加固技术保障操作系统安全

操作系统安全事故引发的后果令人惶恐不安。针对国家的关键基础设施或工业控制系统的“火焰”、“qudu”、“震网”等病毒，至今让人闻之色变。“这些病毒都跟操作系统密切相关。” 深圳市安盾椒图科技有限公司（简称椒图科技）常务副总经理李科在接受本报记者专访时表示，“这些恶意代码的变形能力、隐藏能力十分强大，只能在事后才能被捕获到，在他进行攻击时，大多数基于特征库的解决方案都没有用。”

面对操作系统攻击我们只能束手就擒？

升级漏洞不现实

在我国信息安全等级保护要求的物理层、网络层、主机层、应用层和管理层安全中，主机层是目前最薄弱的环节。“其他层面都有很成熟的产品来应对，但是主机层做得还不够。”李科向记者介绍。

这种现状原因何在？“首先，操作系统全是国外的产品，在没有源代码的情况下对其进行二次开发，属于侵权行为；其次，对操作系统进行内核的加固具有很高的技术门槛。”李科认为，后者是操作系统安全面临的主要问题。

对个人电脑而言，用户只要及时修复系统漏洞，给系统打补丁，就能保证安全。但在服务器端，这并非易事。一些服务器性能老旧，打补丁对系统性能和关键业务都会产生很大影响，甚至可能因此而瘫痪。李科认为，即便服务器性能足以支撑频繁的补丁更新，也可能面临没有补丁可更新的尴尬。“一些客户的服务器操作系统是Windows 2000，而微软已停止对Windows 2000的技术支持。但是客户却因为业务关键性等因素对旧版操作系统依赖性强，很难把操作系统升级为更新的版本。”

一方面是服务器性能和安全防护能力差，另一方面是安全威胁层出不穷，企业的应对能力不足。正如李科所言，零日攻击的数量越来越多，严重级别越来越高，出现的时间越来越短，散播速度越来越快，攻击对象越来越有针对性。“但大多数防火墙只能拦截部分攻击，针对操作系统的零日攻击有时能跨网段。比如在网络联通时发作，网络不联通时不发作。它有这种穿越的能力，基于边界和特征库的防护对它没有意义。”因此，企业对操作系统攻击感到束手无策，一些中小企业甚至根本不知道问题的症结所在。

给每个“房间”装上“门”

如何有效防御操作系统攻击？如果将操作系统看作是一个仓库，传统解决方案只是在加固“门”和“围墙”，黑客一旦突破，就能为所欲为。但是，椒图科技希望给每个“房间”也安装上“门”。“我们利用隔离和访问控制等技术，通过加固的方式，将邮件服务器、OA服务器、数据库服务器等隔离开。”李科称，通过JHSE椒图主机安全环境系统，企业即使不给服务器打补丁，也可以让黑客无法再利用漏洞获取相关权限，不能展开攻击。这意味着即使漏洞依然存在，也不会对操作系统造成任何威胁。

当主机安全威胁发生时，IT人员经常会无从下手，因为数据已经全部被删除，甚至主机上的日志也被删掉了。此时，JHSE椒图主机安全环境系统能帮用户追踪问题来源。李科介绍说：“用户无需修改密码，或者采取其他措施，只要保持原样，并且部署我们的产品，不会影响企业现有业务。只要再有人想破坏文件或想清掉日志，我们就可以追踪到他，并且阻止其对系统进行攻击。”

在云计算、虚拟化的环境下，跟网络安全一样，操作系统安全的形势同样严峻。椒图科技的优势这时候就显现出来。“我们的主机安全环境系统是一个耦合度很高的产品，可以跟不同的操作绑定在一起，不管是虚拟的操作系统还是真实的服务器。”李科称椒图科技对未来的虚拟化安全非常有信心，“我们正在尝试在云计算平台建设初期，就直接让每一个虚拟出来的操作系统里都包含安全加固的模块或技术。一旦实现这个目标，每一个虚拟化出来的操作系统都将是B1级的操作系统。”