CLOUD NATIVE SECURITY PLATFORM
CLOUD NATIVE SECURITY PLATFORM
01 公司介绍
⾏业认可 | 业务覆盖 | 产品体系 | ⻘藤蜂巢
⻘藤云安全(以下简称⻘藤)
成⽴于2014年8⽉,总部位于北京。
在北京、武汉设有研发中⼼,结合20多家省直属
机构,专注于主机安全领域的创新型科技公司。
员⼯600余⼈,其中技术团队410余⼈。为政府、
⾦融、运营商、能源、交通、教育、医疗以及企
业等⾏业⽤户,提供最前沿安全产品、全⽅位安
全解决⽅案和安全运营体系服务。
⻘藤-中国⾃适应安全开创者
开放透明、只争第⼀、追求效率、我
就是⻘藤
价值观
为新技术提供新安全
使 命
让安全之光照亮互联⽹的每个⻆落
愿 景
平安集团、腾讯云、三⼤运营商成为
战略合作伙伴
7年 5轮 融资,总融资⾦额 11.6亿,
包括有红点、红杉、GGV、宽带等知名投资
基⾦
国内唯⼀连续5年⼊选Gartner的CWPP市场指
南和ICT成熟度曲线报告的公司
赛迪顾问在其发布的《中国云主机安全市场研究
报告(2021)》中指出,⻘藤在云主机市场占
有率第⼀
中央政府采购
全国信息安全标准化技术委员会
(TC260)WG5和WG7成员单位
占有率第⼀
战略合作 信安标委
中国信息安全测评中⼼颁发
EAL3+级信息技术产品安全测评证书
(CNITSEC2018PRD0835)
EAL3+
融资第⼀ 国内唯⼀
市场认可
占有率第⼀
15W+
6,000,000+
1000+
97.18%
>1亿
覆盖⾦融、政企、互联⽹、运营商等多⾏业
业务覆盖
⻘藤万相
主机⾃适应安全平台
安全服务
渗透测试 重⼤活动保障
应急响应 量化评估
产品创新
技术积累
安全服务
⻘藤蜂巢
容器安全平台
⻘藤猎鹰
威胁狩猎平台
⻘藤鹊桥
⾃动化编排响应平台
⻘藤雷⽕
Webshell检测平台
核⼼产品
产品体系
蜂巢·云原⽣安全平台
历经4年打磨,产品
覆盖云原⽣全⽣命周
期安全,持续稳定可
靠运⾏
2021
正式发布⻘藤蜂巢容器安全平台
2019
开始研发容器安全
产品
2018 业务覆盖字节、中国移
动、上交所、吉利汽⻋等
标杆客户
2020
成熟产品
标准定制
⾏业认可
⻘藤蜂巢-市场认可
⻘藤蜂巢-客户案例
国央企 ⾦融 互⾦ 互联⽹ 互联⽹+ 运营商
02 云原⽣安全挑战
云原⽣安全挑战 | 容器⻛险 | 镜像⻛险 | 编排⻛险 | 传统⼿段的不⾜
云原⽣的安全挑战
云原⽣是以容器、微服务、DevOps、不可变的基础设施等技术为基础建⽴的⼀套云技术产品体系。这种颠覆性技术发展的同时,
也带来了对安全的诸多挑战。
CONTAINERS MICROSERVICES
DEVOPS CONTINUOUS
DELIVERY
技术挑战
组织挑战
CONTAINERIZED APPLICATION
新技术,新挑战
OBJECT
STOREAGE
CACHING
DATABASE
Registry
WEB
WEB
SERVER
APP
新的技术引⼊了新的安全防护对象,也带来了新的安全挑战
Foundational
Kubernetes
Host
镜像⻛险
微服务⻛险
运⾏⻛险
基础设施⻛险
⽹络安全⻛险
恶意程序 软件漏洞 敏感信息
不安全配置 仓库漏洞 不可信镜像
微服务漏洞 微服务越权 微服务框架漏洞
容器逃逸 反弹Shell 病毒⽊⻢
⽆⽂件攻击
未授权访问 K8S权限提升漏洞 开启匿名账号登录
K8s攻击
集群内横向移动 越权攻击
Attacker Root 权限运⾏容器 Node
容器⻛险
与物理机、虚拟机、云主机等环境⼀样,基于业务的⼊侵⼿段在容器环境中依然有效。
上传⼀个 webshell 获取容器控制权 获取宿主机操作权限 容器逃逸 控制更多其他容器
容器逃逸
容器的「逃逸问题」,直接影响到了承载容器的底层基础设施的保密性、完整性和可⽤性
Docker Engine
宿主机操作系统
APP
硬件层
APP ⽤户层: 即不同的容器(运⾏时环境),如容器挂载Docker Socket,Privileged特权容器
服务层: 即容器引擎docker,如CVE-2019-5736 runC严重漏洞导致容器逃逸
系统层: 宿主机的操作系统,如CVE-2016-5195 Linux内核脏⽜漏洞导致容器逃逸
Mount
/var/run/docker.
