近年来,各种信息安全事件、新型病毒等不断涌现,致使信息安全市场变得日益风声鹤唳,用户面临的安全压力与日俱增。从攻击行为上看,新型病毒正在从传统大范围感染向有目的、有组织的精准式攻击转变,服务器、核心业务系统、数据等关键IT资产首当其冲,是新型网络攻击的重灾区。在此趋势下,传统的防御体系已经难以对新型攻击进行有效的侦测,用户需要转变安全防护思路,采取新的形式保护关键IT资产。为此,国内信息安全厂商椒图科技以保护用户关键IT资产安全为目标,开发出了基于系统层的安全操作系统解决方案——JHSE椒图主机安全环境系统(简称JHSE),与新型病毒及黑客攻击行为展开针锋相对的信息攻防战。
此消彼长,关键IT资产成攻击重点
一项调查数据显示,2011年,中国计算机病毒感染率为48.87%,与2010年相比有所下降。同时,在接受调查的单位中,发生过信息网络安全事件的比例为68.83%,与2010年相比下降了5%左右。病毒感染数量的减少,并不意味着信息安全形势的好转。今年年初,Putty、winscp等管理软件汉化版被发现含有“后门”程序,当用户使用这些“问题”软件登陆服务器时,“后门”程序就会自动记录用户名、密码、服务器IP等信息,并通过网络将搜集的信息发送到指定的服务器上。由于Putty等软件普遍用于远程管理承载AIX、HP-UX、Linux等系统平台的大型商用服务器,涉及金融、能源等多个重要领域,所以此次“后门”事件被认为是针对国家命脉行业的攻击行为。由此可见,当前病毒制作、传播以及黑客攻击行为的针对性越来越强,信息安全事件带来的危害性不断加大,并主要集中在政府、金融等国家重要行业,国内信息安全形势不容乐观。
“以精准式攻击为特征的技术趋势,在‘冲击波’、‘震网’、‘火焰’等先后出现的病毒上得到了很好的体现。”业内人士指出,从2002年开始爆发的“冲击波”病毒及其变种,感染的计算机数量达到千万级,而今年发现的“火焰”病毒,在世界范围内感染的电脑数量约为几千台。但是从破坏性来看,“火焰”病毒结构非常复杂,拥有一整套精密的攻击流程,能够记录用户名/密码、键盘敲击规律、语音等信息,并将受感染计算机上的重要文件发送给远程操作病毒的服务器。此外,今年下半年涌现的“迷你火焰”、“沙蒙”等新型病毒,也将重要行业信息系统上的重要文件、数据等关键IT资产作为重点攻击的目标。
对症下药,基于主机构建安全堡垒群
当前,用户在开展信息安全建设时,通常采用防火墙、入侵检测等传统产品巩固安全防线,主要是从网络层和应用层拦截、查杀病毒及入侵行为,难以有效应对精准式攻击。而关键IT资产如核心业务系统、重要文件、数据等是基于操作系统架构的,一旦操作系统本身存在安全问题,就有可能被病毒、黑客等乘虚而入,对操作系统及系统上的关键IT资产造成破坏。因此,操作系统可以说是信息攻防战中的重要环节,当务之急是通过专业的安全产品与技术增强操作系统层的安全防护能力。
作为国内最早开始从事安全操作系统研究的专业厂商之一,椒图科技一直致力于推动操作系统安全产品与技术的进步,拥有深厚的技术沉淀和丰富的实践经验。为了帮助用户更好地应对病毒、黑客等精准式攻击行为,椒图科技推出了针对性很强的JHSE安全操作系统解决方案。
JHSE不同于传统的基于应用层和网络层的防护手段,它作用于系统层,重点保护数据和进程应用等关键IT资产落地的地方;同时,JHSE与依靠匹配特征库的传统被动式解决方案不同,而是通过强制访问控制和各种灵活的安全策略来保护系统,在原理上阻断病毒的入侵和感染, 建立起牢固的主机安全防线。首先,利用JHSE产品本身具有的可视化虚拟安全域技术,在服务器操作系统上构建出虚拟化的独立空间(即“安全域”),成为抵御病毒入侵的“安全堡垒”;其次,将文件、数据、业务系统进程等关键IT资产放进安全域之内,并实行权限最小化原则,只有被授予相关权限的用户才能访问、使用相关IT资产;同时,可将恶意代码赖以生存的资源及系统服务添加进安全域,使恶意代码在系统内无立足之地。
“去年年底,椒图科技就已经开发出JHSE产品,并将其部署到多个行业的服务器上。今年‘火焰’病毒爆发之后,我们将病毒样本放到已部署JHSE产品的服务器上进行测试,结果发现病毒根本无法破坏服务器以及服务器上的相关IT资产。”椒图科技市场部相关负责人进一步指出,“‘震网’、‘毒区’等病毒的测试情况也是如此,JHSE构建的安全主机环境完全能够免疫各种病毒的攻击。”
此外,椒图科技还将构建“安全堡垒”的防御模式进行规模化“复制”,在操作系统上构建出多个相互独立的安全域,并对每个域的安全等级进行标记,然后根据重要程度的不同,将各种文件、进程、服务、磁盘、通信端口等IT资产分别添加进相应的安全域内。同时,JHSE产品还提供了强制访问控制、透明加解密等安全机制,对域内主客体之间、域与域之间的访问行为进行规范和保护,形成多个“安全堡垒”集群作战的局面。更重要地是,JHSE安装部署无需重启服务器,无论是安全域的构建还是安全机制的运行,都不会对原有信息系统架构造成影响,使用户能够在维持正常业务运行的前提下保障关键IT资产安全。
