浅谈操作系统安全——主动防御理念的践行者
安全根本——操作系统安全
当前,随着计算机的发展及互联网的普遍应用,信息安全、网络安全和个人计算机安全已经成为一个迫切需要解决的问题。近年来,随着国家相关政策的加速落地,各企事
|
安全根本——操作系统安全 当前,随着计算机的发展及互联网的普遍应用,信息安全、网络安全和个人计算机安全已经成为一个迫切需要解决的问题。近年来,随着国家相关政策的加速落地,各企事业单位对网络安全建设越来越重视,资金投入也越来越大,市场上涌现出各式各样的安全设备,安全解决方案细致涵盖到具体业务具体节点,殊不知,最底层的安全——操作系统安全并未有太多优秀的安全解决方案。 在基础网络架构中,操作系统作为基石,不仅承载着大量重要的数据信息,同时也是调度计算、存储资源、处理业务以及对外服务的重要平台,其安全性问题至关重要。但目前国内的操作系统安全防护水平仍然停留在打补丁、配置简单策略等传统手工加固阶段,缺少专业安全操作系统产品,尤其像主流的操作系统(如Windows、Linux,Unix,国产操作系统),庞大用户基数的背后,隐藏着日益增长的安全隐患。
表:传统Windows 操作系统手动安全加固办法 传统安全操作系统解决方案 针对操作系统应用安全的脆弱性和存在的安全隐患,业内提出了多种解决方案,基本原则为针对不同对象,采用不同安全产品。然而现有安全产品,比如防火墙、IDS、IPS等都是防范“非法攻击”的途径,也就是封堵,而不是保护“目标”,起不到免疫作用。如果把某一个安全问题比作一个点,那么每个安全产品解决的都是相应点的问题。 传统解决方案以多层防护作为起点。多层防护最终目的是保证业务系统连续性和数据安全性。但业务系统和数据的架构都基于操作系统,如果操作系统被黑客攻破,安装在操作系统上的业务系统必将受到严重影响。由于现有防护技术有限,传统安全解决方案只能通过采用HIDS/HIPS、审计、内网安全管理、透明加解密、补丁管理、杀毒软件等滞后性的解决方案来缓解操作系统的安全威胁,但这些只解决了操作系统中某点的安全,并没有解决整个操作系统的安全问题。 主动防御技术——白名单技术、操作系统加固 正是由于上述常用网络安全技术与工具存在的局限性,所以构建由网络层、应用层安全产品与系统层安全技术相结合的“立体纵深安全防护体系”必将成为网络信息安全防护技术的一种发展趋势。 系统层面的加固技术能够免疫一切已知和未知的攻击行为,如抵御木马、后门、冲击波、震荡波、勒索病毒等病毒入侵,免疫针对操作系统的一切恶意攻击行为等,从而保护操作系统上的重要数据资源不被非法盗取、删除、篡改,操作系统的正常应用不被非法终止。所以,以白名单技术为代表的主动防御技术开始逐渐被人们熟知。基于白名单技术构建的主动防御体系由两部分组成,一是从业务的角度,构建应用白名单,实现完整的信任传递;二是对应用进行管控,并对应用行为进行监控与防护,确保管控不被绕过,及时发现并响应异常应用行为。与传统安全解决方案的“被动响应”不同,白名单技术从操作系统内核驱动层出发,判断文件的行为特征是否与“白行为”特征库合规,如不合规将拒绝它的执行,从根本上杜绝了安全问题的发生与扩散,也真正做到了“主动防御”。
图:基于白名单机制的应用层访问控制模型 但这样的“应用层面”管控并未满足安全操作系统的需求,针对操作系统的加固需要将“应用层”提升至“系统层“级别,“主机加固”系统应运而生。它是利用增强型DTE、RBAC、BLP三种访问控制安全模型组合,重新构建操作系统的“安全子系统”,用重构的“安全子系统”,监视所有相关的资源访问行为,通过三种访问控制模型实现操作系统的安全策略,确保系统信息和系统自身的安全性,以保障操作系统的保密性、完整性、可用性、可靠性,针对主机系统安全涉及的控制点(如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等)形成立体防护以确保安全操作系统的实现。 主机安全加固产品理念符合《GB/T20272-2019信息安全技术一操作系统安全技术要求》中“第三级”标准,通过对现有操作系统的安全子系统(SSOOS)进行重构和扩充,对主机环境(包括:用户、文件、进程、服务、磁盘、共享、配额、IP、端口、注册表(仅windows )等系统资源)进行全方位的立体保护,解决整个操作系统层面的安全问题,彻底弥补传统解决安全方案中的不足。