1引言
據IDC統計,對於企業來說,來自內部終端的安全威脅占整個安全威脅的70%以上。由於企業內部終端數量多,人員層次不同,流動性大,安全意識薄弱而產生病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。例如:某員工使用手提電腦在家上網,從Internet上感染病毒,上班後沒有進行任何接入保護,導致病毒在企業網路內部傳播,引起整個辦公網路癱瘓;某員工由於安全意識薄弱,沒有及時安裝作業系統補丁或者開啟不安全連線埠或服務,導致黑客入侵,引起系統癱瘓或機密信息被竊取;某員工由於謀求個人私利通過USB竊取公司機密信息等。
同樣,政府也面臨類似問題,也出現了大量的安全事件,網路病毒肆虐、國家機密流失、資料外泄屢有發生。為了解決終端的安全,相關單位現在只能通過管理方法把終端“管死”,內部終端的可用性降低的同時,安全漏洞依然存在,只能通過“加法”不斷補充安全手段。
這些安全威脅問題對於以信息為生存基礎的企業、政府來說是致命的,同樣威脅個人私密信息的安全。
我國信息安全產品經過多年發展,形成一定的規模;目前現在政府、企業的信息安全意識普遍都很高,也部署了各類型的信息安全產品,套用了防火牆、防病毒等安全措施,但問題還是層出不窮。面對不斷變化的環境,業界也意識到只解決外部攻擊防範問題的網路安全設備根本無法解決此類威脅。重視終端弱點管理,通過自主可控技術強化終端安全,為企業、政府以至個人建立全面立體的安全防護體系,是目前信息安全業界既現實而又迫切的問題。
目前,導致終端安全問題的原因主要如下:
終端設備的多樣性 隨著3C(Computer、Communication、Consumer Electronics)與3W(Web、Wireless、Wideband)的迅速融合,改變了傳統的網路聯接形式,移動與無線已經成為主流網路架構模式。傳統的計算與通訊網路環境不同的是,融合環境下,諸如筆記本電腦、掌上電腦和PDA等移動終端和無線設備的接入導致很難再去定義一個清晰的網路邊界;另外各種終端的不同形式的外接連線埠擴展了傳統網路管理的範圍,以往的終端接入標準已不適用於現今的管理標準,所以需要通過對終端接入實施“動態”、“隨需”的安全保障管理,對物理及非物理的終端接入網路定義一個清晰的虛擬邊界。
終端套用的複雜性 目前終端的作業系統與套用軟體功能繁多,但用戶日常辦工中需要套用的功能不到10%,某些套用甚至永遠都用不到。不斷擴展的終端套用龐大且臃腫,漏洞層出不窮,複雜、頻繁的惡意安全攻擊日益增多,終端需要頻繁更新各類型的信息安全產品,才能防治處理存在的安全威脅。
頻繁更新安裝安全產品和服務,帶來的是故障頻出,因為每一個安全產品和服務都需要配置,配置不好,不但安全產品和服務無法發揮應有作用,甚至造成安全系統和網路故障。由於對大多數由系統管理員兼任的信息安全員來說,要了解每一個安全產品的性能和功能是一件相當令人頭疼的事情,再加上各品牌產品標準沒統一,接口不一樣,判斷誰出問題很麻煩,因此,一出問題就得聚攏一堆廠商來查原因。在此環境下,病毒肆虐、機密流失、資料外泄等信息安全問題往往出現在系統管理員和廠商的環節上。
所以,終端安全的複雜性導致的信息安全套用與管理問題也成為目前業界的難題。
非自主核心技術不受控 國內安全產品的發展還是不能滿足安全形勢發展的需要,目前我國政企70%的信息安全設備和產品來自國外;安全產品受制於人,我國網路系統和網路設備使用的關鍵晶片與核心軟體大部分依賴進口。
據業內專家介紹,我們的核心技術特別是作業系統、專用晶片和專用硬體的設計、生產能力基本受制於國外廠商尤其是美國廠商,作業系統由微軟壟斷,安全晶片由cavium/HiFin以及跨行業發展的NetScreen公司壟斷;國內許多網路安全企業的硬體平台也基本都是直接來自美國。
上游鏈受控於人,對有重要信息安全需求的信息系統用戶來講,很難實現“自主可控”的目標,在一定程度上為我國的經濟和社會穩定留下隱患。