socket
举例:危险配置、危险挂载导致的容器逃逸
• privileged特权模式运⾏的容器
• 容器挂载Docker Socket的情况
• 容器挂载宿主机procfs、mnt等
Docker daemon
Unix socket
/var/run/docker.sock
创建新容器 Mount 根⽬录
APP APP APP APP APP
镜像⻛险
镜像管理⻛险
•
•
镜像安全⻛险
•
•
仓库安全问题
•
Update
Image Register
IMG IMG IMG
Pull
Push
Pull
Pull
Pull
Launch
Launch
Launch
Container
Container
Container
Advertise images
Scenario of vulnerability spread
编排⻛险
集群环境引⼊了k8s编排作为基础设施,新的基础设施带来了新的攻击⼿段。
新的攻击⽬标
l CVE-2019-5736
l CVE-2016-5195
l 恶意挂载
l 特权利⽤
l CVE-2021-30465
l CVE-2020-15257
Web渗透 本地提权 容器探测 容器逃逸 控制集群 隐蔽持久化
l SUID find命令
l cron定时任务
l ⽂件上传
l 命令执⾏
l 反向连接
…
l ps查看进程数
l .dockerenv⽂件
l /proc/1/cgroup⽂件
l API Server未授权访问
l CVE-2018-1002105
l Kubelet 10250端⼝未授权
l ⾼权限的ClusterRole
l SA、secret敏感信息窃取
l Docker in Docker
l K8s影⼦ API server攻击
l ⽆⽂件攻击
新的脆弱⾯ 新的攻击⼿段
⽹络⻛险
k8s中的⽹络是⼀个平⾯⽹络,默认情况下,k8s中的资源不会被⾃动隔离,资源之间可以随意相互访问。
ETCD / MasterNode / Dashboard / Image Registry…
Kubernetes API Server
⼊⼝ Pod ⼊⼝容器
相邻 Pod 相邻容器
Node A
其他 Pod 其他容器
其他Node
Server BS
横向移动⽅式
1、通过应⽤攻击容器
2、通过容器攻击其他容器
3、通过容器攻击宿主机
4、通过容器攻击集群
微服务⻛险
Database
传统架构
Use Interface
微服务架构
Database Database Database Database
Business Logic
Data Access Layer
Use Interface
microservice
microservice microservice microservice microservice
微服务引起暴露⾯增加 服务认证授权机制不当 微服务框架漏洞
随着微服务的增多,暴露的端⼝数量也急剧
增加,进⽽扩⼤了攻击⾯
微服务间的相互认证授权机制更为复杂,⼈为因素导致
认证授权配置错误成为了⼀⼤未知⻛险
微服务治理框架采⽤了⼤量开源组件,⽐如Spring
Cloud、Dubbo等,会引⼊框架⾃身的漏洞以及开源
治理的⻛险。
新的安全组织模式
云原⽣的技术框架背后是对组织协作⽅式的变⾰,从组织责任边界(交维边界),产品迭代(开发模式),业务设计(应⽤架构)到 数
据中⼼基础设施(运⾏平台)都产⽣了影响
组织
流程
技术
Software factory
DEV SEC OPS
Mission Application Team
DevSecOps Admin Team
Deployment,
Operations &
Monitoring
Tools
Production
Environment
Operations
Build Test Release & Deliver
Develop
Planning
Tools
Planning
Requirements,
Project Plan, etc.
