变更为按需。
包周期转按需,需要用户在云服务器列表页面,勾选目标主机,单击“开启 防护”,选择按需防护,按需的资费模式才会生效。
● 退订
购买企业主机安全的防护配额后,如需停止使用,请到费用中心执行退订操作。
续费
购买的HSS配额到期后,您可以进行续费以延长配额的有效期,也可以设置到期自动 续费。续费相关操作,请参见续费管理。
到期与欠费
包周期资源开通成功后,如果没有按时续费,公有云平台会提供一定的保留期,详细 信息请参见“保留期”。
欠费后,可以查看欠费详情。为防止相关资源不被停止或者释放,请及时进行充值,
账号将进入欠费状态,需要在约定时间内支付欠款,详细操作请参考欠费还款。
FAQ
更多计费相关FAQ,请参见HSS常见问题。
产品介绍 8 计费说明
9 个人数据保护机制
为了确保您的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的 实体或者个人获取,HSS通过加密存储个人数据、控制个人数据访问权限等方法防止 个人数据泄露,保证您的个人数据安全。
收集范围
HSS收集及产生的个人数据如表9-1所示。
表9-1 个人数据范围列表
类型 收集方式 是否可以修改 是否必须
邮箱 服务器开启双因子认证后,
HSS定时获取对应消息通知 服务主题订阅的邮箱
否 是
手机号 服务器开启双因子认证后,
HSS定时获取对应消息通知 服务主题订阅的手机号
否 是
登录位置 信息
服务器开启防护后,登录云 服务器时,HSS记录的用户 登录位置信息。
否 是
存储方式
HSS通过加密算法对用户个人敏感数据加密后进行存储。
● 邮箱、手机号:加密存储
● 登录位置信息:不属于敏感数据,明文存储
访问权限控制
用户个人数据通过加密后存储在HSS数据库中,数据库的访问需要通过白名单的认证 与授权。
产品介绍 9 个人数据保护机制
10 HSS 权限管理
如果您需要对华为云上购买的HSS资源,为企业中的员工设置不同的访问权限,以达 到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有HSS的使用权 限,但是不希望他们拥有删除HSS等高危操作的权限,那么您可以使用IAM为开发人员 创建用户,通过授予仅能使用HSS服务,但是不允许删除HSS的权限,控制他们对HSS 资源的使用范围。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用HSS的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
HSS 权限
默认情况下,管理员创建的IAM用户没有任何权限,您需要将其加入用户组,并给用 户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授 权。授权后,用户就可以基于被授予的权限对云服务进行操作。
HSS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区 域级项目”,然后在指定区域(如华北-北京一)对应的项目(cn-north-1)中设置相 关权限,并且该权限仅对此项目生效,如果在“所有项目”中设置权限,则该权限在 所有区域项目中都生效。访问HSS时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对HSS服务,管理员能够控制IAM用户仅 能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度 进行权限拆分,HSS支持的API授权项请参见权限及授权项说明。
产品介绍 10 HSS 权限管理
如表10-1所示,包括了HSS的所有系统权限。
表10-1 HSS 系统权限 系统角色/策
略名称
描述 类别 依赖关系
HSSAdministrato r
企业主机安全服 务(HSS)管理 员,拥有该服务 下的所有权限。
系统
角色 ● 依赖Tenant Guest角色。
Tenant Guest:全局级角色,在全局 项目中勾选。
● 购买HSS防护配额需要同时具有ECS ReadOnlyAccess和BSS
Administrator角色。
– ECS ReadOnlyAccess:系统策 略,弹性云服务器的只读访问权 限。
– BSS Administrator:系统角色,
费用中心(BSS)管理员,拥有该 服务下的所有权限。
HSSFullAccess 企业主机安全服 务所有权限。
系统
策略 购买HSS防护配额需要具有BSS Administrator角色。
BSS Administrator:系统角色,费用中 心(BSS)管理员,拥有该服务下的所 有权限。
HSSReadOnlyAcc ess
企业主机安全服 务的只读访问权 限。
系统 策略
无
相关链接
● IAM产品介绍
● 创建用户并授予HSS
产品介绍 10 HSS 权限管理
11 与其他云服务的关系
使用企业主机安全服务,您将可以同时使用消息通知服务接收告警通知信息,使用统 一身份认证服务管理用户权限,利用云审计服务审计用户行为。
弹性云服务器/裸金属服务器/云耀云服务器
企业主机安全服务的Agent软件可安装在华为云ECS服务器/BMS服务器/HECS服务器 上,同时,客户端软件也可安装在第三方主机中。为保障您获得优质可靠的服务,建 议您使用华为云主机。
● 关于弹性云服务器的详细内容,请参见《弹性云服务器用户指南》。
● 关于裸金属服务器的详细内容,请参见《裸金属服务器用户指南》。
● 关于云耀云服务器的详细内容,请参见《云耀云服务器用户指南》。
消息通知服务
消息通知服务(Simple Message Notification,简称SMN),是一个可拓展的高性能 消息处理服务。
● 开启告警通知前,您需先配置“消息通知服务”。
● 开启消息通知服务后,当您的主机遭受攻击或被检测出有高危风险时,您将接收 到企业主机安全服务发送的各项风险告警通知。
● 在“告警通知”界面,您可以根据运维计划选择“每日告警通知”和“实时告警 通知”。
关于SMN的详细内容,请参见《消息通知服务用户指南》。
企业管理
企业中有多个项目,多个项目的资源需要分开结算,且分属不同人员进行管理。同时 项目可以单独启动或停止,对其他项目没有影响。那么可以针对企业中的每个项目,
分别建立企业项目,管理各自的资源,并且针对不同的企业项目,设置不同的人员进 行管理。