同樣,目前各類信息系統終端充斥大量國外信息安全產品已成為現實,國產安全產品和服務大多功能單一,市場占有率低,競爭中處於劣勢,更不用說替代國外同類產品。國內政府、企業、個人的終端,現實普遍採用國外包括Windows在內作業系統及套用,他們需要自主可控的涉密套用、涉密數據存儲,但沒有條件部署專用涉密網路、專用涉密終端。所以,業界需要為國產信息安全的廠商提供一個統一的終端安全管理平台,通過統一的標準、統一的接口、統一的部署規劃、統一的更新控制,為用戶提供整體自主可控的國產化終端信息安全解決方案。
2009年由中共中央國家保密委員會(國家保密局)牽頭各省國家保密局組織的有史以來最嚴厲的全國保密大檢查,檢查後發現全國各級政府,軍工企業,企事業涉密單位存在這樣那樣的嚴重泄密安全隱患,終端安全刻不容緩。
廣州經略電子科技作為國內唯一一家多年從事虛擬安全底層技術產品研發,生產於一身的民族企業,秉著“自主創新,科技興國,文化傳薪“的企業理念,經多年與部隊,軍工企業,黨政機關保密辦及信息中心,企事業單位的充分接觸與溝通,充分理解相關單位的保密要求和目前存在的困境,在我司V3虛擬系統的基礎上吸收並借鑑2009年廣東省國家保密局關於涉密與非涉密信息交換的設計思路,以及對用戶需求的充分理解,結合《中共中央保密委員會辦公室,國家保密局關於國家密碼載體保密管理的規定》,《關於加強黨政機關計算機信息系統安全和保密管理的若干規定》,同時在廣東省國家保密局的關心和指導下,我們率先推出具有國際先進水平的V3虛擬安全系統。
2系統簡介
V3虛擬安全系統和外界主機系統無法直接互訪,用戶在主機只能訪問主機的磁碟分區,不能直接訪問V3虛擬安全系統的虛擬磁碟分區。同時用戶在虛擬安全專業版系統環境中也不能直接訪問除自身虛擬磁碟外的分區,這樣就形成了一個相對封閉的計算機環境,當用戶需要與外界主機環境交換檔案時只能通過我司獨創的專用檔案交換資源管理器實現V3虛擬安全系統環境與外界主機環境的單向檔案導入和導出。
3關鍵技術3-1虛擬桌面技術介紹
桌面虛擬化是虛擬化技術的浪潮。桌面虛擬化的目的是從底層構建不同的工作區(最終用戶的應用程式,數據,網路負載和設定)。桌面虛擬化,和現有許多虛擬化解決方案概念相似,本文只在介紹成功的虛擬化架構技術。
虛擬機(VM)技術,為所有虛擬桌面解決方案的基礎,使計算機能夠同時支持和執行兩個或兩個以上的計算機環境,其中“環境”包括作業系統以及用戶應用程式和數據。虛擬機是一個虛擬的運算系統,借用計算機資源(CPU,硬碟,記憶體等),讓主機工作的同時,也作為客戶計算機而存在。 計算機資源共享的好處可以提供給最終用戶,包括:
隔離 – 工作區在不同的計算環境獨立運作,雖然有些資源可以共享(例如,鍵盤,滑鼠和螢幕),同時其他的卻可以得到保護(例如,數據檔案)。在一個虛擬環境中,主機資源需要從並發訪問到雙方的賓主控制的保護,在傳統的虛擬系統中,這種隔離和控制是通過一個特殊的軟體程式提供的,稱為虛擬機監視器(VMM)。VMM可以自主監控主機計算機環境或者主機和客戶計算機行為。資源平衡 -如果有需要的話,可以對每個功能自主的運行環境進行資源消耗監控和限制。可移動/遷移 - 某些虛擬機的配置被認為是可移動的,也就是說,整個計算機環境,可從一個移動到另一個不同的主機。今天世界上越來越多的移動套用得益於這種虛擬機技術,流動性是虛擬桌面解決方案的關鍵,雖然今天存在的軟體產品,都提供基本的虛擬機能力,但是這些產品僅提供有限的或者根本沒有移動虛擬化的支持。 今天我們有許多方法來實現VMM以及配套軟體。本文將說明各種不同的VMM技術優劣點,並重點介紹V3專業安全版所採用的工作區虛擬引擎技術:
