2021年是“十四五”開(kāi)局之年,中央經(jīng)濟(jì)工作會(huì)議指出,信創(chuàng)產(chǎn)業(yè)是重塑中國(guó)IT產(chǎn)業(yè)基礎(chǔ)、加快發(fā)展現(xiàn)代產(chǎn)業(yè)體系、推動(dòng)經(jīng)濟(jì)體系優(yōu)化升級(jí)的重要力量。由于目前我國(guó)重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心產(chǎn)品絕大多數(shù)來(lái)自國(guó)外,加上近年來(lái)發(fā)生的芯片斷供、微軟多個(gè)操作系統(tǒng)停服、棱鏡門(mén)等重大事件,都在給我國(guó)信息化建設(shè)敲響安全警鐘。因此國(guó)家將信創(chuàng)產(chǎn)業(yè)列為“十四五”規(guī)劃發(fā)展的重要抓手。
在國(guó)際形勢(shì)和相關(guān)政策的推動(dòng)下,黨政信創(chuàng)訂單紛紛落地,三大運(yùn)營(yíng)商不約而同選擇集采國(guó)產(chǎn)化服務(wù)器,中國(guó)信創(chuàng)產(chǎn)業(yè)進(jìn)入高速增長(zhǎng)期。對(duì)于信創(chuàng)產(chǎn)業(yè)而言,國(guó)產(chǎn)CPU是“芯”,國(guó)產(chǎn)操作系統(tǒng)是“魂”,雖然國(guó)產(chǎn)操作系統(tǒng)正在快速崛起,黨政、金融、運(yùn)營(yíng)商、交通、能源等重要行業(yè)也逐步啟動(dòng)信創(chuàng)替代之路,但是黑客攻擊、后門(mén)、勒索病毒等安全威脅并沒(méi)有因此消失,尤其是在服務(wù)器安全領(lǐng)域,還在存在著較大的供需缺口。
信創(chuàng)適配對(duì)于服務(wù)器安全產(chǎn)品而言尤為艱難
據(jù)奇安信虛擬化安全事業(yè)部負(fù)責(zé)人馮顧介紹,不同于旁路接入設(shè)備,服務(wù)器安全產(chǎn)品需要在服務(wù)器上部署,在實(shí)現(xiàn)安全防護(hù)同時(shí),要最大限度的保證系統(tǒng)和應(yīng)用的兼容性、不影響業(yè)務(wù)的正常運(yùn)行,因此在信創(chuàng)平臺(tái)重構(gòu)完底層代碼后,還需要對(duì)每個(gè)信創(chuàng)系統(tǒng)的發(fā)行版本做適配,目前光是信創(chuàng)操作系統(tǒng)的大小發(fā)行版本就有幾十個(gè),所以市面上除了奇安信虛擬化產(chǎn)品外,很少看的到能滿足信創(chuàng)需求的服務(wù)器安全產(chǎn)品。得益于虛擬化安全團(tuán)隊(duì)在服務(wù)器安全領(lǐng)域積累的深厚開(kāi)發(fā)經(jīng)驗(yàn),目前一個(gè)新操作系統(tǒng)的適配1周左右就能完成適配和測(cè)試,加上和信創(chuàng)操作系統(tǒng)開(kāi)發(fā)廠商一直保持緊密的合作關(guān)系,所以基本上每個(gè)新版本發(fā)出,虛擬化安全產(chǎn)品很快能實(shí)現(xiàn)適配兼容,將安全空窗期縮到最短。
信創(chuàng)業(yè)務(wù)環(huán)境要關(guān)注的安全風(fēng)險(xiǎn)
馮顧認(rèn)為,信創(chuàng)改變的是底層架構(gòu),但上層的業(yè)務(wù)邏輯總體沒(méi)有太大變化,對(duì)于服務(wù)器安全而言,需要重點(diǎn)關(guān)注的仍是系統(tǒng)安全、應(yīng)用安全、網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)、惡意代碼防范這5個(gè)層面。
① 信創(chuàng)系統(tǒng)安全
國(guó)產(chǎn)化操作系統(tǒng)起步晚于國(guó)外,因此在自身安全和安全生態(tài)建設(shè)上還有比較長(zhǎng)的路要走,存在出現(xiàn)高危漏洞的概率,虛擬化安全解決思路是:第一步,摸清資產(chǎn)家底,比如客戶哪些機(jī)器裝了麒麟、哪些裝了歐拉、對(duì)應(yīng)的版本是什么,可以自動(dòng)化的識(shí)別出來(lái),如果某個(gè)特定的版本出現(xiàn)漏洞,可以快速的排查;第二步,做好漏洞管理,以全局視角去看漏洞的整體情況并給出整改建議;第三步,對(duì)于官方還未發(fā)布修復(fù)方案的系統(tǒng)及應(yīng)用漏洞,可以利用產(chǎn)品的入侵防御機(jī)制下發(fā)虛擬補(bǔ)丁,無(wú)需重啟服務(wù)器即可實(shí)現(xiàn)對(duì)漏洞利用的防護(hù),從而實(shí)現(xiàn)虛實(shí)結(jié)合,多層級(jí)的漏洞利用防護(hù);第四步,在系統(tǒng)層還建立了應(yīng)用權(quán)限控制、文件完整性監(jiān)控等安全機(jī)制,以防御漏洞利用成功后的進(jìn)一步操作。
② 信創(chuàng)應(yīng)用安全
