從“底”做起,實(shí)現(xiàn)企業(yè)信息防泄漏
什么是底層安全? 在引起廣泛關(guān)注的3Q大戰(zhàn)的時(shí)候,有過(guò)這樣一個(gè)小插曲,曾經(jīng)有一個(gè)記者,向馬化騰這樣提問(wèn):為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍
什么是底層安全?
在引起廣泛關(guān)注的3Q大戰(zhàn)的時(shí)候,有過(guò)這樣一個(gè)小插曲,曾經(jīng)有一個(gè)記者,向馬化騰這樣提問(wèn):為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍用".一個(gè)"民用",一個(gè)"軍用",形象地體現(xiàn)出了應(yīng)用層技術(shù)與底層技術(shù)的巨大差異。那么什么是底層技術(shù)?它又會(huì)給信息防泄漏行業(yè)帶來(lái)什么?
談及底層技術(shù),首先就要從window操作系統(tǒng)的架構(gòu)說(shuō)起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應(yīng)用軟件或應(yīng)用系統(tǒng)提供了公共接口,并負(fù)責(zé)硬件資源的管理和分配。應(yīng)用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來(lái)實(shí)現(xiàn)各種應(yīng)用任務(wù),如果它們要訪問(wèn)硬件,則必須通過(guò)操作系統(tǒng)提供的公共接口來(lái)完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結(jié)構(gòu)來(lái)保護(hù)操作系統(tǒng)本身(如圖1-1),以避免被應(yīng)用程序的錯(cuò)誤所波及。操作系統(tǒng)核心運(yùn)行在內(nèi)核模式(kernel mode)下,應(yīng)用程序運(yùn)行在用戶模式(user mode)下。每當(dāng)應(yīng)用程序需要用到系統(tǒng)內(nèi)核或內(nèi)核的擴(kuò)展模塊(內(nèi)核驅(qū)動(dòng)程序)所提供的服務(wù)時(shí),應(yīng)用程序通過(guò)硬件指令從用戶模式切換到內(nèi)核模式中;當(dāng)系統(tǒng)內(nèi)核完成了所請(qǐng)求的服務(wù)以后,控制權(quán)又回到用戶模式代碼。"用戶模式"和"內(nèi)核模式"是不對(duì)稱的,形象的說(shuō)二者之間不是"井水不犯河水"的關(guān)系,而是井水不能犯河水但河水可以犯井水。
通過(guò)上面對(duì)于window操作系統(tǒng)結(jié)構(gòu)的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應(yīng)用軟件,愈往下愈接近硬件。而包括內(nèi)核在內(nèi)的所有中間層次的作用,則是幫助應(yīng)用軟件更好、更安全、更方便、更有效地利用包括CPU在內(nèi)的硬件資源。而底層技術(shù),所指的就是針對(duì)內(nèi)核模式下運(yùn)行,緊密貼合硬件的文件系統(tǒng),設(shè)備驅(qū)動(dòng)程序,windows內(nèi)核程序的修改與二次開(kāi)發(fā)的技術(shù)。在信息安全防護(hù)系統(tǒng)的防護(hù)目標(biāo)上,無(wú)論是移動(dòng)介質(zhì)管理,還是主機(jī)監(jiān)控審計(jì),以及非法外聯(lián)監(jiān)控,都涉及到了對(duì)硬件的管控。應(yīng)用層的技術(shù)手段在對(duì)硬件技術(shù)進(jìn)行管控時(shí),需要通過(guò)API函數(shù)端口來(lái)實(shí)現(xiàn),然而,API函數(shù)作為應(yīng)用層和內(nèi)核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過(guò)、被卸載或被修改,并且它受內(nèi)核層的控制,導(dǎo)致API函數(shù)自身安全性不佳。而底層技術(shù)則是使用內(nèi)核提供的接口,直接對(duì)硬件進(jìn)行管控,因而與其他技術(shù)手段相比具有以下的優(yōu)勢(shì):
首先,在安全性上,底層技術(shù)手段主要運(yùn)行在內(nèi)核模式下,也就是運(yùn)行于windows后臺(tái),被當(dāng)作操作系統(tǒng)的一部分運(yùn)行來(lái)執(zhí)行,從而無(wú)需啟動(dòng)進(jìn)程,用戶也感知不到驅(qū)動(dòng)的運(yùn)行,與運(yùn)行在應(yīng)用層技術(shù)相比,防繞過(guò),防卸載,更隱蔽,更安全。
