刍议虚拟补丁技术

摘 要

伴随着电力系统现代计算机技术发展迅速，新型攻击技术和手段层出不穷。而利用系统漏洞，窃取机要信息、实施破坏，远程监控，植入病毒等最常见的安全问题，通常都是由于没有及时安装安全和系统补丁导致。本文提出一种新的技术或新的安全解决方案，来应对由于系统漏洞而引发的安全风险。从而保障电力终端微机的安全防护水平。通过在实际电力信息系统中的部署和应用，检验了虚拟补丁技术的有效性。

【关键词】虚拟补丁 虚拟化 信息安全风险 漏洞

1 定义

随着计算机网络的普遍应用，信息安全问题日渐突出，操作系统和应用程序的漏洞层出不穷，面对规模庞大的黑客攻击漏洞，传统的IT补丁流程已经不能够快速的修补漏洞，给系统带来的是更多的威胁。

随着信息技术尤其是互联网技术的发展，企业的各项业务规模呈井喷式发展，使得对信息计算和存储的需求进一步扩大，同时对信息安全防护思路、信息安全体系的前瞻性、安全防护体系的可扩展性等方面也提出了新的要求。现有的安全防护手段及技术能力无法很好的解决由漏洞引起的巨大安全风险。我们必须引入新型的虚拟补丁技术来阻断漏洞产生的安全风险，从而提升对终端计算机的保护。如图1所示。

所谓虚拟补丁技术，是指通过检测入站的流量，对漏洞攻击的网络数据流进行深层次地分析，达到对应用程序和操作系统中漏洞防护的目的。它是一种基于主机的安全功能，防护在未对漏洞进行永久补丁修复之前。同时，该技术融合了零日公布的漏洞防护信息和补丁通知，可第一时间获得最新漏洞信息，更有利于防护工作。它实现快速的安全规则部署，统一管理，使主机获得第一时间安全防护，并持续提供保o，直到相应的安全补丁安装。

2 风险分析

CVE为入侵者打开了大门，源于它公布的超过2000个的数据库安全漏洞。数据库厂商会定期的推出漏洞补丁，考虑数据库修补工作的复杂性及稳定性，多数企业无法及时更新补丁。通常还会遇到更糟糕情况：上一个严重漏洞还没有补完，新的补丁程序又要更新了。对于企业而言，在任何一个补丁的“空档期”，其安全架构都是很脆弱的，容易被攻击的。

频繁地发现修复漏洞工作耗费大量人工、时间和成本的同时，还需要随时提防数据泄露，时可能还会因为兼容性问题出现“死机或者蓝屏”状况 ，必须让计算机系统随时做好“回滚”的准备。

伴随着现代计算机技术发展迅速，新型攻击技术和手段层出不穷。利用系统漏洞，窃取机要信息、实施破坏，远程监控，植入病毒等最常见的安全问题，通常都是由于没有及时安装安全和系统补丁导致。随着Windows XP在2014年停止安全更新，新的安全漏洞将无法得到修复，这对于电力系统中仍在使用Windows XP系统的单位无疑是一个重大的挑战，安全问题不可忽视。

结合当前安全威胁形势和同行业应用经验，我们了解到，针对系统的漏洞折射出来的安全风险主要包括：

需要花费数周或数月的时间来充分成果补丁外；

需要验证补丁与第三软件的兼容性，可能会影响老旧的应用系统的正常使用；

漏洞被公布但是厂家还没提供补丁，可能受到Zero-day攻击；

终端计算机如果安装补丁后的重新启动会造成业务中断；

系统或应用厂家已经停止提供补丁（例如：微软停止Windows 2000，Windows XP的支持），使得新出现的系统漏洞再也无法得到厂家的安全补丁修复。

因此我们迫切需要一种新的技术或新的安全解决方案，来应对由于系统漏洞而引发的安全风险。从而保障电力终端微机的安全防护水平。

3 实现功能

以终端虚拟补丁持续对操作系统和应用程序的漏洞防护：虚拟补丁技术可凭借其坚实可靠的漏洞防护，在系统漏洞补丁还未或不再时无限期地保护终端计算机，同时也可以有效的保护用户的计算机免受攻击。

虚拟补丁运行在 Windows操作系统与应用程序的外层，独立检查进入到系统之前的数据并过滤针对漏洞的威胁。换句话说，虚拟补丁技术不需要更改已终止支持的操作系统就能做到有效的漏洞防护，大大降低了风险。为了确保使用 Windows XP 客户的系统安全，提供虚拟补丁技术的厂商将持续与国际安全机构合作投资 Windows XP 漏洞的侦测与研发。