DevSevOps Ecosystem
Plan
Deploy
Operate Monitor
•
•
•
•
•
•
•
•
•
传统安全防护⼿段的不⾜
传统安全防护⽅法,⽆法深⼊识别到容器中安全问题。
防⽕墙
容器内东⻄向的流量暴增,⽽传统
防⽕墙主要是为了南北向业务模型
设计的,⽆法细粒度管理到容器环
境如此海量和复杂的业务。
终端安全
传统的终端安全产品仅仅对OS⼀
层有效,⽆法深⼊识别容器内的安
全问题。
漏洞扫描
容器镜像分层存储,传统的漏洞扫
描仅仅在OS和⽹络进⾏扫描,⽆
法对容器镜像进⾏扫描。
安全管理
DevOps模式下,流程全⾃动化,
安全由谁发起,安全如何⾃动化管
控,均给企业安全管理带来了极⼤
的挑战。
03 蜂巢·云原⽣安全解决⽅案
产品架构 | 安全左移解决⽅案 | 镜像安全 | 运⾏时安全 | 微隔离
安全开发
•
•
•
安全测试
•
•
•
•
•
安全管控
•
•
•
•
安全运营
•
•
•
•
“⼀个体系、两个⽅向、四个环节”
产品理念
PLAN
CODE DEPLOY
OPERATE
MONITOR
RELEASE
TEST
BUILD
DEV
BUILD TIME
OPS
RUN TIME
上线即安全(安全左移)+ ⾃适应安全(持续监控&响应)
SEC
产品功能架构
蜂巢提供覆盖容器全⽣命周期的⼀站式容器安全解决⽅案,实现了容器安全预测、防御、检测和响应的安全闭环。
CI/CD Registry
Host
Orchestration
Containers CaaS
镜像扫描 运⾏环境安全 运⾏时安全 合规基线 容器审计
资产清点 蜂巢
微服务安全 微隔离
⽹络可视化
安全左移解决⽅案
安全左移的核⼼是做安全管理,在实际落地的时候通过在软件⽣产过程中进⾏安全卡点来实现,同时还要以“准⼊”和“准出”来
进⾏安全管控。
IDE
Git
开发环境
CODE
构建过程
Build Image
推送到仓库
Developer
基础镜像
阻断
安全
Dockerfile配置检查
Yaml配置检查
镜像安全扫描
测试仓库
⾃动化测试
容器应⽤漏洞扫描
容器弱⼝令扫描
合规性检查
推送到仓库
安全
测试环境
准⼊
⾃动化部署
⽣产仓库
⽣产环境
持续扫描和监控⼯作负载
准出
阻断
镜像安全检查
X86、ARM 架构镜像全栈适配
• ⽀持 Oracle、Fedora、OpenSUSE、Ubuntu、Debian、Photon OS、
Alpine等主流镜像OS,同时X86/ARM架构全栈适配
镜像安全问题全⽅位检测
• 5w+ 的安全补丁库,提供有价值、可修复的安全漏洞
• 四⼤应⽤组件漏洞,python、nodejs、ruby、php
• 五⼤检测引擎,发现镜像中的病毒、挖矿、web后⻔
• 深⼊发现镜像中的敏感信息,如ssh-key、环境变量中的⽤户密码
镜像合规检查,规范镜像构建过程
• 镜像是否使⽤root⽤户、镜像tag命名是否规范、是否缺少健康检
• 开源license使⽤是否合规
• 是否使⽤了不允许的软件应⽤
• 识别基础镜像,发现未使⽤基础镜像构建的业务镜像
蜂巢镜像检查 vs 开源扫描器
!"# $%&' ()*+ ,-./ 0123 4567 89:; <=>? @ABC D289 Dockerfile
EFGH
IJ89
KL
MN
Trivy
Anchore
Engine
Clair
Quay
Microscanner
Docker
Hub
相⽐开源扫描,蜂巢的镜像检测能⼒更深⼊、覆盖功能更全。
安全集成
蜂巢提供将安全检查的能⼒以API、插件的形式集成到⽣产流程中去,打破开发运维和安全的⼈员之间的信息差。
Jenkins集成 Harbor集成