其次,在實(shí)時(shí)性上,因?yàn)榈讓蛹夹g(shù)手段與windows操作系統(tǒng)同步運(yùn)行,使得我們可以第一時(shí)間及時(shí)感知用戶的操作行為,包括硬件的插入、啟動(dòng),文件的訪問(wèn)、操作等等,同時(shí)能夠準(zhǔn)確記錄、及時(shí)阻止。
最后,在高效性上,底層技術(shù)手段直接運(yùn)行在內(nèi)核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹?jì)算機(jī)運(yùn)行的速度與性能。
企業(yè)信息防泄漏更應(yīng)從"底"做起
在企業(yè)信息防泄漏上,底層技術(shù)就有更大的優(yōu)先級(jí)別。例如,在端口控制上,無(wú)論是采用應(yīng)用層技術(shù)手段還是底層技術(shù)手段,我們都會(huì)在設(shè)備管理器中,看到想要管控的設(shè)備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設(shè)備管理器中重新啟用該設(shè)備。雖然,該設(shè)備會(huì)被重新關(guān)閉,但是這種瞬時(shí)的開(kāi)啟,就存在著巨大的泄密風(fēng)險(xiǎn)。然而采用底層技術(shù)手段的管理系統(tǒng),例如目前在該領(lǐng)域較為知名的鼎普內(nèi)網(wǎng)系統(tǒng),綜合用戶雖然可以看到設(shè)備,但是無(wú)法通過(guò)設(shè)備管理器對(duì)該設(shè)備進(jìn)行任何的操作,徹底的實(shí)現(xiàn)了目標(biāo)設(shè)備管控。再例如非法外聯(lián)管控中,眾所周知,實(shí)現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對(duì)互聯(lián)網(wǎng)的特定地址,發(fā)送探測(cè)信號(hào)。這時(shí)就產(chǎn)生了一個(gè)問(wèn)題,這個(gè)探測(cè)信號(hào)可能會(huì)被防火墻攔截!普通技術(shù)實(shí)現(xiàn)的非法外聯(lián)探測(cè)功能,無(wú)法突破防火墻的封鎖,但是基于底層技術(shù)開(kāi)發(fā)的網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng),通過(guò)內(nèi)核模式下的網(wǎng)絡(luò)傳輸層過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn),能夠有效地避免探測(cè)信號(hào)被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個(gè)例子,就是在主機(jī)審計(jì)方面,有很多的技術(shù)都能夠?qū)崿F(xiàn)對(duì)用戶行為的審計(jì)功能,但是,隨著信息技術(shù)的發(fā)展,伴隨而來(lái)的也就是高科技的竊取手段,例如內(nèi)核級(jí)的木馬程序。普通技術(shù)的審計(jì)功能,因?yàn)閷?shí)現(xiàn)在應(yīng)用層面,導(dǎo)致無(wú)法對(duì)內(nèi)核級(jí)的操作行為有任何的感知,也就使得產(chǎn)品的審計(jì)功能形同虛設(shè)。鼎普主機(jī)監(jiān)控與審計(jì)系統(tǒng),針對(duì)內(nèi)核級(jí)的竊取手段,采用內(nèi)核級(jí)的技術(shù)手段,通過(guò)對(duì)windows內(nèi)核加入自主研發(fā)的代碼程序,從而保證對(duì)任何的文件操作行為,及時(shí)發(fā)現(xiàn),準(zhǔn)確記錄。
進(jìn)入21世紀(jì)后,隨著國(guó)內(nèi)信息化程度的快速提高,信息安全越來(lái)越多地受到關(guān)注,信息安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務(wù),但其實(shí)際技術(shù)和內(nèi)容卻千差萬(wàn)別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應(yīng)用層的技術(shù)手段,導(dǎo)致產(chǎn)品自身的安全性差,容易被破解,容易被繞過(guò)。鼎普科技已經(jīng)成長(zhǎng)為信息防泄漏領(lǐng)域的領(lǐng)航企業(yè),長(zhǎng)期服務(wù)于國(guó)家政府、軍隊(duì)和軍工單位,作為國(guó)家信息安全保密戰(zhàn)線的一員,鼎普科技認(rèn)識(shí)到要守衛(wèi)國(guó)家秘密,捍衛(wèi)國(guó)家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術(shù)上的防護(hù)體系,才能更好的守衛(wèi)國(guó)家秘密,保衛(wèi)信息安全!
