伺服器安全:從“治標”到“治本”

來源:互聯網
上載者:User

長期以來,網路安全界對基於網路應用的外部防範技術關注較多,而當前通過系統核心加固對使用者資訊的保密性、完整性、可靠性進行有效保護,正在成為繼應用程式層網路安全產品後,又一行之有效技術手段。

網路安全有局限:伺服器是隱患

現有主流的伺服器作業系統管理員權限,具有至高無上的權力,可謂無所不能。他可操控整個系統,隨意修改系統資源,如瀏覽、修改所有資料檔案、格式化硬碟、終止重要進程、終止進程、修改註冊表等。

而這種許可權在現有作業系統中極易被非法盜取,一旦落入非法使用者或網路攻擊者手中,對整個系統安全產生的威脅,後果不堪設想。所以伺服器作業系統的安全越來越引起更多的關注。

北京中航嘉信電腦資訊技術有限公司推出的核心加固技術,通過對伺服器的超級使用者權限進行合理分散與適度制約,可以使萬一出現的超級使用者“大權旁落”的風險與破壞程度大大降低。中航嘉信公司副總經理艾奇偉表示,特別是就Internet上眾多的資訊泄露來自於企業內部這一現實而言,核心加固技術的實現具有重要意義。

對於來自外部網路的攻擊,當前常用的網路安全技術與工具主要有:防火牆技術、入侵偵測系統技術(IDS)、漏洞掃描技術、VPN技術和防病毒技術等。艾奇偉認為這些工具對於伺服器安全存在著一定的局限性。

比如,號稱“一夫當關,萬夫莫開”的防火牆,在一定程度上簡化了網路的安全管理,但網路入侵者可能尋找到某些防火牆背後可能敞開的後門,對於這種入侵者可能在防火牆內的網路內部攻擊基本無法防範。

“正是由於上述常用網路安全技術與工具存在的一些局限,所以構建由應用程式層網路安全產品與核心加固技術內外結合的立體網路系統防護體系,將成網路安全防護技術的一種發展趨勢。”艾奇偉說,“核心加固技術作為應用程式層網路安全技術的一個堅強後備與補充,使商業網路中伺服器的安全技術應用由‘治標’轉入‘治本’成為可能。”

現場訪談

艾奇偉(中航嘉信副總經理、進階網路安全工程師,國家《資訊系統安全保護等級》相關技術標準檔案編寫參與者)。

記者:為什麼貴公司將解決方案定在國家資訊系統安全等級保護的第三級?

艾奇偉:國家資訊系統安全等級保護分為五級,第一、二、三級提出了整個等級保護的所有技術要求。從第四級開始便不再增加技術要求,而是針對這些技術要求的實現設計方法上,有了更嚴格的要求。

因此,第三級是個分水嶺,它包括了所有等級保護的技術要求,並且它在設計方法上也不是太過苛求,所以它是目前政府、企業,包括金融、電信等行業單位最適合的一種安全等級,而且它對應用的影響比較小。

安全作業系統:起到“承上啟下”的作用

目前,網路安全市場以防火牆、IDS等應用程式層網路安全產品居多,中航嘉信獨闢蹊徑,在網路安全技術領域引入了針對作業系統安全的核心加固理念,並成功開發了核心加固安全模組產品。

安全作業系統結構如下:

安全作業系統=作業系統加固技術+普通作業系統

這是基於作業系統加固技術(ROST)的安全作業系統。ROST是一項利用安全核心來提升作業系統安全等級的技術。這項技術的核心就是在作業系統的核心層重構作業系統的許可權訪問的模型,實現真正的強制存取控制,使作業系統達到國家資訊系統安全等級保護標準體系中的第三等級的安全技術要求。

ROST是國家資訊系統安全等級保護標準體系中系統層面的解決方案,起到“承上啟下”的作用,即可以很好地支援各種作業系統及硬體平台,也能對作業系統上層的各種現有的大型應用有很好的安全支撐作用。

“當然安全作業系統還有其它概念,比如通過重構作業系統原始碼的技術來實現安全作業系統。”艾奇偉進一步闡述道,“而我們安全作業系統的概念是提供了各種應用的普通作業系統與ROST技術結合,ROST技術只是一個安全模組,不會影響原有作業系統的上層應用。這是我們的安全作業系統與傳統的安全作業系統概念的本質不同。”

基於ROST的核心模組技術是在驅動層裝上安全核心模組,攔截所有的核心訪問路徑,從而達到了三級的技術標準,安全效果和重構作業系統原始碼技術差不多。但它的優點是不影響使用者的商務持續性,對上層的所有應用都支援,對下層的所有系統和裝置都支援,並保證上層應用的安全,是伺服器安全標準的基礎。

安全伺服器:通過可信介面保障系統安全

那麼伺服器安全是指什麼呢?艾奇偉解釋道:“伺服器安全就是各個層面的安全,即安全的物理裝置、安全的作業系統、安全的應用系統,以及專業的管理系統。將它們加起來以後,我們就稱其為安全伺服器。”

安全伺服器結構如下:

安全伺服器=安全作業系統+安全的應用系統+普通伺服器

“但這種相加不是堆砌!”艾奇偉話鋒一轉,“不是說裝上一套安全的物理裝置、一套安全的作業系統、一套安全的應用系統,再上一套專業的管理系統,就是安全伺服器了。我們所說的網路安全方案,是不是將防火牆、IDS、防病毒等全部堆進去,就是網路安全方案了呢?肯定不是,將它們相加起來是有條件的!”

艾奇偉所說的條件,就是需要在系統的每個層與層之間建立聯絡,這個聯絡就是國家等級保護標準裡的可信介面。國家等級保護的基本理念,可以理解為網路安全的一切問題都是在解決存取控制的問題。因此,伺服器本身的系統安全,就是存取控制的安全。

所謂的安全伺服器,就是系統的每個層次之間都有一個可信的介面,通過可信的介面互聯、互連、互操作。使用者都將接受管理層可信產品的管理,統一配置策略、查詢、審計等。通過安全伺服器,使用者可以在一個介面上就能夠兼顧到伺服器範圍內安全的各個方面。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。