系統管理程式 – 該VMMs程式採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,模擬的任何指令的方式。管理程式可以提供一個完整的虛擬桌面,但是帶來不同程度的資源開銷和性能降低。半虛擬化 –該 VMMS程式採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,沒有任何指示的方式。半虛擬化可以要求來賓桌面作業系統進行修改,以避免這些特權指令。半虛擬化系統,可以提供一個完整的虛擬桌面,有不同程度的資源開銷和性能損失。工作區虛擬引擎(名為WVE) - 該VMMs程式採取攔截和陷阱,模擬或重定向將違背隔離或導致系統不穩定低級別的OS API調用的方式。有些WVEs可以在一個核心中提供虛擬化的能力,使工作區嵌入一個包含企業域級別的特權代碼模組和子系統的完整的作業系統,有獨立的網路堆疊和支持,如端點安全套用,資料庫套用和電腦管理軟體,需要的驅動和安全服務。 WVEs可以提供一個完整的虛擬桌面,很少或根本沒有性能損失。應用程式容器 – 該系統採取攔截和陷阱,模仿那些違背隔離或導致系統不穩定的最高等級OS API調用。套用容器一般不能提供一個完整的虛擬桌面。仿真 - 模擬整個系統的硬體系統,包括中央處理器,I / O設備等模擬器可以提供一個完整的虛擬化桌面,但存在巨大的性能損失。
3-1-1 工作區虛擬化技術
介於應用程式虛擬化和管理程式的基礎虛擬化(虛擬機)之間的是工作區虛擬化。工作區虛擬化是虛擬化封裝和隔離整個電腦工作區的方法。因此,工作區將包括上述作業系統核心一切-應用程式,數據,設定和任何非特權作業系統需要提供一個有效的Windows桌面計算環境的子系統(見圖5)。
圖 5 -最低限度的工作區虛擬化架構
這種理想的情況是幾乎從來沒有實現,由於現代作業系統和應用程式開發的做法傳授結構方面的關註:
應用程式通常包含特權代碼(驅動程式或服務),這與在一個特權級別的作業系統進行互動。這些特殊對象模組需要適當隔離和虛擬化,在特權/核心模式。
圖6 – 首選的工作區虛擬化架構
作業系統經常被分為特權與非特權模組的子系統。兩個模組都必須是支持適當的虛擬化套用程式使用的子系統。由於這些問題,完整的WVE需要提供虛擬化能力的特權代碼。一個完整的虛擬化WVE特權架構如圖6所示,可以通過一個核心模式名為WVE特權代碼模組和子系統的完整的作業系統提供虛擬化能力,完整的WVEs在加入企業域的基礎上提供完整的執行工作區,有獨立的網路協定棧,並支持諸如端點安全套用,資料庫,強大的認證和PC管理軟體,需要的驅動和安全服務等。
一個理想的WVE可以實現:設定特權虛擬子系統的副本(輸入/輸出,網路,安全等)設定非特權虛擬子系統的副本(軟體安裝,遠程管理等)支持應用程式隔離(最終用戶的套用軟體)有關與PC主機備用分系統共享體系結構上的情況(例如可用於高性能的I / O的共享冗餘硬體設備子系統)
通過實現上述功能,該WVE的工作空間虛擬化解決方案能提供更高層次的套用程式兼容性,同時提高了一些必須與主機共享的子系統的虛擬套用的性能。
3-2全透明加密運行技術
全透明加密運行技術的原理是通過映射大的加密檔案成動態的Windows虛擬磁碟分區而讓V3虛擬系統整體透明加密運行。
3-3安全資源管理器技術
安全資源管理器技術的原理是通過重寫Windows資源管理器,實現重寫過資源管理器中的檔案訪問完全可控的目的,以配合檔案之間交換的特殊需要而設計。
4 V3專業安全版系統架構介紹
圖 7 V3專業安全版系統架構圖
圖8 透明加密工作區原理圖
V3虛擬系統工作區與主機桌面工作區實現底層隔離,同時共享一些必須的部分(比如系統設備,驅動,服務,系統程式等)如圖 7 ,通過限制V3工作區與主機工作區數據磁碟互訪達到V3工作區與主機工作區相互完全隔離的目的。V3 工作區運行於由高強度加密檔案生成的虛擬磁碟之中,這樣就達到了V3工作區(系統,應用程式,數據,檔案)全透明加密運行之目的,很好的保護了V3工作區的數據安全,由於V3工作區的存在,實現了與主機系統的分離,使之能夠達到V3工作區應用程式不依賴主機系統的可移動遷移效果。
5典型套用
5-1 V3虛擬系統的終端安全典型套用
V3安全版虛擬系統是結合虛擬系統技術,透明數據加密技術,安全資源管理器技術,且經過分析企業,政府,科研,軍隊,事業單位現有市場信息安全解決方案的基礎上,提出了我司創新的解決方案。