虚拟补丁技术主要功能包含：

（1）利用主机入侵防御系统 （HIPS） 规则抵挡已知漏洞 ；

（2）利用行为分析与自学能力阻止新威胁 ；

（3）利用首屈一指的成熟恶意软件防护防止漏洞被利用 ；

（4）虚拟补丁同时适用于物理桌面和虚拟桌面 ；

（5）应用程序白名单功能可根据名称、路径或证书来允许和阻止（拉黑）应用程序；

（6）高级应用程序白名单功能还可以将云模式应用程序数据库（软件认证服务）中的应用程序划分为不同类别；

（7）系统锁定可以通过防止执行任何新的应用程序来加固最终用户系统；

（8）用户自主开发的应用程序白名单功能可以允许和阻止客户应用程序和不明应用程序。

虚拟补丁方案，可以让IT 部门以有序方式安排补丁工作，这为安排补丁优先级、永久修复补丁和软件源代码修正都争取了时间。在应对零日（0day）攻击方面，这项技术在厂商未推出正式补丁之前，以及不再提供商业支持的旧版软件（或许永久都不会出现补丁）提供相应的漏洞攻击防护。

虚拟补丁技术成果形式：

（1）实现对内网终端计算机系统和应用的补丁防护，避免受到漏洞攻击；

（2）不影响现有补丁管理安装流程，对于已经安装了系统补丁的计算机，虚拟补丁技术会对其进行扫描侦测，不会造成二次防护；

（3）简易化的管理，虚拟补丁技术主要是由策略形式防护，所以在补丁的下发和收回过程可以非常迅速，便于管理及维护。

4 技术原理

虚拟补丁技术提供一种安全防护功能，它基于主机底层，在系统或者应用程序漏洞未得到永久性修复之前，它的工作原理是深度的分析网络数据流，对入站的流量进行监测并保护应用程序或系统免受网络攻击。除此之外，它还整合了全球多项第一时间公布的漏洞防护和补丁通知，可以通过深度包检测模块，实时地监测流量和系统的应用情况，进而自动发现操作系统和应用程序中的漏洞，从而进行防护。如图2所示。

虚拟补丁是把 IPS 技术应用到主机上，针对单一系统的漏洞与应用防护。与漏洞应用相同，漏洞的攻击也会应用特定的协议，虚拟补丁技术通过扫描进入主机的数据包（根据数据包的特征，包括IP、端口、协议、数据内容） 来判别其攻击性，进而发现漏洞，对终端系统和应用程序进行有效防护。

4.1 虚拟补丁与传统补丁的区别

与传统补丁技术不同，虚拟补丁技术是运行于操作系统和应用程序的外层，能够独立检查进入操作系统以及应用程序之前的数据，并过滤掉可能对系统存在威胁的数据。两者对比情况如表1所示。

虚拟补丁技术可以弥补传统软件修补补丁的不足，表现在以下几个方面：

4.1.1 防护速度

在已知漏洞公布的几小时内，虚拟补丁技术可以提供有效的防护。

4.1.2 按部就班的 IT 修补步骤

虚拟补丁可为IT 运维人员研究、测试部署传统的修补程序争取时间。

4.1.3 降低对操作系统与应用程序的干扰

虚拟补丁会根据主机导向的规则来检查并净化网络流量，有效地修正或拦截可能攻击漏洞的应用程序。部署或卸除规则完全不影响核心作业系统，若出现问题，关闭规则即可。

4.1.4 降低升级成本，延长老旧系统使用年限

虚拟补丁可以对已经没有修补程序或者没有软件升级的老旧应用程序或操作系统进行保护。

4.2 价值分析

如若IT运维人员想要摆脱补丁安全防护的困境，虚拟补丁技术无疑是最佳解决方案，它通过控制应用程序以及操作系统的输入输出，进而消除或者改变漏洞。那么虚拟补丁到底能够帮助电力系统解决什么问题？我们来看一下：

（1）为停止支持的操作系统和应用程序提供补丁防护，从而延长其使用寿命，节省成本。如微软不再维护Windows XP系统，还有很多人使用，可以使用虚拟补丁技术为其防御漏洞。