因此,主机加固是真正意义上的安全操作系统建设“第一步“。 操作系统加固的应用层补充——主机卫士 对于大部分企事业单位来讲,安全操作系统是一个遥远的目标。传统互联网企业,操作系统的版本更迭迅速,各大操作系统厂商的0-day漏洞挖掘和补丁更新也较为频繁。常规的主机加固强调操作系统的权限管控和操作敏感标记,并不适合大多数互联网企业的实际需求,因为从应用层面上来说,繁琐的身份验证和主客体权限管控,会导致业务流程变得繁琐,实际操作者会认为得不偿失。但对于资产价值极高,安全态势严峻的军工、核电、电网等工业领域,安全操作系统的需求不可忽略。 随着工业4.0和两化融合时代的到来,更多的工业设备将暴露在互联网之中,工控主机安全问题将更为严峻。作为工控系统重要组成部分的工作站和服务器在工控网络中的重要性,决定了它们面临巨大的安全风险和威胁。 工业互联网环境的特点: 1.操作系统版本更迭速度慢,漏洞补丁更新速度慢。行业工控系统投产后,对操作系统极少升级,但操作系统会不断曝出漏洞导致工作站和服务器暴露在风险中。系统自身的安全策略未启用或配置薄弱。防病毒软件的安装不全面,安装后又不及时更新防恶意代码软件版本和恶意代码库。 2.核心资产,受攻击影响大。工作站、服务器存储的数据价值巨大,一旦遭受攻击,其影响、损失无法估量。 3.软件环境专业,传统安全操作系统方案作用有限。工作站、服务器的计算环境专业,传统病毒查杀软件基于黑名单或特征匹配的被动防御技术作用有限,相反,还有可能破坏计算环境的完整性。 4.管理不够严格,外来入侵事件随时发生。如移动存储介质的使用,给很多攻击带来了机会。 大量安全事件证明,工作站和服务器是脆弱的攻击入口,类似震网、Havex、勒索病毒的安全事件影响深远。 在这样的环境下,系统层面的加固并不完全覆盖行业安全需求。对于传统工业互联网企业来说,应用层面的安全防护同样重要。因此,基于白名单技术的主机卫士作为操作系统加固的应用层补充,出现在了大众的视野中。 工业主机卫士产品是针对工作站、服务器等工业主机进行安全加固的软件产品,通过机器智能学习引擎将白名单技术用于工控主机行为的分析判断;通过大数据采集和分析,智能学习模块自动生成的工业控制软件正常行为模式的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,工业主机卫士产品将会对此行为进行阻断或告警,以此避免工业控制网络受到0-day漏洞及勒索病毒的威胁,同时还可以有效地阻止操作人员异常操作、未知移动储存设备接入主机所带来的危害。工业主机卫士摒弃了传统杀毒软件的被动防御理念,使用白名单主动防御技术,有效规避了传统杀毒软件产生的安全弊端。工业主机卫士防护产品适用于各行业主机操作系统中,拥有优良的用户体验效果和兼容性,管理强度深入到硬件驱动层,有力地保护了工控现场主机系统的安全。
图:主机卫士产品架构 主动防御技术发展趋势 传统安全解决方案覆盖网络层的安全防护,以主机卫士为代表的终端安全解决方案覆盖应用层的安全防护,操作系统安全加固解决方案覆盖系统层的安全防护,就此完整构建了由网络层、应用层安全产品与系统层安全技术相结合的立体纵深安全防护体系。 工控系统的纵深防御策略,已经得到了行业的广泛认可。但安全是动态的,纵深防御更多的是静态的防御方式,不具备与时俱进的能力。工业互联网时代,业务的不断发展、数据量成级数增长主动防御系统,以业务规则为核心,建立安全基线,动态地实时监测工业互联网的信息流及操作指令,以有限的控制指令为原则,监测、告警异常行为,从而建立工业互联网的“白行为”知识库,建立以实时监测为基础的安全运营体系,将会是未来工业互联网安全发展的一大趋势,也是主动防御技术发展的必经之路。 木链科技主机卫士 产品介绍 木链科技主机卫士是面向工控网络终端设备设计安全防护软件,安装在管理主机、数据库或服务器等网络设备上。通过白名单能够控制可信程序执行、加载驱动程序、读写移动存储设备等,彻底阻断恶意程序的侵入路径。同时,主机卫士允许经过签名的应用程序自主进行更新、加载和扩展。主机卫士能够针对关键文件目录及应用程序、动态链接库、驱动文件等进行保护,有效阻止恶意程序篡改相关内容。 