在引起廣泛關(guān)注的3Q大戰(zhàn)的時(shí)候,有過(guò)這樣一個(gè)小插曲,曾經(jīng)有一個(gè)記者,向馬化騰這樣提問(wèn):為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍用".一個(gè)"民用",一個(gè)"軍用",形象地體現(xiàn)出了應(yīng)用層技術(shù)與底層技術(shù)的巨大差異。那么什么是底層技術(shù)?它又會(huì)給信息防泄漏行業(yè)帶來(lái)什么?
談及底層技術(shù),首先就要從window操作系統(tǒng)的架構(gòu)說(shuō)起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應(yīng)用軟件或應(yīng)用系統(tǒng)提供了公共接口,并負(fù)責(zé)硬件資源的管理和分配。應(yīng)用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來(lái)實(shí)現(xiàn)各種應(yīng)用任務(wù),如果它們要訪問(wèn)硬件,則必須通過(guò)操作系統(tǒng)提供的公共接口來(lái)完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結(jié)構(gòu)來(lái)保護(hù)操作系統(tǒng)本身(如圖1-1),以避免被應(yīng)用程序的錯(cuò)誤所波及。操作系統(tǒng)核心運(yùn)行在內(nèi)核模式(kernel mode)下,應(yīng)用程序運(yùn)行在用戶模式(user mode)下。每當(dāng)應(yīng)用程序需要用到系統(tǒng)內(nèi)核或內(nèi)核的擴(kuò)展模塊(內(nèi)核驅(qū)動(dòng)程序)所提供的服務(wù)時(shí),應(yīng)用程序通過(guò)硬件指令從用戶模式切換到內(nèi)核模式中;當(dāng)系統(tǒng)內(nèi)核完成了所請(qǐng)求的服務(wù)以后,控制權(quán)又回到用戶模式代碼。"用戶模式"和"內(nèi)核模式"是不對(duì)稱的,形象的說(shuō)二者之間不是"井水不犯河水"的關(guān)系,而是井水不能犯河水但河水可以犯井水。
通過(guò)上面對(duì)于window操作系統(tǒng)結(jié)構(gòu)的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應(yīng)用軟件,愈往下愈接近硬件。而包括內(nèi)核在內(nèi)的所有中間層次的作用,則是幫助應(yīng)用軟件更好、更安全、更方便、更有效地利用包括CPU在內(nèi)的硬件資源。而底層技術(shù),所指的就是針對(duì)內(nèi)核模式下運(yùn)行,緊密貼合硬件的文件系統(tǒng),設(shè)備驅(qū)動(dòng)程序,windows內(nèi)核程序的修改與二次開(kāi)發(fā)的技術(shù)。在信息安全防護(hù)系統(tǒng)的防護(hù)目標(biāo)上,無(wú)論是移動(dòng)介質(zhì)管理,還是主機(jī)監(jiān)控審計(jì),以及非法外聯(lián)監(jiān)控,都涉及到了對(duì)硬件的管控。應(yīng)用層的技術(shù)手段在對(duì)硬件技術(shù)進(jìn)行管控時(shí),需要通過(guò)API函數(shù)端口來(lái)實(shí)現(xiàn),然而,API函數(shù)作為應(yīng)用層和內(nèi)核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過(guò)、被卸載或被修改,并且它受內(nèi)核層的控制,導(dǎo)致API函數(shù)自身安全性不佳。而底層技術(shù)則是使用內(nèi)核提供的接口,直接對(duì)硬件進(jìn)行管控,因而與其他技術(shù)手段相比具有以下的優(yōu)勢(shì):
首先,在安全性上,底層技術(shù)手段主要運(yùn)行在內(nèi)核模式下,也就是運(yùn)行于windows后臺(tái),被當(dāng)作操作系統(tǒng)的一部分運(yùn)行來(lái)執(zhí)行,從而無(wú)需啟動(dòng)進(jìn)程,用戶也感知不到驅(qū)動(dòng)的運(yùn)行,與運(yùn)行在應(yīng)用層技術(shù)相比,防繞過(guò),防卸載,更隱蔽,更安全。
其次,在實(shí)時(shí)性上,因?yàn)榈讓蛹夹g(shù)手段與windows操作系統(tǒng)同步運(yùn)行,使得我們可以第一時(shí)間及時(shí)感知用戶的操作行為,包括硬件的插入、啟動(dòng),文件的訪問(wèn)、操作等等,同時(shí)能夠準(zhǔn)確記錄、及時(shí)阻止。