关于企业管理的更多信息,请查看《企业管理用户指南》。
产品介绍 11 与其他云服务的关系
统一身份认证服务
统一身份认证服务(Identity and Access Management,简称IAM),是一个免费的 身份管理服务。通过IAM服务,您可以根据用户的身份,对用户的权限进行精细化隔 离和控制。IAM是权限管理的基础服务,无需付费即可使用。
关于IAM的详细内容,请参见《统一身份认证服务用户指南》。
云审计服务
云审计服务(Cloud Trace Service,CTS),是一个专业的日志审计服务。云审计服务 能够记录主机中用户对企业主机安全服务的操作,方便您对主机执行安全分析、合规 审计、资源跟踪和问题定位等审计工作。云审计服务是管理日志的基础服务,无需付 费即可使用。
关于CTS的详细内容,请参见《云审计服务用户指南》。
产品介绍 11 与其他云服务的关系
12 相关概念
账户破解
账户破解指入侵者对系统密码进行猜解或暴力破解的行为。
包括检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。
弱口令
弱口令指密码强度低,容易被攻击者破解的口令。
恶意程序
恶意程序指带有攻击或非法远程控制意图的程序,例如:后门、特洛伊木马、蠕虫、
病毒等。
恶意程序通过把代码在不被察觉的情况下嵌到另一段程序中,从而达到破坏被感染服 务器数据、运行具有入侵性或破坏性的程序、破坏被感染服务器数据的安全性和完整 性的目的。按传播方式,恶意程序可以分为:病毒、木马、蠕虫等。
恶意程序包括已被识别的恶意程序和可疑的恶意程序。
勒索病毒(云查杀)
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入 侵、网页挂马、捆绑软件等多种形式进行传播。
一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无 法通过技术手段解密,用户将无法读取原本正常的文件,仅能通过向黑客缴纳高昂的 赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字 货币支付赎金,一般无法溯源。
如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接 的经济损失,因此,勒索病毒的入侵危害巨大。
双因子认证
双因子认证是指结合密码以及验证码两种条件对用户登录行为进行认证的方法。
产品介绍 12 相关概念
网页防篡改
网页防篡改为用户的文件提供保护功能,避免指定目录中的网页、电子文档、图片等 类型的文件被黑客、病毒等非法篡改和破坏。
项目
项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和隔离。
项目可以是一个部门或者一个项目组。
一个帐户中可以创建多个项目。
软件漏洞
包括Linux软件漏洞和Windows系统漏洞。
Web-CMS 漏洞
通过Web目录和文件,识别出Web-CMS漏洞,提升Web服务安全性。
配置检测
检测常见的Tomcat配置、Nginx配置、SSH登录配置,帮助用户识别不安全的配置 项。
网站后门(WebShell)
云服务器上Web目录中的文件,判断是否为WebShell木马文件,包括常见的PHP、JSP 等后门文件类型。
反弹 Shell
用户的进程行为,进程的非法Shell连接操作产生的反弹Shell行为。主要指TCP、
UDP、ICMP等协议。
异常 Shell
异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权 限变化。
提权操作
当前系统的“进程提权”和“文件提权”操作。
异常提权操作包括:
● 利用SUID程序漏洞进行root提权。
● 利用内核漏洞进行root提权。
● 对文件的提权。
产品介绍 12 相关概念
Rootkit 程序
Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装,包括文件特征码、
隐藏文件、端口、进程。
产品介绍 12 相关概念
A 修订记录
发布日期 修改说明
2021-10-22 第二十一次正式发布。
相关概念,补充告警名词的解释。
2021-10-18 第二十次正式发布。
服务版本差异,补充不同版本推荐的说明。
2021-08-12 第十九次正式发布。
使用约束,下线Agent支持的Windows系统版本(Windows Server 2008 R2)。
2021-08-03 第十八次正式发布。
功能特性,补充“恶意程序仅支持检测运行中的的恶意程序”说明。
2021-05-08 第十七次正式发布。
使用约束,下线Agent支持的Linux系统版本(SUSE: 11 and 12 (64 bit) and SAP HANA)。
2021-01-26 第十六次正式发布。
服务版本差异,增加版本推荐说明。
2020-12-08 第十五次正式发布。
服务版本差异,基础版(按需),不支持双因子认证。
2020-06-19 第十四次正式发布。
● 新增项目与企业项目。
● 相关概念,增加勒索病毒概念说明。
2020-05-18 第十三次正式发布。
新增计费说明。
2020-04-29 第十二次正式发布。
使用约束,新增支持云耀云服务器。
产品介绍 A 修订记录
发布日期 修改说明
2020-04-09 第十一次正式发布。
● 功能特性,增加了旗舰版功能说明。
● 服务版本差异,增加了旗舰版的版本说明。
● HSS权限管理,增加HSS细粒度授权说明。
2020-01-20 第十次正式发布。
HSS权限管理,修改HSS系统权限策略名称。
2019-11-01 第九次正式发布。
新增个人数据保护机制。
2019-09-23 第八次正式发布。
服务版本:修改了相关描述。
2019-05-22 第七次正式发布。
新增HSS权限管理。
2019-04-08 第六次正式发布。
与其他云服务的关系,修改了相关描述。
2018-09-15 第五次正式发布。
应用场景,修改了相关描述。
2018-04-19 第四次正式发布。
应用场景,添加支持的SUSE系统的版本。
2018-03-30 第三次正式发布。
● 服务名称修改为“企业主机安全”。
● 与其他云服务的关系,修改了相关描述。
2017-11-17 第二次正式发布。
新增专业版功能相关描述。
2017-09-30 第一次正式发布。
产品介绍 A 修订记录
