椒图科技有奖公测引发主机防护思考
来源:中国电子政务网 更新时间:2013-04-10

本月8日,椒图科技举办的“JHSE椒图主机安全环境系统有奖公测”如期宣告结束。在长达半个月的攻防测试过程中,来自全球的计算机技术“发烧友”们不断地对目标服务器(主机)进行渗透测试,但截止到活动结束,仍然没有参与者成功修改受JHSE保护的文件内容,主办方椒图科技悬赏的5000美金依然束之高阁。活动期间,系统安全相关技术问题引起了技术爱好者、安全专家等社会各界的热议,在信息安全业界掀起了新一轮服务器(主机)安全讨论热潮。

疑惑顿生,重金悬赏无人能取

公测活动启动当天,椒图科技对外公布了目标服务器的IProot口令,意味着参与测试人员可直接获得root权限(即系统管理员权限)。测试过程中,参与者发现手上的root权限与传统概念的超级管理员权限有所不同,不再一权独大可执行任何操作命令,经过各种尝试,依旧无法完成对受保护文件内容的修改。

JHSE构建的安全操作系统环境,实际上是现实社会一种管理手段运用技术方式去落地实现的一个实例,主要强调管理逻辑关系和安全模型的完善。因为,现有的主流商用服务器操作系统所存在的安全问题,并非完全来源于技术风险,很多是因为现有安全架构的不严谨、不科学,譬如无法控制管理员权限等。椒图科技常务副总经理李科在接受记者采访时表示,国家标准《信息安全技术操作系统安全技术要求》(GB/T 20272-2006),对操作系统需要达到的安全功能作了明确的规定和技术要求,本次公测的对象——JHSE产品就是严格按照国家标准研发出来的。通过严格的访问控制机制,合理的安全策略,以及三权分立原则,可实现用户、进程权限的最小化,既能确保受保护系统及系统上资源的安全,又不会对业务系统正常运行造成影响。

历时半个月的攻防测试,远程登陆和在线测试的总人数已经突破12300人次,一直到公测活动结束,也没有参与者能够突破JHSE构筑的安全防线,受保护的文件没有被修改,服务器也正常运行,以事实证明了JHSE在服务器(主机)安全防护方面的强大实力。

安全主机,核心筑防抵御攻击

长期以来,网络安全界普遍关注的是来自网络外部的攻击和基于网络应用的技术防范,往往忽视了针对服务器(主机)操作系统底层的攻击或防范。操作系统是用户关键业务和机密信息“落地”的地方,对于守住用户信息保密性、完整性和可用性,系统层安全防护无疑是最后的一道防线,是信息安全防护体系的核心所在。国内信息安全建设中,很多用户偏重于通过防火墙、杀毒软件、IDS等网络层、应用层安全产品构筑防线,而忽视了服务器(主机)层面的安全问题,给信息安全建设埋下了巨大的隐患。

随着网络化和信息化的不断发展,网络攻击的频次、种类和复杂性逐年增长,遭入侵和远程控制的计算机数量不断增加,网络安全形势日益严峻。今年3月份,国家互联网应急中心(CNCERT)公布的数据显示,2012年,CNCERT抽样监测发现,境外约有7.3万个木马或僵尸网络控制服务器控制了我国境内1419.7万余台主机,较2011年分别增长56.9%59.6%。这些受控服务器(主机)因被黑客远程操控,一方面会导致用户计算机上存储的信息被窃取,另一方面则可能成为黑客借以向他人发动攻击的跳板,对网络信息安全造成威胁。

面对外部环境对服务器(主机)安全的威胁日益增加,加之我国主流商用服务器(主机)操作系统大多为舶来品,难以做到完全自主可控,使我国计算机网络的安全性能大大降低。因此,系统层安全也成为了国内信息安全建设最重要的一环,操作系统安全防护已经成为了各行业信息安全的当务之急。

椒图科技作为我国最早开始研究操作系统安全的专业厂商之一,一直关注国内服务器(主机)安全问题,此次对外公测的JHSE就是一款专门面向服务器(主机)操作系统层面的专业安全产品。完全不同于应用层和网络层的安全防护方式,JHSE作用于操作系统内核,利用增强型RBACBLPDTE三种安全模型,重构操作系统安全子系统(SSOOS),通过科学的访问控制机制和合理的安全策略对系统进行防护,解决操作系统面临的恶意代码(如病毒、“后门”等)执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。同时,在提升安全水平的同时,保障业务系统正常运行。目前,JHSE已通过公安部计算机信息系统安全产品质量监督检验中心的检测,成为国内首款通过国标三级检测的通用性安全操作系统防护产品。

特别需要指出的是,一直以来,我国都很重视技术研发和技术上的领先性,很多科技计划在前瞻性技术研发上取得了丰硕的成果,只是没有与市场需求结合起来,导致先进技术只能在实验室里“发霉”。正如有位专家所说的,“再‘高、精、尖’的产品或技术,也只有在应用中才能体现价值。”此次椒图科技有奖公测的成功举办,使更多的人深入了解服务器(主机)安全理念和JHSE产品,有助于专业服务器(主机)安全产品在市场上的推广应用,进一步完善我国信息安全防护体系,为国家信息安全建设事业添砖加瓦。