（2）它可以解决由于更打补丁造成的业务中断和蓝屏等现象，从而降低了IT运维风险。服务器的补丁部署，往往需要重新启动，会造成业务中断，甚至造成系统蓝屏等现象。使用此技术可避免此问题，降低风险。

（3 ）解决非Windows系统漏洞威胁。服务器大多使用Linux、Solaris等非Windows系统，近些年来被发现越来越多系统漏洞，虚拟补丁可以对这些系统提供漏洞保护，从而减少盲点。

（4）反应快速，可缓解关键服务器和桌面暴露于新漏洞威胁的情况，有效避免泄露事件发生。虚拟补丁可快速获取最新的漏洞信息，并进行有效防护。

（5）降低运维成本。安全漏洞补丁需要经过开发、测试、、部署等过程，必须要在非工作时间进行，耗费了大量时间和成本，而虚拟补丁不涉及此问题，降低运维成本。

针对目前漏洞攻击事件的危害性和实时性，我们列举两个近期发生的漏洞攻击事件。

案例分享1：2014年4月10日互联网爆发了被称为“心脏出血”式的严重安全事件。SSL（Secure Sockets Layer 安全套接层）协议是为网络通信提供安全及数据完整性的一种安全协议，也是互联网上最大的“门锁”。而此次曝出的OPENSSL漏洞让这个“门锁”形同虚设。

OPENSSL 是一个应用广泛的开源跨平台工具包（代码库），用以实现SSL /TSL 协议 。此次的漏洞使入侵者即使没有“钥匙”也可以畅通无阻的反复读取服务器内存中的64K信息，可直接获取用户的账户密码、电子邮件等重要信息。最新完成的扫描数据显示，全国160万个443端口中，有3.3万个受到本次OpenSSL漏洞影响。更严重的是，OpenSSL常用于电商、网银等安全性极高的网站。漏洞一旦被恶意利用，将给用户的网络金融资产带来极为严重的威胁。虚拟补丁，可以帮助用户避免重要数据泄露。

“这个漏洞针对使用了Open SSL的Web服务器的内存泄漏漏洞，攻击者可以通过构造恶意代码直接从目标服务器读取内存信息，每次可读取64k的数据 ，并可反复读取，这使得网络黑客可以从多次读取中拼凑出有重大价值的数据。据趋势科技监测，此次漏洞影响的SSL版本为1.0.1，我们建议还在使用该版本Open SSL的用户务必要尽快升级，以避免被不法分子找到可乘之机。”

案例分享2：US-CERT 于9月24日公布了一个严重的 Bash 安全漏洞（名称为Shellshock） ，相关的漏洞编号为CVE-2014-6271 和CVE-2014-7169。

该漏洞是由于BASH在处理环境变量时，对用户的输入没有进行正确处理引发的。鉴于Bash是一个在Linux，BSD，MAC OS X中普遍使用的开源命令行外壳，而该漏洞可能导致程序代码被远程执行，其影响可能比“心脏出血”更严重。

由于Linux被广泛使用在互联网、安卓手机和物联网中使用，使该漏洞的覆盖范围非常广，另外远程代码执行使该漏洞的可造成明显的危害，且漏洞的利用也非常简单。所有linux系统都有此漏洞，虚拟补丁可以帮助所有linux系统进行漏洞防护。

通过以上案例可以看出虚拟补丁可以帮助用户在威胁来源之后第一时间解决漏洞攻击的防护。为了满足合规要求，电力企业单位都有对于补丁管理的要求，国网也有规定。所以系统和应用必须要及时解决漏洞问题。使用虚拟补丁技术可以最快速的让你满足要求。

5 结束语

虚拟补丁区实际上在一定程度上降低了企业的服务应用程序的风险，提升了企业对系统的使用年限，有效的降低了企业的IT运维成本。

非常确认的是，虚拟补丁技术是一个极具有远观价值以及实用性的新型防漏洞技术，能够减少企业和补丁厂商的时间间隔，为补丁更新争取时间。虽然虚拟补丁技g并不能完全替代传统的打补丁的过程，但是从企业的安全角度而言，虚拟补丁技术为我们实时了解操作系统以及应用程序供应商的补丁和漏洞情况提供了一条便捷通道，在官方补丁还没有出来之前，关闭攻击者的机会窗 。

参考文献

[1]大幅降低人力成本虚拟补丁阻击，零日攻击[J].中国计算机报，2005.

作者单位

国网河北省电力公司信息通信分公司 河北省石家庄市 050021