企业的核心数据资产在服务器上，只有做好主机层的安全防御，才能确保企业核心资产安全，保障业务的正常运行。而主机层安全防御的第一步是做好资产的管理，及时检测发现资产异常行为，才能规避资产可能带来的风险。

随着企业的网络和业务不断完善，网络基础设备、服务器等IT资产不断增多，内外部环境越来越复杂，各类数据信息的获取通常处于被动状态，无法自动化智能化的统计出网内主机资产数量，存在哪些漏洞，是否有隐藏后门等。企业的安全管理员也常常搞不清楚企业内网的具体状况，如：内部网络总共有哪些主机资产？哪些服务器是重点服务器？网络中都有哪些异常行为？安全策略是否都已生效？等等。

采用更底层的信息采集方式，主动全面获取网内各类主机服务器信息，构建全网基础资产信息库。通过资产基础信息库的构建，利用资产基础信息的自动识别和人工确认办法，例如操作系统版本、端口、进程、ip地址、组织等，建立资产档案和网络底图，展现资产全局态势。

从采集到的资产信息库中，分析具体风险源，是现阶段应对外部威胁最为基础的安全运营能力。这样才能判定：

• 主机是否存在风险；
• CPU使用率是否异常行为；
• 是否存在异常进程
• 是否存在弱口令；
• 是否定期更换密码；
• 是否遭受rootkit、bootkit等隐藏后门；
• 是否有敏感进程、远程注入等异常行为；

图1 资产管理

安芯网盾智能内存保护系统在系统层装Agent，Agent在主机底层信息上具有较全面探针能力。安芯网盾智能内存保护系统可将探针数据上报至服务端，由服务端提供标准API接口作为第三方数据源，用户可依据业务需要在自己业务端进行相关数据分析及展示。同时，也可以将企业的软件资产信息、硬件信息、基本信息等在管理中心展示出来，供安全运维人员管理。

那么，为什么资产管理如此重要呢？

在实战攻防中，对于攻击者而言，往往企图绕过安全防护设备，了解目标主机资产，以获取漏洞，进而进行渗透攻击，实现傀儡进程、隐藏端口、隐藏进程、挖矿木马植入等行为。那么，攻击者可以使用傀儡进程的外壳来执行自身的恶意代码、结合挖矿木马的特性实现内存马攻击、实现DLL注入、rootkit隐藏攻击等威胁，对于主机来讲是莫大的威胁。

安芯网盾智能内存保护系统的日志管理功能：

• 可以监控服务器的操作日志，数据包括账号、操作用户、时间等；
• 记录行为日志，包括模块加载、账号提权、禁用网络工具等；
• 记录账号变更，监控账号及用户组的变化，包括增加、删除、修改等；
• 记录主机行为，便于分析管控。

图2 日志管理

在风险发现模块对内存风险、系统风险、文件风险等进行监控，对内存运行数据、主机行为进行实时监控，并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。如有异常，第一时间发现安全威胁，并及时防御。

图3 风险发现

此外，Agent能够对文件威胁、漏洞利用、程序行为、事件行为、内存运行数据进行安全检测。同时不会对运行业务产生任何影响，可对内存行为数据进行实时上下文分析，还原攻击者行为，捕获所发生事件和进程，能够对未知威胁进行分析响应。

回归攻防对抗，追本溯源做好主机的安全防护，可以从根本上做好最后一道安全防线，切实做好数据资产安全防护。