发布时间:2011-07-16 16:06:23作者:知识屋
什么是底层安全?
在引起广泛关注的3Q大战的时候,有过这样一个小插曲,曾经有一个记者,向马化腾这样提问:为什么不技术屏蔽360?而马化腾是这样回答的:我是应用层,它是底层!相当于我是"民用",它是"军用"。一个"民用",一个"军用",形象地体现出了应用层技术与底层技术的巨大差异。那么什么是底层技术?它又会给信息防泄漏行业带来什么?
谈及底层技术,首先就要从window操作系统的架构说起。
Window操作系统本身属于软件的范畴,但是它需要紧密地跟硬件打交道,它为上层应用软件或应用系统提供了公共接口,并负责硬件资源的管理和分配。应用软件不需要直接跟硬件打交道,它们利用操作系统提供的接口来实现各种应用任务,如果它们要访问硬件,则必须通过操作系统提供的公共接口来完成。为了保证Windows系统自身的稳定性,Windows采用了双模式(dual mode)结构来保护操作系统本身(如图1-1),以避免被应用程序的错误所波及。操作系统核心运行在内核模式(kernel mode)下,应用程序运行在用户模式(user mode)下。每当应用程序需要用到系统内核或内核的扩展模块(内核驱动程序)所提供的服务时,应用程序通过硬件指令从用户模式切换到内核模式中;当系统内核完成了所请求的服务以后,控制权又回到用户模式代码。"用户模式"和"内核模式"是不对称的,形象的说二者之间不是"井水不犯河水"的关系,而是井水不能犯河水但河水可以犯井水。
图1-1
通过上面对于window操作系统结构的介绍,我们可以发现在window系统中愈往上愈接近应用软件,愈往下愈接近硬件。而包括内核在内的所有中间层次的作用,则是帮助应用软件更好、更安全、更方便、更有效地利用包括CPU在内的硬件资源。而底层技术,所指的就是针对内核模式下运行,紧密贴合硬件的文件系统,设备驱动程序,windows内核程序的修改与二次开发的技术。在信息安全防护系统的防护目标上,无论是移动介质管理,还是主机监控审计,以及非法外联监控,都涉及到了对硬件的管控。应用层的技术手段在对硬件技术进行管控时,需要通过API函数端口来实现,然而,API函数作为应用层和内核层的连接部分,由于需要照顾使用的广泛性,所以很容易被绕过、被卸载或被修改,并且它受内核层的控制,导致API函数自身安全性不佳。而底层技术则是使用内核提供的接口,直接对硬件进行管控,因而与其他技术手段相比具有以下的优势:
图1-1
通过上面对于window操作系统结构的介绍,我们可以发现在window系统中愈往上愈接近应用软件,愈往下愈接近硬件。而包括内核在内的所有中间层次的作用,则是帮助应用软件更好、更安全、更方便、更有效地利用包括CPU在内的硬件资源。而底层技术,所指的就是针对内核模式下运行,紧密贴合硬件的文件系统,设备驱动程序,windows内核程序的修改与二次开发的技术。在信息安全防护系统的防护目标上,无论是移动介质管理,还是主机监控审计,以及非法外联监控,都涉及到了对硬件的管控。应用层的技术手段在对硬件技术进行管控时,需要通过API函数端口来实现,然而,API函数作为应用层和内核层的连接部分,由于需要照顾使用的广泛性,所以很容易被绕过、被卸载或被修改,并且它受内核层的控制,导致API函数自身安全性不佳。而底层技术则是使用内核提供的接口,直接对硬件进行管控,因而与其他技术手段相比具有以下的优势:
首先,在安全性上,底层技术手段主要运行在内核模式下,也就是运行于windows后台,被当作操作系统的一部分运行来执行,从而无需启动进程,用户也感知不到驱动的运行,与运行在应用层技术相比,防绕过,防卸载,更隐蔽,更安全。
其次,在实时性上,因为底层技术手段与windows操作系统同步运行,使得我们可以第一时间及时感知用户的操作行为,包括硬件的插入、启动,文件的访问、操作等等,同时能够准确记录、及时阻止。
最后,在高效性上,底层技术手段直接运行在内核模式下,从而做到全局控制所有的操作行为,并且几乎不影响计算机运行的速度与性能。
企业信息防泄漏更应从"底"做起
在企业信息防泄漏上,底层技术就有更大的优先级别。例如,在端口控制上,无论是采用应用层技术手段还是底层技术手段,我们都会在设备管理器中,看到想要管控的设备。但有区别的是,普通的管控手段,我们的用户依然可以在设备管理器中重新启用该设备。虽然,该设备会被重新关闭,但是这种瞬时的开启,就存在着巨大的泄密风险。然而采用底层技术手段的管理系统,例如目前在该领域较为知名的鼎普内网系统,综合用户虽然可以看到设备,但是无法通过设备管理器对该设备进行任何的操作,彻底的实现了目标设备管控。再例如非法外联管控中,众所周知,实现非法外联发现与阻断,需要对互联网的特定地址,发送探测信号。这时就产生了一个问题,这个探测信号可能会被防火墙拦截!普通技术实现的非法外联探测功能,无法突破防火墙的封锁,但是基于底层技术开发的网络非法外联监控系统,通过内核模式下的网络传输层过滤驱动实现,能够有效地避免探测信号被防火墙拦截,从而保证非法外联的有效性。还有一个例子,就是在主机审计方面,有很多的技术都能够实现对用户行为的审计功能,但是,随着信息技术的发展,伴随而来的也就是高科技的窃取手段,例如内核级的木马程序。普通技术的审计功能,因为实现在应用层面,导致无法对内核级的操作行为有任何的感知,也就使得产品的审计功能形同虚设。鼎普主机监控与审计系统,针对内核级的窃取手段,采用内核级的技术手段,通过对windows内核加入自主研发的代码程序,从而保证对任何的文件操作行为,及时发现,准确记录。
进入21世纪后,随着国内信息化程度的快速提高,信息安全越来越多地受到关注,信息安全产品和厂商短短几年内大量涌现。虽然众多的产品和厂商都以信息安全的概念在提供服务,但其实际技术和内容却千差万别。众多的安全产品都能提供类似的功能,但是,其中的大多数都仅仅是采用了应用层的技术手段,导致产品自身的安全性差,容易被破解,容易被绕过。鼎普科技已经成长为信息防泄漏领域的领航企业,长期服务于国家政府、军队和军工单位,作为国家信息安全保密战线的一员,鼎普科技认识到要守卫国家秘密,捍卫国家利益,就必须产品自身有出色的安全性。"更底层、更安全"!相信只有建立在底层技术上的防护体系,才能更好的守卫国家秘密,保卫信息安全!
2011-06-17
电脑开机时出现lass.exe进程是病毒吗?
自拍须谨慎!教你如何通过照片定位查看拍摄地点
电脑病毒最基础知识
黑客学员必须了解的C语言技术
精典详细内网渗透专题文章
教你破解Tp-Link的无线路由密码
解决SecureCRT中文显示乱码
QQ电脑管家和360哪个好?横评实测对比
攻防实战:无线网络路由入侵过程