從“底”做起,實現企業信息防泄漏
什么是底層安全? 在引起廣泛關注的3Q大戰的時候,有過這樣一個小插曲,曾經有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍
什么是底層安全?
在引起廣泛關注的3Q大戰的時候,有過這樣一個小插曲,曾經有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現出了應用層技術與底層技術的巨大差異。那么什么是底層技術?它又會給信息防泄漏行業帶來什么?
談及底層技術,首先就要從window操作系統的架構說起。
Window操作系統本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應用軟件或應用系統提供了公共接口,并負責硬件資源的管理和分配。應用軟件不需要直接跟硬件打交道,它們利用操作系統提供的接口來實現各種應用任務,如果它們要訪問硬件,則必須通過操作系統提供的公共接口來完成。為了保證Windows系統自身的穩定性,Windows采用了雙模式(dual mode)結構來保護操作系統本身(如圖1-1),以避免被應用程序的錯誤所波及。操作系統核心運行在內核模式(kernel mode)下,應用程序運行在用戶模式(user mode)下。每當應用程序需要用到系統內核或內核的擴展模塊(內核驅動程序)所提供的服務時,應用程序通過硬件指令從用戶模式切換到內核模式中;當系統內核完成了所請求的服務以后,控制權又回到用戶模式代碼。"用戶模式"和"內核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統結構的介紹,我們可以發現在window系統中愈往上愈接近應用軟件,愈往下愈接近硬件。而包括內核在內的所有中間層次的作用,則是幫助應用軟件更好、更安全、更方便、更有效地利用包括CPU在內的硬件資源。而底層技術,所指的就是針對內核模式下運行,緊密貼合硬件的文件系統,設備驅動程序,windows內核程序的修改與二次開發的技術。在信息安全防護系統的防護目標上,無論是移動介質管理,還是主機監控審計,以及非法外聯監控,都涉及到了對硬件的管控。應用層的技術手段在對硬件技術進行管控時,需要通過API函數端口來實現,然而,API函數作為應用層和內核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內核層的控制,導致API函數自身安全性不佳。而底層技術則是使用內核提供的接口,直接對硬件進行管控,因而與其他技術手段相比具有以下的優勢:
首先,在安全性上,底層技術手段主要運行在內核模式下,也就是運行于windows后臺,被當作操作系統的一部分運行來執行,從而無需啟動進程,用戶也感知不到驅動的運行,與運行在應用層技術相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術手段與windows操作系統同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準確記錄、及時阻止。
最后,在高效性上,底層技術手段直接運行在內核模式下,從而做到全局控制所有的操作行為,并且幾乎不影響計算機運行的速度與性能。
企業信息防泄漏更應從"底"做起
在企業信息防泄漏上,底層技術就有更大的優先級別。例如,在端口控制上,無論是采用應用層技術手段還是底層技術手段,我們都會在設備管理器中,看到想要管控的設備。但有區別的是,普通的管控手段,我們的用戶依然可以在設備管理器中重新啟用該設備。雖然,該設備會被重新關閉,但是這種瞬時的開啟,就存在著巨大的泄密風險。然而采用底層技術手段的管理系統,例如目前在該領域較為知名的鼎普內網系統,綜合用戶雖然可以看到設備,但是無法通過設備管理器對該設備進行任何的操作,徹底的實現了目標設備管控。再例如非法外聯管控中,眾所周知,實現非法外聯發現與阻斷,需要對互聯網的特定地址,發送探測信號。這時就產生了一個問題,這個探測信號可能會被防火墻攔截!普通技術實現的非法外聯探測功能,無法突破防火墻的封鎖,但是基于底層技術開發的網絡非法外聯監控系統,通過內核模式下的網絡傳輸層過濾驅動實現,能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯的有效性。還有一個例子,就是在主機審計方面,有很多的技術都能夠實現對用戶行為的審計功能,但是,隨著信息技術的發展,伴隨而來的也就是高科技的竊取手段,例如內核級的木馬程序。普通技術的審計功能,因為實現在應用層面,導致無法對內核級的操作行為有任何的感知,也就使得產品的審計功能形同虛設。鼎普主機監控與審計系統,針對內核級的竊取手段,采用內核級的技術手段,通過對windows內核加入自主研發的代碼程序,從而保證對任何的文件操作行為,及時發現,準確記錄。
進入21世紀后,隨著國內信息化程度的快速提高,信息安全越來越多地受到關注,信息安全產品和廠商短短幾年內大量涌現。雖然眾多的產品和廠商都以信息安全的概念在提供服務,但其實際技術和內容卻千差萬別。眾多的安全產品都能提供類似的功能,但是,其中的大多數都僅僅是采用了應用層的技術手段,導致產品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經成長為信息防泄漏領域的領航企業,長期服務于國家政府、軍隊和軍工單位,作為國家信息安全保密戰線的一員,鼎普科技認識到要守衛國家秘密,捍衛國家利益,就必須產品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術上的防護體系,才能更好的守衛國家秘密,保衛信息安全!