最后,在高效性上,底層技術(shù)手段直接運(yùn)行在內(nèi)核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹?jì)算機(jī)運(yùn)行的速度與性能。
企業(yè)信息防泄漏更應(yīng)從"底"做起
在企業(yè)信息防泄漏上,底層技術(shù)就有更大的優(yōu)先級(jí)別。例如,在端口控制上,無(wú)論是采用應(yīng)用層技術(shù)手段還是底層技術(shù)手段,我們都會(huì)在設(shè)備管理器中,看到想要管控的設(shè)備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設(shè)備管理器中重新啟用該設(shè)備。雖然,該設(shè)備會(huì)被重新關(guān)閉,但是這種瞬時(shí)的開(kāi)啟,就存在著巨大的泄密風(fēng)險(xiǎn)。然而采用底層技術(shù)手段的管理系統(tǒng),例如目前在該領(lǐng)域較為知名的鼎普內(nèi)網(wǎng)系統(tǒng),綜合用戶雖然可以看到設(shè)備,但是無(wú)法通過(guò)設(shè)備管理器對(duì)該設(shè)備進(jìn)行任何的操作,徹底的實(shí)現(xiàn)了目標(biāo)設(shè)備管控。再例如非法外聯(lián)管控中,眾所周知,實(shí)現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對(duì)互聯(lián)網(wǎng)的特定地址,發(fā)送探測(cè)信號(hào)。這時(shí)就產(chǎn)生了一個(gè)問(wèn)題,這個(gè)探測(cè)信號(hào)可能會(huì)被防火墻攔截!普通技術(shù)實(shí)現(xiàn)的非法外聯(lián)探測(cè)功能,無(wú)法突破防火墻的封鎖,但是基于底層技術(shù)開(kāi)發(fā)的網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng),通過(guò)內(nèi)核模式下的網(wǎng)絡(luò)傳輸層過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn),能夠有效地避免探測(cè)信號(hào)被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個(gè)例子,就是在主機(jī)審計(jì)方面,有很多的技術(shù)都能夠?qū)崿F(xiàn)對(duì)用戶行為的審計(jì)功能,但是,隨著信息技術(shù)的發(fā)展,伴隨而來(lái)的也就是高科技的竊取手段,例如內(nèi)核級(jí)的木馬程序。普通技術(shù)的審計(jì)功能,因?yàn)閷?shí)現(xiàn)在應(yīng)用層面,導(dǎo)致無(wú)法對(duì)內(nèi)核級(jí)的操作行為有任何的感知,也就使得產(chǎn)品的審計(jì)功能形同虛設(shè)。鼎普主機(jī)監(jiān)控與審計(jì)系統(tǒng),針對(duì)內(nèi)核級(jí)的竊取手段,采用內(nèi)核級(jí)的技術(shù)手段,通過(guò)對(duì)windows內(nèi)核加入自主研發(fā)的代碼程序,從而保證對(duì)任何的文件操作行為,及時(shí)發(fā)現(xiàn),準(zhǔn)確記錄。
進(jìn)入21世紀(jì)后,隨著國(guó)內(nèi)信息化程度的快速提高,信息安全越來(lái)越多地受到關(guān)注,信息安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務(wù),但其實(shí)際技術(shù)和內(nèi)容卻千差萬(wàn)別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應(yīng)用層的技術(shù)手段,導(dǎo)致產(chǎn)品自身的安全性差,容易被破解,容易被繞過(guò)。鼎普科技已經(jīng)成長(zhǎng)為信息防泄漏領(lǐng)域的領(lǐng)航企業(yè),長(zhǎng)期服務(wù)于國(guó)家政府、軍隊(duì)和軍工單位,作為國(guó)家信息安全保密戰(zhàn)線的一員,鼎普科技認(rèn)識(shí)到要守衛(wèi)國(guó)家秘密,捍衛(wèi)國(guó)家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術(shù)上的防護(hù)體系,才能更好的守衛(wèi)國(guó)家秘密,保衛(wèi)信息安全!
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
