虛擬安全域?yàn)楹诵?椒圖科技建安全應(yīng)用環(huán)境

在企業(yè)級(jí)信息網(wǎng)絡(luò)中，根據(jù)安全等級(jí)、安全需求的差異，將物理上分散的各類計(jì)算機(jī)劃入相應(yīng)的安全區(qū)域，在此基礎(chǔ)上分別對(duì)各區(qū)域內(nèi)的計(jì)算機(jī)進(jìn)行集中防護(hù)，從而提升整個(gè)IT網(wǎng)絡(luò)的安全水平，這種被稱為“虛擬安全域”的防護(hù)措施是用戶開展信息安全建設(shè)時(shí)普遍采用的一個(gè)重要手段。近年來，伴隨著惡意軟件的激增和黑客攻擊活動(dòng)的日益頻繁，信息化應(yīng)用環(huán)境面臨的安全威脅不斷加大，“虛擬安全域”防護(hù)思想逐漸從整個(gè)網(wǎng)絡(luò)層面向內(nèi)部的應(yīng)用層、操作系統(tǒng)層延伸，通過更加精準(zhǔn)的防護(hù)體系為用戶創(chuàng)造出安全的信息化應(yīng)用環(huán)境。

攻防重心轉(zhuǎn)移引發(fā)新安全變數(shù)

在我國，信息化建設(shè)已經(jīng)實(shí)施了幾十年，隨著信息化應(yīng)用深入推進(jìn)，企業(yè)級(jí)信息網(wǎng)絡(luò)內(nèi)的IT 系統(tǒng)數(shù)量、復(fù)雜度不斷提高，網(wǎng)絡(luò)邊界變得越來越模糊，傳統(tǒng)針對(duì)網(wǎng)絡(luò)邊界的防護(hù)措施逐漸顯得力不從心。另一方面，近幾年爆發(fā)的信息安全事件也表明，網(wǎng)絡(luò)攻擊的重心正從網(wǎng)絡(luò)層向核心層偏移，應(yīng)用軟件、操作系統(tǒng)等面臨著越來越大的安全壓力。特別是對(duì)應(yīng)用軟件來說，由于軟件開發(fā)商在安全方面的投入相對(duì)較少，很多應(yīng)用軟件本身就存在著安全隱患，成為黑客實(shí)施網(wǎng)絡(luò)攻擊的突破口和重災(zāi)區(qū)，為整個(gè)信息網(wǎng)絡(luò)的安全防護(hù)體系帶來了新的變數(shù)。

為了增強(qiáng)應(yīng)用軟件的安全性，部分操作系統(tǒng)廠商提出了基于虛擬操作系統(tǒng)的技術(shù)解決方案，將原操作系統(tǒng)劃分為多個(gè)互相獨(dú)立的虛擬操作系統(tǒng)，在各虛擬操作系統(tǒng)上運(yùn)行不同的應(yīng)用軟件，從而實(shí)現(xiàn)應(yīng)用軟件之間的相互隔離，避免了由于某個(gè)應(yīng)用軟件遭受攻擊而給其他軟件和操作系統(tǒng)的正常運(yùn)行帶來危害。然而，在實(shí)際應(yīng)用中，由于虛擬化解決方案需要重新部署現(xiàn)有的應(yīng)用軟件，勢(shì)必對(duì)業(yè)務(wù)系統(tǒng)的連續(xù)性造成影響，并且，部分虛擬化解決方案存在著二進(jìn)制轉(zhuǎn)換、特權(quán)指令嵌入及模擬等限制，客觀上降低了應(yīng)用軟件運(yùn)行的效率，從而導(dǎo)致安全性與實(shí)用性難以兩全的尷尬局面。