在引起廣泛關注的3Q大戰的時候,有過這樣一個小插曲,曾經有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現出了應用層技術與底層技術的巨大差異。那么什么是底層技術?它又會給信息防泄漏行業帶來什么?
談及底層技術,首先就要從window操作系統的架構說起。
Window操作系統本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應用軟件或應用系統提供了公共接口,并負責硬件資源的管理和分配。應用軟件不需要直接跟硬件打交道,它們利用操作系統提供的接口來實現各種應用任務,如果它們要訪問硬件,則必須通過操作系統提供的公共接口來完成。為了保證Windows系統自身的穩定性,Windows采用了雙模式(dual mode)結構來保護操作系統本身(如圖1-1),以避免被應用程序的錯誤所波及。操作系統核心運行在內核模式(kernel mode)下,應用程序運行在用戶模式(user mode)下。每當應用程序需要用到系統內核或內核的擴展模塊(內核驅動程序)所提供的服務時,應用程序通過硬件指令從用戶模式切換到內核模式中;當系統內核完成了所請求的服務以后,控制權又回到用戶模式代碼。"用戶模式"和"內核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統結構的介紹,我們可以發現在window系統中愈往上愈接近應用軟件,愈往下愈接近硬件。而包括內核在內的所有中間層次的作用,則是幫助應用軟件更好、更安全、更方便、更有效地利用包括CPU在內的硬件資源。而底層技術,所指的就是針對內核模式下運行,緊密貼合硬件的文件系統,設備驅動程序,windows內核程序的修改與二次開發的技術。在信息安全防護系統的防護目標上,無論是移動介質管理,還是主機監控審計,以及非法外聯監控,都涉及到了對硬件的管控。應用層的技術手段在對硬件技術進行管控時,需要通過API函數端口來實現,然而,API函數作為應用層和內核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內核層的控制,導致API函數自身安全性不佳。而底層技術則是使用內核提供的接口,直接對硬件進行管控,因而與其他技術手段相比具有以下的優勢:
首先,在安全性上,底層技術手段主要運行在內核模式下,也就是運行于windows后臺,被當作操作系統的一部分運行來執行,從而無需啟動進程,用戶也感知不到驅動的運行,與運行在應用層技術相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術手段與windows操作系統同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準確記錄、及時阻止。
最后,在高效性上,底層技術手段直接運行在內核模式下,從而做到全局控制所有的操作行為,并且幾乎不影響計算機運行的速度與性能。
企業信息防泄漏更應從"底"做起
在企業信息防泄漏上,底層技術就有更大的優先級別。例如,在端口控制上,無論是采用應用層技術手段還是底層技術手段,我們都會在設備管理器中,看到想要管控的設備。但有區別的是,普通的管控手段,我們的用戶依然可以在設備管理器中重新啟用該設備。雖然,該設備會被重新關閉,但是這種瞬時的開啟,就存在著巨大的泄密風險。然而采用底層技術手段的管理系統,例如目前在該領域較為知名的鼎普內網系統,綜合用戶雖然可以看到設備,但是無法通過設備管理器對該設備進行任何的操作,徹底的實現了目標設備管控。再例如非法外聯管控中,眾所周知,實現非法外聯發現與阻斷,需要對互聯網的特定地址,發送探測信號。這時就產生了一個問題,這個探測信號可能會被防火墻攔截!普通技術實現的非法外聯探測功能,無法突破防火墻的封鎖,但是基于底層技術開發的網絡非法外聯監控系統,通過內核模式下的網絡傳輸層過濾驅動實現,能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯的有效性。還有一個例子,就是在主機審計方面,有很多的技術都能夠實現對用戶行為的審計功能,但是,隨著信息技術的發展,伴隨而來的也就是高科技的竊取手段,例如內核級的木馬程序。普通技術的審計功能,因為實現在應用層面,導致無法對內核級的操作行為有任何的感知,也就使得產品的審計功能形同虛設。鼎普主機監控與審計系統,針對內核級的竊取手段,采用內核級的技術手段,通過對windows內核加入自主研發的代碼程序,從而保證對任何的文件操作行為,及時發現,準確記錄。
進入21世紀后,隨著國內信息化程度的快速提高,信息安全越來越多地受到關注,信息安全產品和廠商短短幾年內大量涌現。雖然眾多的產品和廠商都以信息安全的概念在提供服務,但其實際技術和內容卻千差萬別。眾多的安全產品都能提供類似的功能,但是,其中的大多數都僅僅是采用了應用層的技術手段,導致產品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經成長為信息防泄漏領域的領航企業,長期服務于國家政府、軍隊和軍工單位,作為國家信息安全保密戰線的一員,鼎普科技認識到要守衛國家秘密,捍衛國家利益,就必須產品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術上的防護體系,才能更好的守衛國家秘密,保衛信息安全!
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
