從“底”做起,實現(xiàn)企業(yè)信息防泄漏
什么是底層安全? 在引起廣泛關注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍
什么是底層安全?
在引起廣泛關注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現(xiàn)出了應用層技術與底層技術的巨大差異。那么什么是底層技術?它又會給信息防泄漏行業(yè)帶來什么?
談及底層技術,首先就要從window操作系統(tǒng)的架構說起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應用軟件或應用系統(tǒng)提供了公共接口,并負責硬件資源的管理和分配。應用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來實現(xiàn)各種應用任務,如果它們要訪問硬件,則必須通過操作系統(tǒng)提供的公共接口來完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結構來保護操作系統(tǒng)本身(如圖1-1),以避免被應用程序的錯誤所波及。操作系統(tǒng)核心運行在內核模式(kernel mode)下,應用程序運行在用戶模式(user mode)下。每當應用程序需要用到系統(tǒng)內核或內核的擴展模塊(內核驅動程序)所提供的服務時,應用程序通過硬件指令從用戶模式切換到內核模式中;當系統(tǒng)內核完成了所請求的服務以后,控制權又回到用戶模式代碼。"用戶模式"和"內核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統(tǒng)結構的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應用軟件,愈往下愈接近硬件。而包括內核在內的所有中間層次的作用,則是幫助應用軟件更好、更安全、更方便、更有效地利用包括CPU在內的硬件資源。而底層技術,所指的就是針對內核模式下運行,緊密貼合硬件的文件系統(tǒng),設備驅動程序,windows內核程序的修改與二次開發(fā)的技術。在信息安全防護系統(tǒng)的防護目標上,無論是移動介質管理,還是主機監(jiān)控審計,以及非法外聯(lián)監(jiān)控,都涉及到了對硬件的管控。應用層的技術手段在對硬件技術進行管控時,需要通過API函數(shù)端口來實現(xiàn),然而,API函數(shù)作為應用層和內核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內核層的控制,導致API函數(shù)自身安全性不佳。而底層技術則是使用內核提供的接口,直接對硬件進行管控,因而與其他技術手段相比具有以下的優(yōu)勢:
首先,在安全性上,底層技術手段主要運行在內核模式下,也就是運行于windows后臺,被當作操作系統(tǒng)的一部分運行來執(zhí)行,從而無需啟動進程,用戶也感知不到驅動的運行,與運行在應用層技術相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術手段與windows操作系統(tǒng)同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準確記錄、及時阻止。
最后,在高效性上,底層技術手段直接運行在內核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹嬎銠C運行的速度與性能。
企業(yè)信息防泄漏更應從"底"做起
在企業(yè)信息防泄漏上,底層技術就有更大的優(yōu)先級別。例如,在端口控制上,無論是采用應用層技術手段還是底層技術手段,我們都會在設備管理器中,看到想要管控的設備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設備管理器中重新啟用該設備。雖然,該設備會被重新關閉,但是這種瞬時的開啟,就存在著巨大的泄密風險。然而采用底層技術手段的管理系統(tǒng),例如目前在該領域較為知名的鼎普內網(wǎng)系統(tǒng),綜合用戶雖然可以看到設備,但是無法通過設備管理器對該設備進行任何的操作,徹底的實現(xiàn)了目標設備管控。再例如非法外聯(lián)管控中,眾所周知,實現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對互聯(lián)網(wǎng)的特定地址,發(fā)送探測信號。這時就產(chǎn)生了一個問題,這個探測信號可能會被防火墻攔截!普通技術實現(xiàn)的非法外聯(lián)探測功能,無法突破防火墻的封鎖,但是基于底層技術開發(fā)的網(wǎng)絡非法外聯(lián)監(jiān)控系統(tǒng),通過內核模式下的網(wǎng)絡傳輸層過濾驅動實現(xiàn),能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個例子,就是在主機審計方面,有很多的技術都能夠實現(xiàn)對用戶行為的審計功能,但是,隨著信息技術的發(fā)展,伴隨而來的也就是高科技的竊取手段,例如內核級的木馬程序。普通技術的審計功能,因為實現(xiàn)在應用層面,導致無法對內核級的操作行為有任何的感知,也就使得產(chǎn)品的審計功能形同虛設。鼎普主機監(jiān)控與審計系統(tǒng),針對內核級的竊取手段,采用內核級的技術手段,通過對windows內核加入自主研發(fā)的代碼程序,從而保證對任何的文件操作行為,及時發(fā)現(xiàn),準確記錄。
進入21世紀后,隨著國內信息化程度的快速提高,信息安全越來越多地受到關注,信息安全產(chǎn)品和廠商短短幾年內大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務,但其實際技術和內容卻千差萬別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應用層的技術手段,導致產(chǎn)品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經(jīng)成長為信息防泄漏領域的領航企業(yè),長期服務于國家政府、軍隊和軍工單位,作為國家信息安全保密戰(zhàn)線的一員,鼎普科技認識到要守衛(wèi)國家秘密,捍衛(wèi)國家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術上的防護體系,才能更好的守衛(wèi)國家秘密,保衛(wèi)信息安全!