开发⼈员还能在CI⼯具中查看镜像检查报告 运维⼈员能在仓库中查看镜像检查报告
容器运⾏⻛险
通过对运⾏的容器进⾏检查,发现镜像中运⾏的应⽤漏洞、应⽤弱⼝令等问题。
唯⼀⼀个 针对运⾏态的容器进⾏⻛险检查
l 使⽤POC⽅式,对容器应⽤是否存在漏洞进⾏验证;
⽀持apache、Shiro、weblogic、FastJSON、java等
多类应⽤。
l 使⽤⽆损检测⽅式,对mysql、redis、weblogic等⼗
多种容器应⽤进⾏弱⼝令检测。
独家
动态安全检查
Host
镜像仓库
容器运⾏环境
静态安全检查
IMG
POC 版本对⽐ 弱⼝令
POC
安全左移-基础设施安全
覆盖docker、k8s等共30+⾼危漏洞
K8s未授权访问漏洞、Docker runc容器逃逸漏洞(CVE-2021-30465)、
Harbor接⼝未授权访问漏洞(CVE-2020-29662)
⽀持对集群组件进⾏安全检测
包括master api、kubelet、docker、runc、containerd、harbor等集群组件
容器漏洞研究分析⼲货⼗⾜
针对每⼀个漏洞,特别是逃逸漏洞,我们的漏洞研究包括详细的漏洞复现、
原理说明、poc、修复建议等。⽤户可以根据此漏洞分析全⽅⾯学习了解该
漏洞是否容易利⽤、是否危险,是否在企业环境中存在,以此来评估企业⾯
对此漏洞问题的处理对策。
微服务安全
原⽣的微服务扫描器
• ⾃动梳理和发现微服务
• 对微服务进⾏⾃动扫描
• 内置 100+ 检查规则和payload,包括
owasp top 10 漏洞
单体应⽤拆分成多个微服务导致端⼝数量暴增,攻击⾯⼤幅增加,连锁攻破⻛险较⾼。因此,我们需要在安全测试阶段,对微
服务进⾏漏洞扫描,发现微服务漏洞、修复漏洞、阻⽌⻛险传播。
返回测试结果
扫描指定service
蜂巢服务端
安全测试
下发扫描结果
上报扫描结果
Service A
Service B
微服务扫描组件 Service C
Cluster-link
合规基线
构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业完善&实施容器合规规范。
150+检查项、集群对象全覆盖
基线任务式管理,⼀键下发
基线规则灵活⾃定义
能够覆盖集群内全部的检查对象:包括k8s master、k8s
worker、docker engine、container、image、集群资源对象
⽀持对基线模版、基线检查项进⾏⾃定义,以满⾜不同⾏
业、不同企业多样化的管理规范
基线采⽤任务检查⽅式,⽤户可灵活针对不同检查对象、不
同业务系统设置灵活的检查任务,以适应复杂的企业环境
镜像运⾏控制
允许⽤户⾃定义规则,阻⽌不符合安全要求的镜像运⾏。
• 禁⽌镜像中存在⽊⻢病毒
• 阻⽌存在特定软件漏洞的镜像
• 阻⽌存在特定软件版本的镜像
• 阻⽌⾮可信镜像
• 阻⽌存在泄密的镜像
• 阻⽌以root⽤户运⾏的镜像
! 任务构建失败
! 镜像运⾏失败
以“⼯作负载”进⾏持续的监控和分析为核⼼,来完成运⾏时的安全闭环
• 资产清点
• ⻛险检测
• ⼊侵检测
• 安全响应
• 微隔离
• 安全策略
• 溯源分析
• 威胁狩猎
运⾏时的⾃适应安全
Continuous
Monitoring
and Analytics
可视化⼯作负载
运⾏时层⾯:梳理云原⽣环境⼯作负载,帮助安全⼈员了解运⾏的容器、容器内运⾏的web应⽤、数据库应⽤等
⽹络层⾯:可视化⼯作负载间的访问关系,进⼀步了解业务之间的调⽤关系
梳理⼯作负载内运⾏应⽤ 可视化⽹络关系
主机 REGISTRY
容器 镜像
WEB 应⽤ WEB 框架 WEB 站点
软件应⽤ 数据库 WEB 服务
