2021年是“十四五”開局之年,中央經(jīng)濟工作會議指出,信創(chuàng)產(chǎn)業(yè)是重塑中國IT產(chǎn)業(yè)基礎(chǔ)、加快發(fā)展現(xiàn)代產(chǎn)業(yè)體系、推動經(jīng)濟體系優(yōu)化升級的重要力量。由于目前我國重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心產(chǎn)品絕大多數(shù)來自國外,加上近年來發(fā)生的芯片斷供、微軟多個操作系統(tǒng)停服、棱鏡門等重大事件,都在給我國信息化建設(shè)敲響安全警鐘。因此國家將信創(chuàng)產(chǎn)業(yè)列為“十四五”規(guī)劃發(fā)展的重要抓手。
在國際形勢和相關(guān)政策的推動下,黨政信創(chuàng)訂單紛紛落地,三大運營商不約而同選擇集采國產(chǎn)化服務(wù)器,中國信創(chuàng)產(chǎn)業(yè)進入高速增長期。對于信創(chuàng)產(chǎn)業(yè)而言,國產(chǎn)CPU是“芯”,國產(chǎn)操作系統(tǒng)是“魂”,雖然國產(chǎn)操作系統(tǒng)正在快速崛起,黨政、金融、運營商、交通、能源等重要行業(yè)也逐步啟動信創(chuàng)替代之路,但是黑客攻擊、后門、勒索病毒等安全威脅并沒有因此消失,尤其是在服務(wù)器安全領(lǐng)域,還在存在著較大的供需缺口。
信創(chuàng)適配對于服務(wù)器安全產(chǎn)品而言尤為艱難
據(jù)奇安信虛擬化安全事業(yè)部負責(zé)人馮顧介紹,不同于旁路接入設(shè)備,服務(wù)器安全產(chǎn)品需要在服務(wù)器上部署,在實現(xiàn)安全防護同時,要最大限度的保證系統(tǒng)和應(yīng)用的兼容性、不影響業(yè)務(wù)的正常運行,因此在信創(chuàng)平臺重構(gòu)完底層代碼后,還需要對每個信創(chuàng)系統(tǒng)的發(fā)行版本做適配,目前光是信創(chuàng)操作系統(tǒng)的大小發(fā)行版本就有幾十個,所以市面上除了奇安信虛擬化產(chǎn)品外,很少看的到能滿足信創(chuàng)需求的服務(wù)器安全產(chǎn)品。得益于虛擬化安全團隊在服務(wù)器安全領(lǐng)域積累的深厚開發(fā)經(jīng)驗,目前一個新操作系統(tǒng)的適配1周左右就能完成適配和測試,加上和信創(chuàng)操作系統(tǒng)開發(fā)廠商一直保持緊密的合作關(guān)系,所以基本上每個新版本發(fā)出,虛擬化安全產(chǎn)品很快能實現(xiàn)適配兼容,將安全空窗期縮到最短。
信創(chuàng)業(yè)務(wù)環(huán)境要關(guān)注的安全風(fēng)險
馮顧認為,信創(chuàng)改變的是底層架構(gòu),但上層的業(yè)務(wù)邏輯總體沒有太大變化,對于服務(wù)器安全而言,需要重點關(guān)注的仍是系統(tǒng)安全、應(yīng)用安全、網(wǎng)絡(luò)訪問控制、入侵檢測、惡意代碼防范這5個層面。
① 信創(chuàng)系統(tǒng)安全
國產(chǎn)化操作系統(tǒng)起步晚于國外,因此在自身安全和安全生態(tài)建設(shè)上還有比較長的路要走,存在出現(xiàn)高危漏洞的概率,虛擬化安全解決思路是:第一步,摸清資產(chǎn)家底,比如客戶哪些機器裝了麒麟、哪些裝了歐拉、對應(yīng)的版本是什么,可以自動化的識別出來,如果某個特定的版本出現(xiàn)漏洞,可以快速的排查;第二步,做好漏洞管理,以全局視角去看漏洞的整體情況并給出整改建議;第三步,對于官方還未發(fā)布修復(fù)方案的系統(tǒng)及應(yīng)用漏洞,可以利用產(chǎn)品的入侵防御機制下發(fā)虛擬補丁,無需重啟服務(wù)器即可實現(xiàn)對漏洞利用的防護,從而實現(xiàn)虛實結(jié)合,多層級的漏洞利用防護;第四步,在系統(tǒng)層還建立了應(yīng)用權(quán)限控制、文件完整性監(jiān)控等安全機制,以防御漏洞利用成功后的進一步操作。
② 信創(chuàng)應(yīng)用安全