在引起廣泛關注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術屏蔽360?而馬化騰是這樣回答的:我是應用層,它是底層!相當于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現(xiàn)出了應用層技術與底層技術的巨大差異。那么什么是底層技術?它又會給信息防泄漏行業(yè)帶來什么?
談及底層技術,首先就要從window操作系統(tǒng)的架構說起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應用軟件或應用系統(tǒng)提供了公共接口,并負責硬件資源的管理和分配。應用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來實現(xiàn)各種應用任務,如果它們要訪問硬件,則必須通過操作系統(tǒng)提供的公共接口來完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結構來保護操作系統(tǒng)本身(如圖1-1),以避免被應用程序的錯誤所波及。操作系統(tǒng)核心運行在內核模式(kernel mode)下,應用程序運行在用戶模式(user mode)下。每當應用程序需要用到系統(tǒng)內核或內核的擴展模塊(內核驅動程序)所提供的服務時,應用程序通過硬件指令從用戶模式切換到內核模式中;當系統(tǒng)內核完成了所請求的服務以后,控制權又回到用戶模式代碼。"用戶模式"和"內核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統(tǒng)結構的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應用軟件,愈往下愈接近硬件。而包括內核在內的所有中間層次的作用,則是幫助應用軟件更好、更安全、更方便、更有效地利用包括CPU在內的硬件資源。而底層技術,所指的就是針對內核模式下運行,緊密貼合硬件的文件系統(tǒng),設備驅動程序,windows內核程序的修改與二次開發(fā)的技術。在信息安全防護系統(tǒng)的防護目標上,無論是移動介質管理,還是主機監(jiān)控審計,以及非法外聯(lián)監(jiān)控,都涉及到了對硬件的管控。應用層的技術手段在對硬件技術進行管控時,需要通過API函數(shù)端口來實現(xiàn),然而,API函數(shù)作為應用層和內核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內核層的控制,導致API函數(shù)自身安全性不佳。而底層技術則是使用內核提供的接口,直接對硬件進行管控,因而與其他技術手段相比具有以下的優(yōu)勢:
首先,在安全性上,底層技術手段主要運行在內核模式下,也就是運行于windows后臺,被當作操作系統(tǒng)的一部分運行來執(zhí)行,從而無需啟動進程,用戶也感知不到驅動的運行,與運行在應用層技術相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術手段與windows操作系統(tǒng)同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準確記錄、及時阻止。
最后,在高效性上,底層技術手段直接運行在內核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹嬎銠C運行的速度與性能。
企業(yè)信息防泄漏更應從"底"做起
在企業(yè)信息防泄漏上,底層技術就有更大的優(yōu)先級別。例如,在端口控制上,無論是采用應用層技術手段還是底層技術手段,我們都會在設備管理器中,看到想要管控的設備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設備管理器中重新啟用該設備。雖然,該設備會被重新關閉,但是這種瞬時的開啟,就存在著巨大的泄密風險。然而采用底層技術手段的管理系統(tǒng),例如目前在該領域較為知名的鼎普內網(wǎng)系統(tǒng),綜合用戶雖然可以看到設備,但是無法通過設備管理器對該設備進行任何的操作,徹底的實現(xiàn)了目標設備管控。再例如非法外聯(lián)管控中,眾所周知,實現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對互聯(lián)網(wǎng)的特定地址,發(fā)送探測信號。這時就產(chǎn)生了一個問題,這個探測信號可能會被防火墻攔截!普通技術實現(xiàn)的非法外聯(lián)探測功能,無法突破防火墻的封鎖,但是基于底層技術開發(fā)的網(wǎng)絡非法外聯(lián)監(jiān)控系統(tǒng),通過內核模式下的網(wǎng)絡傳輸層過濾驅動實現(xiàn),能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個例子,就是在主機審計方面,有很多的技術都能夠實現(xiàn)對用戶行為的審計功能,但是,隨著信息技術的發(fā)展,伴隨而來的也就是高科技的竊取手段,例如內核級的木馬程序。普通技術的審計功能,因為實現(xiàn)在應用層面,導致無法對內核級的操作行為有任何的感知,也就使得產(chǎn)品的審計功能形同虛設。鼎普主機監(jiān)控與審計系統(tǒng),針對內核級的竊取手段,采用內核級的技術手段,通過對windows內核加入自主研發(fā)的代碼程序,從而保證對任何的文件操作行為,及時發(fā)現(xiàn),準確記錄。
進入21世紀后,隨著國內信息化程度的快速提高,信息安全越來越多地受到關注,信息安全產(chǎn)品和廠商短短幾年內大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務,但其實際技術和內容卻千差萬別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應用層的技術手段,導致產(chǎn)品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經(jīng)成長為信息防泄漏領域的領航企業(yè),長期服務于國家政府、軍隊和軍工單位,作為國家信息安全保密戰(zhàn)線的一員,鼎普科技認識到要守衛(wèi)國家秘密,捍衛(wèi)國家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術上的防護體系,才能更好的守衛(wèi)國家秘密,保衛(wèi)信息安全!
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
