從“底”做起,實現(xiàn)企業(yè)信息防泄漏
什么是底層安全? 在引起廣泛關(guān)注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍
什么是底層安全?
在引起廣泛關(guān)注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現(xiàn)出了應(yīng)用層技術(shù)與底層技術(shù)的巨大差異。那么什么是底層技術(shù)?它又會給信息防泄漏行業(yè)帶來什么?
談及底層技術(shù),首先就要從window操作系統(tǒng)的架構(gòu)說起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應(yīng)用軟件或應(yīng)用系統(tǒng)提供了公共接口,并負(fù)責(zé)硬件資源的管理和分配。應(yīng)用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來實現(xiàn)各種應(yīng)用任務(wù),如果它們要訪問硬件,則必須通過操作系統(tǒng)提供的公共接口來完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結(jié)構(gòu)來保護(hù)操作系統(tǒng)本身(如圖1-1),以避免被應(yīng)用程序的錯誤所波及。操作系統(tǒng)核心運行在內(nèi)核模式(kernel mode)下,應(yīng)用程序運行在用戶模式(user mode)下。每當(dāng)應(yīng)用程序需要用到系統(tǒng)內(nèi)核或內(nèi)核的擴(kuò)展模塊(內(nèi)核驅(qū)動程序)所提供的服務(wù)時,應(yīng)用程序通過硬件指令從用戶模式切換到內(nèi)核模式中;當(dāng)系統(tǒng)內(nèi)核完成了所請求的服務(wù)以后,控制權(quán)又回到用戶模式代碼。"用戶模式"和"內(nèi)核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關(guān)系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統(tǒng)結(jié)構(gòu)的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應(yīng)用軟件,愈往下愈接近硬件。而包括內(nèi)核在內(nèi)的所有中間層次的作用,則是幫助應(yīng)用軟件更好、更安全、更方便、更有效地利用包括CPU在內(nèi)的硬件資源。而底層技術(shù),所指的就是針對內(nèi)核模式下運行,緊密貼合硬件的文件系統(tǒng),設(shè)備驅(qū)動程序,windows內(nèi)核程序的修改與二次開發(fā)的技術(shù)。在信息安全防護(hù)系統(tǒng)的防護(hù)目標(biāo)上,無論是移動介質(zhì)管理,還是主機(jī)監(jiān)控審計,以及非法外聯(lián)監(jiān)控,都涉及到了對硬件的管控。應(yīng)用層的技術(shù)手段在對硬件技術(shù)進(jìn)行管控時,需要通過API函數(shù)端口來實現(xiàn),然而,API函數(shù)作為應(yīng)用層和內(nèi)核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內(nèi)核層的控制,導(dǎo)致API函數(shù)自身安全性不佳。而底層技術(shù)則是使用內(nèi)核提供的接口,直接對硬件進(jìn)行管控,因而與其他技術(shù)手段相比具有以下的優(yōu)勢:
首先,在安全性上,底層技術(shù)手段主要運行在內(nèi)核模式下,也就是運行于windows后臺,被當(dāng)作操作系統(tǒng)的一部分運行來執(zhí)行,從而無需啟動進(jìn)程,用戶也感知不到驅(qū)動的運行,與運行在應(yīng)用層技術(shù)相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術(shù)手段與windows操作系統(tǒng)同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準(zhǔn)確記錄、及時阻止。
最后,在高效性上,底層技術(shù)手段直接運行在內(nèi)核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹嬎銠C(jī)運行的速度與性能。
企業(yè)信息防泄漏更應(yīng)從"底"做起
