更底层 更安全--从"底"做起 实现企业信息防泄漏

安全 数据安全
在引起广泛关注的3Q大战的时候,有过这样一个小插曲,曾经有一个记者,向马化腾这样提问:为什么不技术屏蔽360?而马化腾是这样回答的:我是应用层,它是底层!

什么是底层安全?

在引起广泛关注的3Q大战的时候,有过这样一个小插曲,曾经有一个记者,向马化腾这样提问:为什么不技术屏蔽360?而马化腾是这样回答的:我是应用层,它是底层!相当于我是"民用",它是"军用"。一个"民用",一个"军用",形象地体现出了应用层技术与底层技术的巨大差异。那么什么是底层技术?它又会给信息防泄漏行业带来什么?

谈及底层技术,首先就要从window操作系统的架构说起。

Window操作系统本身属于软件的范畴,但是它需要紧密地跟硬件打交道,它为上层应用软件或应用系统提供了公共接口,并负责硬件资源的管理和分配。应用软件不需要直接跟硬件打交道,它们利用操作系统提供的接口来实现各种应用任务,如果它们要访问硬件,则必须通过操作系统提供的公共接口来完成。为了保证Windows系统自身的稳定性,Windows采用了双模式(dual mode)结构来保护操作系统本身(如图1-1),以避免被应用程序的错误所波及。操作系统核心运行在内核模式(kernel mode)下,应用程序运行在用户模式(user mode)下。每当应用程序需要用到系统内核或内核的扩展模块(内核驱动程序)所提供的服务时,应用程序通过硬件指令从用户模式切换到内核模式中;当系统内核完成了所请求的服务以后,控制权又回到用户模式代码。"用户模式"和"内核模式"是不对称的,形象的说二者之间不是"井水不犯河水"的关系,而是井水不能犯河水但河水可以犯井水。

 

图1-1

图1-1

通过上面对于window操作系统结构的介绍,我们可以发现在window系统中愈往上愈接近应用软件,愈往下愈接近硬件。而包括内核在内的所有中间层次的作用,则是帮助应用软件更好、更安全、更方便、更有效地利用包括CPU在内的硬件资源。而底层技术,所指的就是针对内核模式下运行,紧密贴合硬件的文件系统,设备驱动程序,windows内核程序的修改与二次开发的技术。在信息安全防护系统的防护目标上,无论是移动介质管理,还是主机监控审计,以及非法外联监控,都涉及到了对硬件的管控。应用层的技术手段在对硬件技术进行管控时,需要通过API函数端口来实现,然而,API函数作为应用层和内核层的连接部分,由于需要照顾使用的广泛性,所以很容易被绕过、被卸载或被修改,并且它受内核层的控制,导致API函数自身安全性不佳。而底层技术则是使用内核提供的接口,直接对硬件进行管控,因而与其他技术手段相比具有以下的优势:#p#

首先,在安全性上,底层技术手段主要运行在内核模式下,也就是运行于windows后台,被当作操作系统的一部分运行来执行,从而无需启动进程,用户也感知不到驱动的运行,与运行在应用层技术相比,防绕过,防卸载,更隐蔽,更安全。

其次,在实时性上,因为底层技术手段与windows操作系统同步运行,使得我们可以第一时间及时感知用户的操作行为,包括硬件的插入、启动,文件的访问、操作等等,同时能够准确记录、及时阻止。

最后,在高效性上,底层技术手段直接运行在内核模式下,从而做到全局控制所有的操作行为,并且几乎不影响计算机运行的速度与性能。

企业信息防泄漏更应从"底"做起

在企业信息防泄漏上,底层技术就有更大的优先级别。例如,在端口控制上,无论是采用应用层技术手段还是底层技术手段,我们都会在设备管理器中,看到想要管控的设备。但有区别的是,普通的管控手段,我们的用户依然可以在设备管理器中重新启用该设备。虽然,该设备会被重新关闭,但是这种瞬时的开启,就存在着巨大的泄密风险。然而采用底层技术手段的管理系统,例如目前在该领域较为知名的鼎普内网系统,综合用户虽然可以看到设备,但是无法通过设备管理器对该设备进行任何的操作,彻底的实现了目标设备管控。再例如非法外联管控中,众所周知,实现非法外联发现与阻断,需要对互联网的特定地址,发送探测信号。这时就产生了一个问题,这个探测信号可能会被防火墙拦截!普通技术实现的非法外联探测功能,无法突破防火墙的封锁,但是基于底层技术开发的网络非法外联监控系统,通过内核模式下的网络传输层过滤驱动实现,能够有效地避免探测信号被防火墙拦截,从而保证非法外联的有效性。还有一个例子,就是在主机审计方面,有很多的技术都能够实现对用户行为的审计功能,但是,随着信息技术的发展,伴随而来的也就是高科技的窃取手段,例如内核级的木马程序。普通技术的审计功能,因为实现在应用层面,导致无法对内核级的操作行为有任何的感知,也就使得产品的审计功能形同虚设。鼎普主机监控与审计系统,针对内核级的窃取手段,采用内核级的技术手段,通过对windows内核加入自主研发的代码程序,从而保证对任何的文件操作行为,及时发现,准确记录。

进入21世纪后,随着国内信息化程度的快速提高,信息安全越来越多地受到关注,信息安全产品和厂商短短几年内大量涌现。虽然众多的产品和厂商都以信息安全的概念在提供服务,但其实际技术和内容却千差万别。众多的安全产品都能提供类似的功能,但是,其中的大多数都仅仅是采用了应用层的技术手段,导致产品自身的安全性差,容易被破解,容易被绕过。鼎普科技已经成长为信息防泄漏领域的领航企业,长期服务于国家政府、军队和军工单位,作为国家信息安全保密战线的一员,鼎普科技认识到要守卫国家秘密,捍卫国家利益,就必须产品自身有出色的安全性。"更底层、更安全"!相信只有建立在底层技术上的防护体系,才能更好的守卫国家秘密,保卫信息安全!

责任编辑:于爽 来源: 51CTO.com
相关推荐

2011-08-16 16:12:48

三重保护信息防泄漏整体信息防泄漏IP-guard

2011-07-18 09:46:48

2014-09-01 17:41:01

小微企业信息化

2020-06-11 08:26:05

信息泄漏密码网络安全

2019-06-03 09:11:59

2010-01-15 12:22:22

2011-05-13 14:46:53

2018-05-14 17:30:25

2019-05-15 14:26:18

多云云计算安全

2013-12-02 15:54:34

2011-12-07 14:56:18

2019-08-05 10:25:15

安全IT数据中心

2011-06-15 09:53:05

思杰虚拟化

2019-05-15 09:55:24

云安全多云云计算

2011-10-14 10:08:27

2018-09-11 13:03:02

2011-08-29 09:54:49

信息安全防泄漏内网安全

2011-03-04 14:17:55

信息风险信息安全信息泄漏

2012-02-08 10:28:47

cso安全策略安全培训

2010-01-05 11:00:54

点赞
收藏

51CTO技术栈公众号