随着信息技术突飞猛进的发展,网络信息技术为人们提供了更加便利快捷的生活方式,但随之而来的却是日益凶险的互联网环境。遍布在网络的黑客组织,网络攻击技术论坛,越来越多的0day漏洞发布,无不显露着隐藏在网络深处的种种安全危机,如何解决这些安全隐患,也已经当初的网络攻防技术研究发展成了网络信息安全这个方兴未艾的行业。
攻击技术的发展趋势
1. 攻击技术平民化
较早接触黑客技术的人都应该记得,人们在半夜时分进行踩点,渗透,为的就是获得一个较为通畅的网络环境;在键盘上敲击成百上千个字符来实现一次现在看来非常初级的SQL注入;通过简单的网络命令去测试目标主机的开放端口和运行服务,进而尝试进行渗透。可以说,在当时作一名黑客,需要在网络和操作系统知识方面有相当的造诣。
然而目前的情况呢,NBSI,流光,CAIN等近乎傻瓜型的攻击工具在网络中随处可见,一个连TCP三次握手都说不清楚的中学生就可以用这些现成的攻击在网络中兴风作浪。网络攻击技术的平民化直接导致了一个非常严重的后果:若干年前,我们的服务器存在某些漏洞,可能过很长时间才会被具有很高水平黑客发掘和利用,但是现在基于IP段扫描的程序可以很迅速发现并利用漏洞,大大增加了服务器被攻击的可能性。
2. 攻击目的商业化
早期的黑客组织,无论是大名鼎鼎的鹰派联盟还是藏龙卧虎的绿色兵团,大都是纯粹的技术性谈论,为网络技术爱好者提供一个相互交流学习的平台。诚然有些成员会为了炫耀技术,用攻陷一些网站的另类方式来体现自身价值,但是大部分人员都是善意和纯技术的,很多人在渗透进入对方服务器后,会给网站的管理员发送电子邮件来提示他们服务器存在的安全缺陷以及如何弥补等。
然而随着网络游戏,在线交易等增值业务的出现,黑客们面对的不仅仅几个简单的展示页面,而是具有极高价值的业务系统,面对物欲的考验,有些人,没有禁得住道德的考验,开始以入侵服务器为自己获得经济利益。与此同时,一些不法之徒也看到了黑客们的另一种价值,利用金钱作为诱惑开始组织和指使他们进行窃取商业机密,非法修改和破坏竞争对手业务系统为目的攻击,使得一些黑客成了他们的“网络雇佣军”。
如何应对日益严重网络安全问题
现在,建设安全防护体系已经成为了所有单位必须的工作,防火墙、IDS,杀毒软件,安全审计系统等安全产品几乎被应用到了网络的每个角落。然而我们仍然会时常的听说很多大公司甚至是安全公司的服务器被渗透导致机密泄露,给自己或客户造成不可估量的损失。
那么是什么原因导致这些事件的出现呢?
现在比较通用的安全产品,基本上都是从网络层和应用层对攻击者的行为过程进行阻断,例如防火墙屏蔽一些非法网络请求,杀毒软件查杀一些已知的病毒程序,然而在支撑整个业务体系的网络架构中,最重要和关键的无疑是其中的各类服务器,他们运行着业务系统的核心程序,保存着所有的机密数据信息。但是,这些承载着业务系统的操作系统的安全问题却是层出不穷,而传统的安全产品无法从操作系统的内核层对我们的业务和数据进行保护,导致在整个安全体系中,网络和应用层的防护非常臃肿和庞大,而处在核心位置的操作系统却未作任何的防护措施。
未雨绸缪-进行操作系统内核级防护
很多专家学者也意识到了这种隐患的危害性,所以近几年安全业界有了一种新的声音:对操作系统进行内核级的安全加固,彻底免疫针对服务器操作系统的攻击。
内核加固技术通过对操作系统的超级用户权限进行合理分散与适度制约,从而使万一出现的超级用户“大权旁落”的威胁风险与破坏程度大大降低。特别就Internet85%的信息泄露来自于内部(数据来源:O’Higgins, 1997),超过80%的计算机犯罪是由内部员工实施这一现实而言,内核加固技术的实现更具重要意义。
内核加固的核心就是在操作系统的核心层重构操作系统的权限访问模型,实现真正的强制访问控制。例如我们对文件的强制访问控制,就可以设置敏感文件只能被特定的程序例如数据库,OA等指定程序访问,拒绝其他所有的访问客体。这样一来即使攻击者获得了系统最高权限,也无法读取和破坏服务器中的重要数据。通过安全内核的“承上启下”,即可以很好的支持各种操作系统以及硬件平台,也能对操作系统上层的各种现有的大型应用有很好的安全支撑作用。
[返回] 计算机科学论坛 →
计算机理论与工程 → 『 安全理论 』 → 未雨绸缪-操作系统内核级主动防御
(订阅本版)
2007/11/13 15:57:00
新浪微博
未雨绸缪-操作系统内核级主动防御