在企業(yè)信息防泄漏上,底層技術(shù)就有更大的優(yōu)先級別。例如,在端口控制上,無論是采用應(yīng)用層技術(shù)手段還是底層技術(shù)手段,我們都會在設(shè)備管理器中,看到想要管控的設(shè)備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設(shè)備管理器中重新啟用該設(shè)備。雖然,該設(shè)備會被重新關(guān)閉,但是這種瞬時的開啟,就存在著巨大的泄密風(fēng)險。然而采用底層技術(shù)手段的管理系統(tǒng),例如目前在該領(lǐng)域較為知名的鼎普內(nèi)網(wǎng)系統(tǒng),綜合用戶雖然可以看到設(shè)備,但是無法通過設(shè)備管理器對該設(shè)備進(jìn)行任何的操作,徹底的實現(xiàn)了目標(biāo)設(shè)備管控。再例如非法外聯(lián)管控中,眾所周知,實現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對互聯(lián)網(wǎng)的特定地址,發(fā)送探測信號。這時就產(chǎn)生了一個問題,這個探測信號可能會被防火墻攔截!普通技術(shù)實現(xiàn)的非法外聯(lián)探測功能,無法突破防火墻的封鎖,但是基于底層技術(shù)開發(fā)的網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng),通過內(nèi)核模式下的網(wǎng)絡(luò)傳輸層過濾驅(qū)動實現(xiàn),能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個例子,就是在主機(jī)審計方面,有很多的技術(shù)都能夠?qū)崿F(xiàn)對用戶行為的審計功能,但是,隨著信息技術(shù)的發(fā)展,伴隨而來的也就是高科技的竊取手段,例如內(nèi)核級的木馬程序。普通技術(shù)的審計功能,因為實現(xiàn)在應(yīng)用層面,導(dǎo)致無法對內(nèi)核級的操作行為有任何的感知,也就使得產(chǎn)品的審計功能形同虛設(shè)。鼎普主機(jī)監(jiān)控與審計系統(tǒng),針對內(nèi)核級的竊取手段,采用內(nèi)核級的技術(shù)手段,通過對windows內(nèi)核加入自主研發(fā)的代碼程序,從而保證對任何的文件操作行為,及時發(fā)現(xiàn),準(zhǔn)確記錄。
進(jìn)入21世紀(jì)后,隨著國內(nèi)信息化程度的快速提高,信息安全越來越多地受到關(guān)注,信息安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務(wù),但其實際技術(shù)和內(nèi)容卻千差萬別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應(yīng)用層的技術(shù)手段,導(dǎo)致產(chǎn)品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經(jīng)成長為信息防泄漏領(lǐng)域的領(lǐng)航企業(yè),長期服務(wù)于國家政府、軍隊和軍工單位,作為國家信息安全保密戰(zhàn)線的一員,鼎普科技認(rèn)識到要守衛(wèi)國家秘密,捍衛(wèi)國家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術(shù)上的防護(hù)體系,才能更好的守衛(wèi)國家秘密,保衛(wèi)信息安全!
在引起廣泛關(guān)注的3Q大戰(zhàn)的時候,有過這樣一個小插曲,曾經(jīng)有一個記者,向馬化騰這樣提問:為什么不技術(shù)屏蔽360?而馬化騰是這樣回答的:我是應(yīng)用層,它是底層!相當(dāng)于我是"民用",它是"軍用".一個"民用",一個"軍用",形象地體現(xiàn)出了應(yīng)用層技術(shù)與底層技術(shù)的巨大差異。那么什么是底層技術(shù)?它又會給信息防泄漏行業(yè)帶來什么?
談及底層技術(shù),首先就要從window操作系統(tǒng)的架構(gòu)說起。
Window操作系統(tǒng)本身屬于軟件的范疇,但是它需要緊密地跟硬件打交道,它為上層應(yīng)用軟件或應(yīng)用系統(tǒng)提供了公共接口,并負(fù)責(zé)硬件資源的管理和分配。應(yīng)用軟件不需要直接跟硬件打交道,它們利用操作系統(tǒng)提供的接口來實現(xiàn)各種應(yīng)用任務(wù),如果它們要訪問硬件,則必須通過操作系統(tǒng)提供的公共接口來完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性,Windows采用了雙模式(dual mode)結(jié)構(gòu)來保護(hù)操作系統(tǒng)本身(如圖1-1),以避免被應(yīng)用程序的錯誤所波及。操作系統(tǒng)核心運行在內(nèi)核模式(kernel mode)下,應(yīng)用程序運行在用戶模式(user mode)下。每當(dāng)應(yīng)用程序需要用到系統(tǒng)內(nèi)核或內(nèi)核的擴(kuò)展模塊(內(nèi)核驅(qū)動程序)所提供的服務(wù)時,應(yīng)用程序通過硬件指令從用戶模式切換到內(nèi)核模式中;當(dāng)系統(tǒng)內(nèi)核完成了所請求的服務(wù)以后,控制權(quán)又回到用戶模式代碼。"用戶模式"和"內(nèi)核模式"是不對稱的,形象的說二者之間不是"井水不犯河水"的關(guān)系,而是井水不能犯河水但河水可以犯井水。