依托專利技術(shù)打造虛擬安全域

針對(duì)現(xiàn)有技術(shù)中存在的上述問題，作為國內(nèi)專業(yè)的信息安全廠商，椒圖科技發(fā)明了“一種強(qiáng)化應(yīng)用軟件安全性的方法及裝置”，通過在操作系統(tǒng)上構(gòu)建多個(gè)虛擬安全域，在不影響應(yīng)用軟件運(yùn)行效率且無需重新部署應(yīng)用軟件及其所在的業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，保證應(yīng)用軟件的安全性，有效規(guī)避了傳統(tǒng)虛擬化解決方案為了安全性而“犧牲”實(shí)用性的弊端。目前，“強(qiáng)化應(yīng)用軟件安全性的方法及裝置”已經(jīng)通過國家知識(shí)產(chǎn)權(quán)局的認(rèn)定，成為軟件安全技術(shù)領(lǐng)域的一項(xiàng)國家發(fā)明專利(專利號(hào)：201110169741.9)。

從發(fā)明專利的內(nèi)容上看，強(qiáng)化應(yīng)用軟件安全性的方法包括如下幾個(gè)方面：首先，為操作系統(tǒng)中每個(gè)需要保護(hù)的應(yīng)用軟件創(chuàng)建一個(gè)虛擬的安全域;其次，利用虛擬化技術(shù)，將目標(biāo)應(yīng)用軟件的應(yīng)用進(jìn)程、所需資源、安全需求映射為安全域內(nèi)的主體、客體及域內(nèi)安全屬性，操作系統(tǒng)內(nèi)其他應(yīng)用軟件的進(jìn)程、資源等則映射為域外主體和客體;之后，攔截系統(tǒng)內(nèi)所有應(yīng)用進(jìn)程的資源請(qǐng)求，并根據(jù)應(yīng)用進(jìn)程的位置、資源請(qǐng)求權(quán)限等控制主體對(duì)客體的訪問。此外，本發(fā)明還提供了安全域配置管理模塊、資源請(qǐng)求攔截模塊、安全域訪問約束審查模塊、實(shí)體資源分配及虛擬化模塊、安全審計(jì)模塊等裝置，支撐“強(qiáng)化應(yīng)用軟件安全性方法”從理論化為現(xiàn)實(shí)。

椒圖科技精細(xì)化構(gòu)建安全應(yīng)用環(huán)境

為了將“強(qiáng)化應(yīng)用軟件安全性的方法及裝置”發(fā)明專利投入到實(shí)際應(yīng)用中，椒圖科技推出了 ASVE(Application Security Virtualization Environment)可視化虛擬安全域，通過增強(qiáng)型DTE安全模型的應(yīng)用，在操作系統(tǒng)中創(chuàng)建出多個(gè)虛擬空間(即“安全域”)，將被保護(hù)應(yīng)用軟件的進(jìn)程、所需資源(例如：文件、進(jìn)程、服務(wù)、磁盤、設(shè)備、通信端口等)、最嚴(yán)客觀安全需求映射進(jìn)被保護(hù)應(yīng)用軟件所對(duì)應(yīng)的安全域內(nèi)，分別成為該安全域的域內(nèi)主體、域內(nèi)客體以及域內(nèi)安全屬性，其他進(jìn)程和資源則分別映射成域外主體和域外客體，并通過主客體訪問約束機(jī)制的實(shí)施，保證安全域之間、安全域與外部空間之間的安全隔離。同時(shí)，椒圖科技還對(duì)安全域、域內(nèi)安全屬性等元素和主客體訪問約束機(jī)制作了詳細(xì)的定義，使ASVE(可視化虛擬安全域)真正發(fā)揮出保障應(yīng)用軟件安全運(yùn)行的作用。

首先是在安全域、域內(nèi)安全屬性等元素的定義方面，通過安全域標(biāo)識(shí)進(jìn)行區(qū)分，如安全域 ID，并通過數(shù)值表示安全域的安全等級(jí)，從而使每個(gè)安全域在操作系統(tǒng)內(nèi)都具有唯一性。域內(nèi)安全屬性則包括域內(nèi)主體安全屬性和域內(nèi)客體安全屬性，其中，域內(nèi)主體安全屬性細(xì)分為Gout(逃離門)屬性和特權(quán)屬性：