該方案通過映射一個高強度加密大檔案成虛擬磁碟,並在該虛擬磁碟中運行我們的V3虛擬系統,真實主系統與虛擬系統之間無法直接通過磁碟,移動存儲設備等等措施實現互訪,而巧妙實現了涉密環境與非涉密環境的分離。並且通過我司獨有安全資源管理器技術實現了非涉密和涉密環境之間單向可控檔案交換。用戶既可以在V3虛擬系統中象真實系統操作一樣操作,同時操作後的任何文檔,資料和系統設定都只保留在該V3虛擬系統中,對於主系統來說,該V3虛擬系統只是一個大的高強度加密檔案而已。即使非法用戶拿到該電腦硬碟也無法解開加密檔案,從而無法獲取該虛擬系統中任何資料。備份資料也很簡單,只需要備份該大的高強度加密檔案到安全的地方即可。如果把V3安全版虛擬系統安裝到可移動存儲設備只需要把該設備接入任意計算機即可立即使用自己涉密辦公套用軟體環境,並且完成後,拔出移動存儲設備不會在接入的系統中保存任何痕跡,即使筆記本或者PC機被盜,被搶也不用當心泄密,真正實現了無痕辦公,徹底的防泄密。
5-2 V3虛擬系統的電腦安全典型套用
大部分筆記本,中高端PC機都預裝了自主研發的一鍵還原系統,一鍵還原系統雖然可以一鍵恢復之前備份的正常系統,可是無法恢復當前系統狀態,勢必造成一些不必要的數據丟失(比如聊天記錄,郵件,我的文檔,IE收藏夾,賬戶密碼等等),而幾乎包括和其他廠商的一鍵恢復系統根據廣大用戶的反饋都有導致硬碟數據丟失風險,因此尋找一種更加合理的電腦安全解決方案致關重要。
V3虛擬系統通過虛擬應用程式桌面環境以實現作業系統與應用程式桌面分離的目的,從而實現不會因為真正的系統出問題而影響在虛擬系統裡面軟體和數據.同時V3虛擬系統和一鍵還原相互配合,當系統出現問題時,我們只需要一鍵還原系統,而不需擔心當前即時數據資料丟失。而對於用戶來說在虛擬系統中操作和真實系統完全一樣,並且能夠保持你的電腦環境永遠乾淨快速,和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啟動虛擬系統也不需要等待的時間。用戶也可以通過備份V3虛擬系統目錄的方式直接備份自己的個人數據和記錄,恢複數據也只是簡單的複製貼上而已。對於來說,只需要為用戶新裝PC預裝我們的V3虛擬系統,並且作為默認啟動桌面即可。
5-3 V3虛擬系統的軟體無縫遷移典型套用
V3虛擬系統是全球獨家實現windows桌面系統套用軟體無縫遷移解決方案的廠家,V3虛擬系統通過生成現有作業系統的全新虛擬鏡像,且具有真實系統完全一樣的功能。進入虛擬系統後,所有操作都是在這個全新的獨立的虛擬系統裡面,可以獨立安裝軟體,運行軟體,保存數據,擁有自己的獨立桌面。不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在虛擬系統裡面軟體和數據.因此可以實現重裝XP,VISTA,WIN7等等系統,不再需要重裝套用軟體和重新設定系統,我們只需要把之前安裝好套用軟體的V3虛擬系統目錄拷貝到任意磁碟,即可立即使用我們之前的套用軟體環境桌面,連當前的IE設定,聊天記錄,OUTLOOK郵件等等都是保留的,沒有任何丟失。更加特別的是你只需要更新我們的V3虛擬系統程式,就可以實現直接無縫遷移XP下的所有套用軟體環境到WIN7系統里,獨家實現了升級系統不再需要重裝舊XP下的套用軟體功能。對於來說新出WIN7系統PC只需要把事先安裝好套用軟體的V3虛擬系統目錄拷貝新WIN7系統PC中即可,再也不需要銷售客戶技術人員一台台為客戶安裝需要的軟體了,減低了客戶服務成本。5-4 V3虛擬系統的在套用軟體分發管理典型套用 V3虛擬系統由於實現了桌面環境與作業系統分離,同時又能獨立安裝軟體,運行軟體,保存數據,因此就可以實現企業,網咖集中的套用軟體分發,客戶端套用軟體定製管理。
可通過引入分散式客戶服務端管理思想可實現企業內部桌面管理,筆記本,上網本可移動設備桌面管理,並且結合VPN等等通信加密技術實現整個企業安全的桌面套用軟體分發,桌面套用軟體控制,桌面行為監控,套用軟體模版式遷移等等無與倫比的創新套用。