文档首页/ 企业主机安全 HSS/ 产品介绍/ 基本概念
更新时间:2025-05-16 GMT+08:00
查看PDF
分享

基本概念

账户破解

账户破解指入侵者通过各种手段,如暴力破解、字典攻击等方式,获取系统或应用账号密码的行为。一旦账号被破解成功,入侵者可能非法登录系统,窃取数据、破坏系统。

HSS提供了弱口令检测和双因子认证功能帮助用户提升账户安全性。弱口令检测请参见执行基线检查。开启双因子认证请参见开启双因子认证

基线

基线是指操作系统、数据库、中间件、应用需要满足的最低安全配置要求,基线范围包括账号管理,口令策略配置,授权管理,服务管理,配置管理,网络配置,权限管理等。

HSS提供了等保合规基线、云安全实践基线、通用安全标准基线检测功能,可满足用户多种安全合规检测需求。基线检查请参见基线检查概述

弱口令

弱口令指密码强度低,容易被攻击者猜测和破解的密码。一旦攻击者破获密码,可直接登录系统,读取、篡改、破坏系统数据。

弱口令检测请参见基线检查概述

恶意程序

恶意程序指带有攻击或非法远程控制意图的程序,按传播方式,恶意程序可分为后门、特洛伊木马、蠕虫、病毒等。恶意程序通过把代码在不被察觉的情况下嵌到另一段程序中,从而达到破坏被感染服务器数据、运行具有入侵性或破坏性的程序、破坏被感染服务器数据的安全性和完整性的目的。恶意程序包括已被识别的恶意程序和可疑的恶意程序。

恶意程序检测请参见主机安全告警容器安全告警

勒索病毒

勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。

一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取原来正常的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。

如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,勒索病毒的入侵危害巨大。

勒索病毒防护请参见勒索病毒防护概述

安全告警事件

安全告警事件是指HSS在检测到主机或容器中的安全威胁(例如恶意程序、漏洞利用)时自动生成的事件通知与记录,其核心目的在于及时提醒用户注意并采取措施解决系统面临的潜在安全风险,从而有效地提升系统整体的安全性。

安全告警事件的使用介绍请参见主机安全告警容器安全告警

双因子认证

双因子认证是指一种结合密码和验证码两种条件对用户登录行为进行认证,从而增强账户安全性的方法。

开启双因子认证请参见开启双因子认证

网页防篡改

网页防篡改为用户的文件提供保护功能,避免指定目录中的网页、电子文档、图片等类型的文件被黑客、病毒等非法篡改和破坏。

配置网页防篡改请参见网页防篡改概述

集群

集群指容器运行所需要的云资源组合,关联了若干云服务器节点、负载均衡等云资源。您可以理解为集群是同一个子网中一个或多个弹性云服务器(又称:节点)通过相关技术组合而成的计算机群体,为容器运行提供计算资源池。

HSS支持将以集群维度接入并为容器提供防护,接入集群请参见集群安装Agent概述

节点

每一个节点对应一台服务器(可以是虚拟机实例或者物理服务器),容器运行在节点上。

HSS在为容器提供防护时,将每个节点视为基本的防护单位,Agent安装在节点上。为节点安装Agent请参见为主机安装Agent

镜像

镜像(Image)是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据,其内容在构建之后也不会被改变。镜像在开发、部署及运行的过程中,可能引入各类安全风险,例如已知或未知漏洞、恶意文件,如果这类镜像未经安全检查即被应用于生产环境,将极大增加系统被入侵的风险,可能导致数据泄露、资源滥用等严重后果。因此,确保镜像安全是容器化应用部署过程中不可忽视的一环。

镜像安全扫描请参见容器镜像安全概述

Pod

在Kubernetes中,Pod是部署应用或服务的最小基本单位。一个Pod可以封装一个或多个应用容器,多个容器通常共享存储和网络资源。

容器

容器(Container)是通过镜像创建的运行实例。在一个节点(宿主机)上可以运行多个容器。容器的实质是进程,但与直接在宿主机上执行的进程不同,容器进程运行于属于自己的独立的命名空间中。

容器运行时

容器运行时(Container Runtime)是Kubernetes最重要的组件之一,负责真正管理镜像和容器的生命周期。Kubelet通过Container Runtime Interface (CRI)与容器运行时交互,以管理镜像和容器。

安全策略

安全策略是指容器运行时需要遵循的安全规则,如果容器违反了安全策略,容器安全服务控制台的“运行时安全”页面会显示容器异常。

项目

IAM中的项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和隔离。用户拥有的资源必须挂载在项目下,项目可以是一个部门或者项目组。一个账户中可以创建多个项目。

创建项目请参见管理项目和企业

防护配额

在HSS中,防护配额是分配给主机或容器节点的防护资源,每个主机或容器节点开启防护时都需要绑定一个防护配额。

您所购买的HSS的不同版本,在HSS控制台将以防护配额的形式呈现。购买防护配额请参见购买防护配额

例如:

  • 购买了1个企业版,即企业版可用防护配额数量为1个,可绑定任意1台主机。
  • 购买了10个旗舰版,即旗舰版可用防护配额数量为10个,可分配至10台不同的主机进行绑定。

图数据

图数据是一种用来表示实体之间关系的数据结构,它由顶点(节点)和边组成。每个顶点代表一个实体,而每条边则表示两个节点之间的某种关系或连接。

图计算

图计算是指一种处理和分析图数据结构的技术,它采用了“顶点-边”的图数据模型,能够在内存中创建图、溯源点和边的关系,从而实现威胁事件的溯源。

图引擎

图引擎是基于图计算的检测引擎,它采用了“顶点-边”的图数据模型,能够高效的存储、查询和分析图数据,可以用来关联和综合判定多个可疑行为事件,从而识别入侵行为。

开启图引擎检测策略请参见配置策略