2021年是“十四五”開局之年,中央經濟工作會議指出,信創產業是重塑中國IT產業基礎、加快發展現代產業體系、推動經濟體系優化升級的重要力量。由于目前我國重要信息系統、關鍵基礎設施中使用的核心產品絕大多數來自國外,加上近年來發生的芯片斷供、微軟多個操作系統停服、棱鏡門等重大事件,都在給我國信息化建設敲響安全警鐘。因此國家將信創產業列為“十四五”規劃發展的重要抓手。
在國際形勢和相關政策的推動下,黨政信創訂單紛紛落地,三大運營商不約而同選擇集采國產化服務器,中國信創產業進入高速增長期。對于信創產業而言,國產CPU是“芯”,國產操作系統是“魂”,雖然國產操作系統正在快速崛起,黨政、金融、運營商、交通、能源等重要行業也逐步啟動信創替代之路,但是黑客攻擊、后門、勒索病毒等安全威脅并沒有因此消失,尤其是在服務器安全領域,還在存在著較大的供需缺口。
信創適配對于服務器安全產品而言尤為艱難
據奇安信虛擬化安全事業部負責人馮顧介紹,不同于旁路接入設備,服務器安全產品需要在服務器上部署,在實現安全防護同時,要最大限度的保證系統和應用的兼容性、不影響業務的正常運行,因此在信創平臺重構完底層代碼后,還需要對每個信創系統的發行版本做適配,目前光是信創操作系統的大小發行版本就有幾十個,所以市面上除了奇安信虛擬化產品外,很少看的到能滿足信創需求的服務器安全產品。得益于虛擬化安全團隊在服務器安全領域積累的深厚開發經驗,目前一個新操作系統的適配1周左右就能完成適配和測試,加上和信創操作系統開發廠商一直保持緊密的合作關系,所以基本上每個新版本發出,虛擬化安全產品很快能實現適配兼容,將安全空窗期縮到最短。
信創業務環境要關注的安全風險
馮顧認為,信創改變的是底層架構,但上層的業務邏輯總體沒有太大變化,對于服務器安全而言,需要重點關注的仍是系統安全、應用安全、網絡訪問控制、入侵檢測、惡意代碼防范這5個層面。
① 信創系統安全
國產化操作系統起步晚于國外,因此在自身安全和安全生態建設上還有比較長的路要走,存在出現高危漏洞的概率,虛擬化安全解決思路是:第一步,摸清資產家底,比如客戶哪些機器裝了麒麟、哪些裝了歐拉、對應的版本是什么,可以自動化的識別出來,如果某個特定的版本出現漏洞,可以快速的排查;第二步,做好漏洞管理,以全局視角去看漏洞的整體情況并給出整改建議;第三步,對于官方還未發布修復方案的系統及應用漏洞,可以利用產品的入侵防御機制下發虛擬補丁,無需重啟服務器即可實現對漏洞利用的防護,從而實現虛實結合,多層級的漏洞利用防護;第四步,在系統層還建立了應用權限控制、文件完整性監控等安全機制,以防御漏洞利用成功后的進一步操作。
② 信創應用安全
根據CNVD最新報告,應用程序漏洞數量占2021年Q1總數的61%,因此應用程序的漏洞需要重點關注,尤其是web應用漏洞,最受黑客喜愛和追捧,因此虛擬化安全在服務器本地內置入侵防御模塊,通過代理http請求匹配流量檢測規則,可以有效發現SQL注入、XSS等常見網絡攻擊。另外,針對黑客常用的webshell類惡意文件,虛擬化安全在服務器本地建立強大的檢測引擎,結合威脅情報可以實現精準識別和利用阻斷。
③ 網絡訪問控制
目前惡意訪問大概分為兩種類型:阻斷型和入侵型。阻斷型惡意訪問的如DDOS和CC,主要目的是消耗服務器的帶寬、CPU、內存等資源,讓正常訪問受阻,針對這類攻擊,虛擬化安全采用了DPI(深度包檢測)技術,可以智能識別惡意流量,并實現清洗或流量轉發;入侵型的惡意流量主要是為了實現服務器間的橫向移動,從而進一步入侵或傳播惡意代碼,虛擬化安全采用微隔離和流可視化技術,可以將服務器間的流量可視化呈現,并基于服務器分布式防火墻技術,對進出網流量進行雙向管控,從而有效限制惡意流量的東西向橫向擴散。
④ 入侵檢測
黑客入侵服務器后會留下指紋和線索,虛擬化安全通過本地的入侵檢測引擎、云端的大數據日志分析引擎&威脅情報,以及來自奇安信集團其他安全能力的聯動,可以有效回溯黑客的入侵點和入侵軌跡,實現高效識別、全面復盤。
⑤ 惡意代碼防范
不少勒索病毒、挖礦病毒具有跨平臺的能力,在國外操作系統、國產化操作系統上或者容器上都能成功運行,近年來,勒索病毒攻擊尤為猖獗,惡性事件頻發,尤其是公共部門成為勒索攻擊的主要目標。虛擬化安全采用QOWL、clamav、DB等多殺毒引擎查殺技術,可以對PE,ELF,MACHO,PDF,OLE等幾十種格式識別和解析,并支持支持UPX(全平臺),ASPACK等幾十種殼的脫殼檢測,除了本地引擎外,還包含160萬/天的云查殺及威脅情報樣本,可以實現對服務器病毒的精準檢測與查殺,新版本還將人工智能檢測引擎QDE,進一步提升檢測能力。
奇安信虛擬化安全完成主流信創平臺適配奇安信虛擬化安全目前已經完成對麒麟&統信等信創操作系統、飛騰&鯤鵬等信創CPU的兼容適配,但服務器信創安全除了要關注CPU、操作系統的變化外,還要關注業務工作負載的變化,目前除了物理機和云主機外,越來越多的容器和serverless被用于構建核心業務,馮顧介紹,目前虛擬化安全在信創場景主推agent base(有代理)形態,為了適應業務的變化,后續還會開發agentless(無代理)部署形態。有代理模式需要在本機操作系統上部署,直接接管本機系統和應用安全;無代理模式只要在虛擬化層(xen、kvm)層部署,就可以接管虛擬化上層所有虛擬機的安全,方便大規模虛機集群、容器、serverless等使用場景,兩種產品形態最終將實現管理平臺打通,統一管理、統一策略下發。
沒有網絡安全就沒有國家安全,作為網絡安全的頭部企業,奇安信很早就堅定不移執行國家信創戰略,積極投入黨政、金融、運營商、交通、能源等多個重要領域的信創建設,已經有眾多成功案例落地,并致力于聯合信創生態合作伙伴,合力構建安全、開放、創新的網信產業生態環境,更好地保障國家重要信息系統和關鍵基礎設施的網絡安全。