根據(jù)CNVD最新報(bào)告,應(yīng)用程序漏洞數(shù)量占2021年Q1總數(shù)的61%,因此應(yīng)用程序的漏洞需要重點(diǎn)關(guān)注,尤其是web應(yīng)用漏洞,最受黑客喜愛(ài)和追捧,因此虛擬化安全在服務(wù)器本地內(nèi)置入侵防御模塊,通過(guò)代理http請(qǐng)求匹配流量檢測(cè)規(guī)則,可以有效發(fā)現(xiàn)SQL注入、XSS等常見(jiàn)網(wǎng)絡(luò)攻擊。另外,針對(duì)黑客常用的webshell類惡意文件,虛擬化安全在服務(wù)器本地建立強(qiáng)大的檢測(cè)引擎,結(jié)合威脅情報(bào)可以實(shí)現(xiàn)精準(zhǔn)識(shí)別和利用阻斷。
③ 網(wǎng)絡(luò)訪問(wèn)控制
目前惡意訪問(wèn)大概分為兩種類型:阻斷型和入侵型。阻斷型惡意訪問(wèn)的如DDOS和CC,主要目的是消耗服務(wù)器的帶寬、CPU、內(nèi)存等資源,讓正常訪問(wèn)受阻,針對(duì)這類攻擊,虛擬化安全采用了DPI(深度包檢測(cè))技術(shù),可以智能識(shí)別惡意流量,并實(shí)現(xiàn)清洗或流量轉(zhuǎn)發(fā);入侵型的惡意流量主要是為了實(shí)現(xiàn)服務(wù)器間的橫向移動(dòng),從而進(jìn)一步入侵或傳播惡意代碼,虛擬化安全采用微隔離和流可視化技術(shù),可以將服務(wù)器間的流量可視化呈現(xiàn),并基于服務(wù)器分布式防火墻技術(shù),對(duì)進(jìn)出網(wǎng)流量進(jìn)行雙向管控,從而有效限制惡意流量的東西向橫向擴(kuò)散。
④ 入侵檢測(cè)
黑客入侵服務(wù)器后會(huì)留下指紋和線索,虛擬化安全通過(guò)本地的入侵檢測(cè)引擎、云端的大數(shù)據(jù)日志分析引擎&威脅情報(bào),以及來(lái)自奇安信集團(tuán)其他安全能力的聯(lián)動(dòng),可以有效回溯黑客的入侵點(diǎn)和入侵軌跡,實(shí)現(xiàn)高效識(shí)別、全面復(fù)盤(pán)。
⑤ 惡意代碼防范
不少勒索病毒、挖礦病毒具有跨平臺(tái)的能力,在國(guó)外操作系統(tǒng)、國(guó)產(chǎn)化操作系統(tǒng)上或者容器上都能成功運(yùn)行,近年來(lái),勒索病毒攻擊尤為猖獗,惡性事件頻發(fā),尤其是公共部門(mén)成為勒索攻擊的主要目標(biāo)。虛擬化安全采用QOWL、clamav、DB等多殺毒引擎查殺技術(shù),可以對(duì)PE,ELF,MACHO,PDF,OLE等幾十種格式識(shí)別和解析,并支持支持UPX(全平臺(tái)),ASPACK等幾十種殼的脫殼檢測(cè),除了本地引擎外,還包含160萬(wàn)/天的云查殺及威脅情報(bào)樣本,可以實(shí)現(xiàn)對(duì)服務(wù)器病毒的精準(zhǔn)檢測(cè)與查殺,新版本還將人工智能檢測(cè)引擎QDE,進(jìn)一步提升檢測(cè)能力。
奇安信虛擬化安全完成主流信創(chuàng)平臺(tái)適配奇安信虛擬化安全目前已經(jīng)完成對(duì)麒麟&統(tǒng)信等信創(chuàng)操作系統(tǒng)、飛騰&鯤鵬等信創(chuàng)CPU的兼容適配,但服務(wù)器信創(chuàng)安全除了要關(guān)注CPU、操作系統(tǒng)的變化外,還要關(guān)注業(yè)務(wù)工作負(fù)載的變化,目前除了物理機(jī)和云主機(jī)外,越來(lái)越多的容器和serverless被用于構(gòu)建核心業(yè)務(wù),馮顧介紹,目前虛擬化安全在信創(chuàng)場(chǎng)景主推agent base(有代理)形態(tài),為了適應(yīng)業(yè)務(wù)的變化,后續(xù)還會(huì)開(kāi)發(fā)agentless(無(wú)代理)部署形態(tài)。有代理模式需要在本機(jī)操作系統(tǒng)上部署,直接接管本機(jī)系統(tǒng)和應(yīng)用安全;無(wú)代理模式只要在虛擬化層(xen、kvm)層部署,就可以接管虛擬化上層所有虛擬機(jī)的安全,方便大規(guī)模虛機(jī)集群、容器、serverless等使用場(chǎng)景,兩種產(chǎn)品形態(tài)最終將實(shí)現(xiàn)管理平臺(tái)打通,統(tǒng)一管理、統(tǒng)一策略下發(fā)。
沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,作為網(wǎng)絡(luò)安全的頭部企業(yè),奇安信很早就堅(jiān)定不移執(zhí)行國(guó)家信創(chuàng)戰(zhàn)略,積極投入黨政、金融、運(yùn)營(yíng)商、交通、能源等多個(gè)重要領(lǐng)域的信創(chuàng)建設(shè),已經(jīng)有眾多成功案例落地,并致力于聯(lián)合信創(chuàng)生態(tài)合作伙伴,合力構(gòu)建安全、開(kāi)放、創(chuàng)新的網(wǎng)信產(chǎn)業(yè)生態(tài)環(huán)境,更好地保障國(guó)家重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。