通過上面對于window操作系統(tǒng)結(jié)構(gòu)的介紹,我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應(yīng)用軟件,愈往下愈接近硬件。而包括內(nèi)核在內(nèi)的所有中間層次的作用,則是幫助應(yīng)用軟件更好、更安全、更方便、更有效地利用包括CPU在內(nèi)的硬件資源。而底層技術(shù),所指的就是針對內(nèi)核模式下運行,緊密貼合硬件的文件系統(tǒng),設(shè)備驅(qū)動程序,windows內(nèi)核程序的修改與二次開發(fā)的技術(shù)。在信息安全防護(hù)系統(tǒng)的防護(hù)目標(biāo)上,無論是移動介質(zhì)管理,還是主機(jī)監(jiān)控審計,以及非法外聯(lián)監(jiān)控,都涉及到了對硬件的管控。應(yīng)用層的技術(shù)手段在對硬件技術(shù)進(jìn)行管控時,需要通過API函數(shù)端口來實現(xiàn),然而,API函數(shù)作為應(yīng)用層和內(nèi)核層的連接部分,由于需要照顧使用的廣泛性,所以很容易被繞過、被卸載或被修改,并且它受內(nèi)核層的控制,導(dǎo)致API函數(shù)自身安全性不佳。而底層技術(shù)則是使用內(nèi)核提供的接口,直接對硬件進(jìn)行管控,因而與其他技術(shù)手段相比具有以下的優(yōu)勢:
首先,在安全性上,底層技術(shù)手段主要運行在內(nèi)核模式下,也就是運行于windows后臺,被當(dāng)作操作系統(tǒng)的一部分運行來執(zhí)行,從而無需啟動進(jìn)程,用戶也感知不到驅(qū)動的運行,與運行在應(yīng)用層技術(shù)相比,防繞過,防卸載,更隱蔽,更安全。
其次,在實時性上,因為底層技術(shù)手段與windows操作系統(tǒng)同步運行,使得我們可以第一時間及時感知用戶的操作行為,包括硬件的插入、啟動,文件的訪問、操作等等,同時能夠準(zhǔn)確記錄、及時阻止。
最后,在高效性上,底層技術(shù)手段直接運行在內(nèi)核模式下,從而做到全局控制所有的操作行為,并且?guī)缀醪挥绊懹嬎銠C(jī)運行的速度與性能。
企業(yè)信息防泄漏更應(yīng)從"底"做起
在企業(yè)信息防泄漏上,底層技術(shù)就有更大的優(yōu)先級別。例如,在端口控制上,無論是采用應(yīng)用層技術(shù)手段還是底層技術(shù)手段,我們都會在設(shè)備管理器中,看到想要管控的設(shè)備。但有區(qū)別的是,普通的管控手段,我們的用戶依然可以在設(shè)備管理器中重新啟用該設(shè)備。雖然,該設(shè)備會被重新關(guān)閉,但是這種瞬時的開啟,就存在著巨大的泄密風(fēng)險。然而采用底層技術(shù)手段的管理系統(tǒng),例如目前在該領(lǐng)域較為知名的鼎普內(nèi)網(wǎng)系統(tǒng),綜合用戶雖然可以看到設(shè)備,但是無法通過設(shè)備管理器對該設(shè)備進(jìn)行任何的操作,徹底的實現(xiàn)了目標(biāo)設(shè)備管控。再例如非法外聯(lián)管控中,眾所周知,實現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷,需要對互聯(lián)網(wǎng)的特定地址,發(fā)送探測信號。這時就產(chǎn)生了一個問題,這個探測信號可能會被防火墻攔截!普通技術(shù)實現(xiàn)的非法外聯(lián)探測功能,無法突破防火墻的封鎖,但是基于底層技術(shù)開發(fā)的網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng),通過內(nèi)核模式下的網(wǎng)絡(luò)傳輸層過濾驅(qū)動實現(xiàn),能夠有效地避免探測信號被防火墻攔截,從而保證非法外聯(lián)的有效性。還有一個例子,就是在主機(jī)審計方面,有很多的技術(shù)都能夠?qū)崿F(xiàn)對用戶行為的審計功能,但是,隨著信息技術(shù)的發(fā)展,伴隨而來的也就是高科技的竊取手段,例如內(nèi)核級的木馬程序。普通技術(shù)的審計功能,因為實現(xiàn)在應(yīng)用層面,導(dǎo)致無法對內(nèi)核級的操作行為有任何的感知,也就使得產(chǎn)品的審計功能形同虛設(shè)。鼎普主機(jī)監(jiān)控與審計系統(tǒng),針對內(nèi)核級的竊取手段,采用內(nèi)核級的技術(shù)手段,通過對windows內(nèi)核加入自主研發(fā)的代碼程序,從而保證對任何的文件操作行為,及時發(fā)現(xiàn),準(zhǔn)確記錄。
進(jìn)入21世紀(jì)后,隨著國內(nèi)信息化程度的快速提高,信息安全越來越多地受到關(guān)注,信息安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務(wù),但其實際技術(shù)和內(nèi)容卻千差萬別。眾多的安全產(chǎn)品都能提供類似的功能,但是,其中的大多數(shù)都僅僅是采用了應(yīng)用層的技術(shù)手段,導(dǎo)致產(chǎn)品自身的安全性差,容易被破解,容易被繞過。鼎普科技已經(jīng)成長為信息防泄漏領(lǐng)域的領(lǐng)航企業(yè),長期服務(wù)于國家政府、軍隊和軍工單位,作為國家信息安全保密戰(zhàn)線的一員,鼎普科技認(rèn)識到要守衛(wèi)國家秘密,捍衛(wèi)國家利益,就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"!相信只有建立在底層技術(shù)上的防護(hù)體系,才能更好的守衛(wèi)國家秘密,保衛(wèi)信息安全!
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