KUBERETES
资产可视化
清楚的梳理业务中有多少个集群,集群中有多少命名空间和控制器,运
⾏了多少容器,是由什么镜像运⾏起来的,容器具体跑了哪些进程,监
听了哪些端⼝。遇到⼊侵事件的时候,能够很清晰的知道失陷位置,以
及可能覆盖的影响范围。
资产⽴体化呈现,清晰了解⻛险影响范围 通过梳理资产,进⾏软件治理
通过对运⾏的哪些应⽤、中间件以及数据库的进⾏清点,发现其
安装路径,版本信息和配置情况,形成清晰的应⽤资产台账,更
好地去落地应⽤的治理。
镜像 容器
Pod
Deployment
Cluster
Namespace
资产可视化
资产⾃动化盘点
监控各类资产变化事件,实时上报容器资产
资产实时上报
持续监控资产变化,实时上报,确保资产与实际环境⼀致⽆偏差
覆盖资产种类全
覆盖k8s、容器、容器内应⽤3⼤类⼯作负载,15类资产类型,⽀持
1500+业务应⽤识别
资产识别粒度细
对每类资产进⾏了深⼊分析,获取资产相关的各项⾼价值的安全数
据。例如web站点,深⼊识别站点类型、域名、⽤户、站点⽬录等
信息
⽹络关系可视化
化繁为简,真正从业务视⻆展现访问关系,更⽅便运维/安全理解。
weaveScope 视⻆-杂乱的业务关系
⽹络关系可视化
化繁为简,真正从业务视⻆展现访问关系,更⽅便运维/安全理解。
蜂巢视⻆-清晰的业务关系
微隔离
蜂巢的微隔离策略,是原⽣⾃适应容器多变的环境的。通过对访问关系的梳理和学习,提供⾃适应的、⾃迁移的、⾃维护的⽹
络隔离策略,帮助⽤户快捷、安全地落地容器微隔离
提供业务视⻆的⽹络拓扑关系
• 基于实际业务的⼯作负载可视化展示容器间的访问⾏为
覆盖各种云原⽣场景的隔离策略
• 集群内⽹络隔离:可设置基于namespace、label、
congtroller、IP/CIDR的隔离策略
• 集群间⽹络隔离:可设置基于集群与⾮容器集群,集群与外
部⽹络之间的隔离策略
• 纯容器场景的隔离策略
提供“告警”模式,让⽤户放⼼设置策略
• 针对⼯作负载提供“仅告警”业务模式,不下发实际的隔离策
略。⽽是模拟下发的情况,当发现偏离策略的⾏为则进⾏告
警提示。
未知威胁
漏洞利⽤
容器逃逸
K8S恶意命令
反弹Shell
Websbelll
病毒检测
⼊侵事件
异常检测
恶意⾏为检测
已知威胁检测
对容器内进程、⽹络等⾏为进⾏学习建⽴模型,从
⽽发现异常⼊侵
基于对恶意⾏为模式的定义,对容器及编排
⼯具内的⿊客攻击⾏为进⾏实时检测
对容器内的⽂件、代码、脚本
等进⾏已知特征的检测
⼊侵检测
采⽤多锚点的分析⽅法,实时检测容器中的已知威胁、恶意⾏为、异常事件
⼊侵检测-已知威胁检测
利⽤⻘藤五⼤检测引擎,实时发现容器中的病毒、挖矿、webshell等已知威胁
搭载⻘藤⾃研发的Webshell检测引擎,不依赖正则匹
配,⽽是通过把复杂的变形和 混淆回归成等价最简形
式,然后根据AI推理发现Webshell中存在的可疑内容
雷⽕·AI-Webshell 检测引擎
结合多个杀毒引擎,查杀率⾼,对多种病毒⽊⻢程序都
能进⾏检测。其中由⻘藤⾃主研发的杀毒引擎,对挖矿
⽊⻢、蠕⾍病毒、⿊客⼯具等都能进⾏有效的检测。
病毒⽊⻢多检测引擎
动静检测结合
精准识破变形 即插即⽤ ⽆需⻓期训练
⽀持PHP\\JSP\\JSPX等多种类型
⼊侵检测-恶意⾏为检测
提供多锚点的基于⾏为的检测能⼒,能够实时、准确地感知⼊侵事件,发现失陷容器。
容
器
⼊
侵
场
景
提权 (如利⽤脏⽜漏洞)
安装恶意后⻔
端⼝扫描
……
Web RCE检测
暴⼒破解检测
web后⻔检测 反弹shell检测
利⽤ web 漏洞发起远程攻击 上传 Webshell
发起反弹获取容器控制权
对安装了SSH 的容器进⾏爆破,以获取容器控制权