产品特点 1.面向应用程序的管理机制 程序在启动时将对比可信程序白名单,仅允许白名单列表中的程序加载。列表外的程序启动将被中止。此外,还将从程序签名方面进行配合查验,确认白名单程序的合法性。 2.实时的主机资源监控 实时监控主机CPU、内存、网卡、磁盘等使用信息,同时对主机关键程序异常操作(删除、卸载、停用)行为进行告警记录,帮助用户快速定位问题根源,及时解决问题,最大程度降低对主机自身和生产业务的影响。 3.面向移动存储设备的管理机制 结合白名单,设计了移动存储设备安全管理机制,限制白名单外的USB 存储设备在主机上的读写等操作。仅允许白名单中的设备与主机进行数据交换。可有效防御来自移动存储设备的安全隐患。 4.面向主机内容的保护机制 主机卫士一方面面向应用程序和操作系统提供完整性保护,另一方面也将保护程序运行环境和进程空间的安全。防止运行环境被破环,系统出现可利用的安全漏洞。 5.面向工控网络的攻击防护机制 主机卫士能有效阻止震网、Havex、沙虫及其变种工控病毒的感染,也能阻止来自移动存储介质对工控主机的攻击。 产品功能 1.白名单防护 -具有智能机器匹配白名单生成技术,通过全盘扫描对每个可执行文件进行数字签名生成白名单数据库;数字签名保证文件的唯一性,保障白名单文件的正常运行并阻止未被授权的可执行文件的运行。 -当扫描完成后可以进行一键切换工作模式,进行白名单部署,当工作模式处于告警模式下,异常程序执行被保护的可执行程序时会进行实时告警但不阻断,当处于防护模式时会进行告警同时进行阻断,异常程序无法运行。 -部署完成后,当需要进行白名单软件更新时可以进行追加目录或追加文件进行白名单放行,也可设置信任路径进行完全信任和放行。 2.指定对象完整性保护 对关键安装目录的文件进行完整性保护,防止恶意程序篡改或误操作对目标文件进行注入、修改或删除。 3.安全事件审计 -提供全面、丰富的日志记录与查询功能,包括程序日志、外设日志、用户日志、资源监控日志,以及WEB账户的登录和操作日志,日志中包含具体时间、日志类型、用户名、事件描述、响应方式、执行对象等,用户可按照日志类型导出.CSV、.TXT、.XLSX等格式,以便保存、查阅。 -对设备的接入、程序的运行都会产生对应的日志记录,记录不可删除或更改。 4.支持集中管理功能 -主机卫士提供统一的安全管理平台,基于WEB方式实现对主机防护系统的集中管理、策略配置、日志管理、告警管理等。通过收集、汇总、分析客户端上传的各类日志数据,帮助用户掌握现有安全态势,快速定位安全事件的根源,提高事件响应效率,降低运维成本。 -安全日志收集告警,通过管控中心,管理员可以了解全网终端的告警信息,通过日志分析,掌握全网威胁状况。 产品价值 保障主机安全,阻止已知病毒及其变种 主机卫士是专门针对工控网络中的主机或服务器进行完全适用于工控行业安全防护标准的应用程序。为保障核心业务的运行不被影响,主机卫士会对系统进行加固,建立稳定的运行环境,同时它能有效遏止工控病毒(如“震网”、Havex、“勒索”等)及其变种的运行。 适用工控环境,维护成本低 主机卫士通过对系统进行加固和稳定,能对未知的病毒“免疫”。无论是黑客通过社会工程学的方式,还是利用0-Day漏洞的高级可持续性威胁攻击,都无法侵入加固后的主机环境。主机卫士不需要做任何更新就能抵御不明的攻击行为。软件更新和维护成本极低。 从技术层面解决非法应用 主机卫士通过应用程序、移动存储设备的白名单策略,可以有效降低用户在业务主机上违规运行不合规程序或违规使用移动存储设备带来的潜在威胁。 关键信息完整性保护 主机卫士对关键对象进行完整性保护,包括特定目录、特定程序和文件等。防止对程序的修改、删除、加密等恶意操作。同时,也防止内部员工的误操作。确保核心的数据资产的完整性。 安全审计,规避风险 主机卫士能对系统上的操作进行监控,如监测进程的运行状态、监测 USB 接口及操作,并记录详细的日志,方便还原安全真相。
图:主机卫士部署图
工业互联网安全 工业互联网创新型企业 坚持以客户实际需求出发 用数据赋能未来工业 扫描二维码 或手动搜索bolean-tech (编辑:鹰潭站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