根據(jù)CNVD最新報告,應(yīng)用程序漏洞數(shù)量占2021年Q1總數(shù)的61%,因此應(yīng)用程序的漏洞需要重點關(guān)注,尤其是web應(yīng)用漏洞,最受黑客喜愛和追捧,因此虛擬化安全在服務(wù)器本地內(nèi)置入侵防御模塊,通過代理http請求匹配流量檢測規(guī)則,可以有效發(fā)現(xiàn)SQL注入、XSS等常見網(wǎng)絡(luò)攻擊。另外,針對黑客常用的webshell類惡意文件,虛擬化安全在服務(wù)器本地建立強大的檢測引擎,結(jié)合威脅情報可以實現(xiàn)精準(zhǔn)識別和利用阻斷。
③ 網(wǎng)絡(luò)訪問控制
目前惡意訪問大概分為兩種類型:阻斷型和入侵型。阻斷型惡意訪問的如DDOS和CC,主要目的是消耗服務(wù)器的帶寬、CPU、內(nèi)存等資源,讓正常訪問受阻,針對這類攻擊,虛擬化安全采用了DPI(深度包檢測)技術(shù),可以智能識別惡意流量,并實現(xiàn)清洗或流量轉(zhuǎn)發(fā);入侵型的惡意流量主要是為了實現(xiàn)服務(wù)器間的橫向移動,從而進一步入侵或傳播惡意代碼,虛擬化安全采用微隔離和流可視化技術(shù),可以將服務(wù)器間的流量可視化呈現(xiàn),并基于服務(wù)器分布式防火墻技術(shù),對進出網(wǎng)流量進行雙向管控,從而有效限制惡意流量的東西向橫向擴散。
④ 入侵檢測
黑客入侵服務(wù)器后會留下指紋和線索,虛擬化安全通過本地的入侵檢測引擎、云端的大數(shù)據(jù)日志分析引擎&威脅情報,以及來自奇安信集團其他安全能力的聯(lián)動,可以有效回溯黑客的入侵點和入侵軌跡,實現(xiàn)高效識別、全面復(fù)盤。
⑤ 惡意代碼防范
不少勒索病毒、挖礦病毒具有跨平臺的能力,在國外操作系統(tǒng)、國產(chǎn)化操作系統(tǒng)上或者容器上都能成功運行,近年來,勒索病毒攻擊尤為猖獗,惡性事件頻發(fā),尤其是公共部門成為勒索攻擊的主要目標(biāo)。虛擬化安全采用QOWL、clamav、DB等多殺毒引擎查殺技術(shù),可以對PE,ELF,MACHO,PDF,OLE等幾十種格式識別和解析,并支持支持UPX(全平臺),ASPACK等幾十種殼的脫殼檢測,除了本地引擎外,還包含160萬/天的云查殺及威脅情報樣本,可以實現(xiàn)對服務(wù)器病毒的精準(zhǔn)檢測與查殺,新版本還將人工智能檢測引擎QDE,進一步提升檢測能力。
奇安信虛擬化安全完成主流信創(chuàng)平臺適配奇安信虛擬化安全目前已經(jīng)完成對麒麟&統(tǒng)信等信創(chuàng)操作系統(tǒng)、飛騰&鯤鵬等信創(chuàng)CPU的兼容適配,但服務(wù)器信創(chuàng)安全除了要關(guān)注CPU、操作系統(tǒng)的變化外,還要關(guān)注業(yè)務(wù)工作負載的變化,目前除了物理機和云主機外,越來越多的容器和serverless被用于構(gòu)建核心業(yè)務(wù),馮顧介紹,目前虛擬化安全在信創(chuàng)場景主推agent base(有代理)形態(tài),為了適應(yīng)業(yè)務(wù)的變化,后續(xù)還會開發(fā)agentless(無代理)部署形態(tài)。有代理模式需要在本機操作系統(tǒng)上部署,直接接管本機系統(tǒng)和應(yīng)用安全;無代理模式只要在虛擬化層(xen、kvm)層部署,就可以接管虛擬化上層所有虛擬機的安全,方便大規(guī)模虛機集群、容器、serverless等使用場景,兩種產(chǎn)品形態(tài)最終將實現(xiàn)管理平臺打通,統(tǒng)一管理、統(tǒng)一策略下發(fā)。
沒有網(wǎng)絡(luò)安全就沒有國家安全,作為網(wǎng)絡(luò)安全的頭部企業(yè),奇安信很早就堅定不移執(zhí)行國家信創(chuàng)戰(zhàn)略,積極投入黨政、金融、運營商、交通、能源等多個重要領(lǐng)域的信創(chuàng)建設(shè),已經(jīng)有眾多成功案例落地,并致力于聯(lián)合信創(chuàng)生態(tài)合作伙伴,合力構(gòu)建安全、開放、創(chuàng)新的網(wǎng)信產(chǎn)業(yè)生態(tài)環(huán)境,更好地保障國家重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。