通过docker、k8s 未授权访问下载恶意容器
容器逃逸检测
敏感⽬录访问
……
⼊侵检测-异常检测
容器运⾏时的⾏为模式相对固定,蜂巢通过对其进程、⽹络、⽂件⾏为进⾏学习、建⽴稳定的容器模型,进⽽针对不符合模型
内的⾏为进⾏监控告警,从⽽发现未知的⼊侵威胁。
我们根据同⼀个命名空间下的镜像为维度,建⽴模型,这样模型不会随
着容器漂移和消亡,依然能继承和应⽤同⼀镜像的模型。
以镜像维度建⽴模型,原⽣适应容器环境
针对发现的异常⾏为,提供标记、处理、加⼊模型三种⽅式,可及时阻断
异常或纠正误报、完善模型。
提供多种异常处理⽅式
进程
⽂件
⽹络连接
异常⽂件写⼊
蜂巢 业务模型
不符合模型
异常进程启动
异常访问
⽣成
恶意⾏为处理
完善模型
阻断进程
阻断容器
…
安全响应
检测到异常⼊侵事件之后,对于失陷容器,提供快速进⾏安全响应,把损失降到最低。
控制容器
• 隔离容
• 暂停容器
• 杀容器
控制容器内⾏为
• 阻断进程
• 隔离⽂件
• 封禁IP
控制容器的⽹络访问
• 不允许有问题的⼯作负载
进⾏访问和被访问
安全体系联动
实现云原⽣安全与其他安全产品的联动 , 建设全⽅位⼀体的安全体系。
Console
Alerting
SIEM
CMDB
IAM/ldap
syslog
邮件系统对接
资产API
⽤户管理API
l ⼊侵事件syslog
l 容器内进程启动⽇志
l K8s API⽇志
蜂巢Server
容器内进程启动⽇志 K8S api ⽇志
安全体系联动-容器⽇志
蜂巢可以作为云原⽣环境的抓⼿,收集集群中的各类⾏为数据,并提供数据⽅便对接到客户分析平台。
全⾃动化、细粒度的对⼯作
负载进⾏分析,并可视化⼯
作负载之间的⽹络访问⾏
为。
提供多锚点的基于⾏为的检
测能⼒,能够实时、准确地
感知⼊侵事件,并快速进⾏
安全响应处理。
能集成到企业的DevOps流
程中,实现覆盖容器全⽣命
周期的安全⻛险管理。
能实现与企业安全体系联
动,以实现信息共享,协同
作战。
看得清 管得了 防得住 能融合
云原⽣安全要求
04 部署与集成
产品部署⽅案 | Agent运⾏机制 | 产品集成 | 我们的优势
产品部署⽅案
Adapter
Scan-worker CI/CD Jenkins 插件
Alerting
API
IAM
Console
蜂巢检测引擎
Container runtime
Host OS
Metal / VM / laaS
Cluster-link
KUBERNETES 集群
T-Sec 反病毒引擎
雷⽕引擎
⻘藤⾃研病毒引擎
蜂巢SERVER
Container runtime
Host OS +
Metal / VM / laaS
Cluster-link
Agent
KUBERNETES 集群
Agent 运⾏机制
稳定可靠
蜂巢的Agent是基于⻘藤的万相的agent体系上构建,该架构体系下的Agent已在200万+业务服务器上稳定运⾏实践过,可靠性⾼达99.98%
⽆驱动、⾮侵⼊式运⾏
蜂巢Agent不采⽤任何驱动,是⾮侵⼊式的运⾏⽅式,不会对系统造成影响
运⾏性能消耗低
蜂巢Agent性能消耗低,正常运⾏时,仅消耗单核10%的CPU、低于100M内存;最⼤消耗也仅占单核50%的CPU、低于500M内存
业务繁忙时,优先保障业务运⾏
当Agent负载过⾼时,Agent会主动降级或者重启,给业务运⾏让出资源,优先保障业务运⾏
安全
蜂巢Agent与服务端通信采⽤加密传输,保障数据安全;同时Agent本身⽆任务暴露端⼝,⽆法被外部访问
蜂巢Agent,是⼀个轻量级Agent,经过 1,000,000+ 台服务器的稳定运⾏实践,可靠性达99.98%。