Gout屬性界定了安全域內(nèi)主體逃離其所在安全域后所剩余的訪問能力，特權(quán)屬性限定了域內(nèi)主體除訪問能力之外的其他特殊能力;域內(nèi)客體安全屬性細(xì)分為Gin(闖入門)屬性和域內(nèi)訪問屬性：Gin屬性界定了非本域中主體在闖入客體所在安全域后對(duì)該客體所剩余的訪問能力，域內(nèi)訪問屬性限定了該安全域內(nèi)的客體為使同一安全域內(nèi)主體完成正常業(yè)務(wù)功能所必需提供給主體的訪問能力。

其次是在主客體訪問約束機(jī)制的定義方面，ASVE(可視化虛擬安全域)遵循權(quán)限最小化原則，對(duì)主客體處于一個(gè)安全域、主客體分布于多個(gè)安全域等情況作了詳細(xì)的定義，具體包括如下五個(gè)方面：首先，當(dāng)域內(nèi)主體對(duì)同一安全域內(nèi)的域內(nèi)客體進(jìn)行訪問時(shí)，遵循該被訪問客體的域內(nèi)訪問屬性。當(dāng)被訪問域內(nèi)客體針對(duì)該訪問主體的域內(nèi)訪問屬性未設(shè)置時(shí)，該訪問僅遵循模型所在操作系統(tǒng)的資源請(qǐng)求約束;其次，當(dāng)域內(nèi)主體試圖逃離所在安全域訪問域外客體時(shí)，通過遵循該域內(nèi)主體的Gout屬性，剝離其對(duì)域外客體的訪問能力，從而限制安全域?qū)τ蛲饪臻g的破壞能力，起到安全隔離的作用;第三，當(dāng)域外主體試圖闖入安全域內(nèi)訪問該安全域的域內(nèi)客體時(shí)，通過遵循該域內(nèi)客體的Gin屬性，剝離其對(duì)域內(nèi)客體的訪問能力，從而限制域外空間對(duì)安全域的破壞能力，起到安全隔離的作用;第四，當(dāng)域內(nèi)主體跨域訪問非同一安全域內(nèi)的客體時(shí)，通過遵循該域內(nèi)主體的Gout屬性和被訪問安全域內(nèi)的域內(nèi)客體的Gin屬性，剝離該主體對(duì)客體的訪問能力，從而限制了安全域間的破壞能力，起到安全隔離不同安全域的作用;第五、當(dāng)域外主體訪問域外客體時(shí)，該訪問僅遵循模型所在操作系統(tǒng)的資源請(qǐng)求約束。這種實(shí)現(xiàn)方法真正做到了強(qiáng)制訪問控制與隔離思想的緊密結(jié)合，最大程度地實(shí)現(xiàn)了數(shù)據(jù)的完整性保護(hù)，再配合動(dòng)態(tài)透明加解密功能，實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性保護(hù)，從而組成一套完整的數(shù)據(jù)保護(hù)解決方案。

在實(shí)際應(yīng)用中，基于椒圖科技ASVE技術(shù)構(gòu)建的虛擬安全域在操作系統(tǒng)中的示意圖如下：

安全域示意圖

可以看出，虛擬安全域橫跨用戶空間和操作系統(tǒng)內(nèi)核空間，其中，用戶空間存在著各種安全風(fēng)險(xiǎn)，但是在安全域的保護(hù)機(jī)制下，將不同的應(yīng)用封閉在一個(gè)個(gè)獨(dú)立的相對(duì)隔離的安全域內(nèi)，應(yīng)用軟件可以安全、可靠地訪問內(nèi)核空間，即使此域內(nèi)的應(yīng)用出了安全問題，也不會(huì)涉及到整個(gè)系統(tǒng)，保障業(yè)務(wù)系統(tǒng)安全運(yùn)行。需要特別指出的是，無論是安全域的劃分或是域內(nèi)主客體、安全屬性的添加，還是主客體訪問約束機(jī)制的實(shí)施，這些對(duì)于應(yīng)用軟件來說都是透明完成的，從而在無需重新部署應(yīng)用軟件及其所在業(yè)務(wù)系統(tǒng)的前提下，以安全域的形式為應(yīng)用軟件提供了一個(gè)安全的運(yùn)行環(huán)境，進(jìn)而為整個(gè)信息網(wǎng)絡(luò)的正常運(yùn)作保駕護(hù)航。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]