虛擬安全域為核心 椒圖科技建安全應(yīng)用環(huán)境

在企業(yè)級信息網(wǎng)絡(luò)中，根據(jù)安全等級、安全需求的差異，將物理上分散的各類計算機劃入相應(yīng)的安全區(qū)域，在此基礎(chǔ)上分別對各區(qū)域內(nèi)的計算機進行集中防護，從而提升整個IT網(wǎng)絡(luò)的安全水平，這種被稱為“虛擬安全域”的防護措施是用戶開展信息安全建設(shè)時普遍采用的一個重要手段。近年來，伴隨著惡意軟件的激增和黑客攻擊活動的日益頻繁，信息化應(yīng)用環(huán)境面臨的安全威脅不斷加大，“虛擬安全域”防護思想逐漸從整個網(wǎng)絡(luò)層面向內(nèi)部的應(yīng)用層、操作系統(tǒng)層延伸，通過更加精準(zhǔn)的防護體系為用戶創(chuàng)造出安全的信息化應(yīng)用環(huán)境。

攻防重心轉(zhuǎn)移引發(fā)新安全變數(shù)

在我國，信息化建設(shè)已經(jīng)實施了幾十年，隨著信息化應(yīng)用深入推進，企業(yè)級信息網(wǎng)絡(luò)內(nèi)的IT 系統(tǒng)數(shù)量、復(fù)雜度不斷提高，網(wǎng)絡(luò)邊界變得越來越模糊，傳統(tǒng)針對網(wǎng)絡(luò)邊界的防護措施逐漸顯得力不從心。另一方面，近幾年爆發(fā)的信息安全事件也表明，網(wǎng)絡(luò)攻擊的重心正從網(wǎng)絡(luò)層向核心層偏移，應(yīng)用軟件、操作系統(tǒng)等面臨著越來越大的安全壓力。特別是對應(yīng)用軟件來說，由于軟件開發(fā)商在安全方面的投入相對較少，很多應(yīng)用軟件本身就存在著安全隱患，成為黑客實施網(wǎng)絡(luò)攻擊的突破口和重災(zāi)區(qū)，為整個信息網(wǎng)絡(luò)的安全防護體系帶來了新的變數(shù)。

為了增強應(yīng)用軟件的安全性，部分操作系統(tǒng)廠商提出了基于虛擬操作系統(tǒng)的技術(shù)解決方案，將原操作系統(tǒng)劃分為多個互相獨立的虛擬操作系統(tǒng)，在各虛擬操作系統(tǒng)上運行不同的應(yīng)用軟件，從而實現(xiàn)應(yīng)用軟件之間的相互隔離，避免了由于某個應(yīng)用軟件遭受攻擊而給其他軟件和操作系統(tǒng)的正常運行帶來危害。然而，在實際應(yīng)用中，由于虛擬化解決方案需要重新部署現(xiàn)有的應(yīng)用軟件，勢必對業(yè)務(wù)系統(tǒng)的連續(xù)性造成影響，并且，部分虛擬化解決方案存在著二進制轉(zhuǎn)換、特權(quán)指令嵌入及模擬等限制，客觀上降低了應(yīng)用軟件運行的效率，從而導(dǎo)致安全性與實用性難以兩全的尷尬局面。

依托專利技術(shù)打造虛擬安全域

針對現(xiàn)有技術(shù)中存在的上述問題，作為國內(nèi)專業(yè)的信息安全廠商，椒圖科技發(fā)明了“一種強化應(yīng)用軟件安全性的方法及裝置”，通過在操作系統(tǒng)上構(gòu)建多個虛擬安全域，在不影響應(yīng)用軟件運行效率且無需重新部署應(yīng)用軟件及其所在的業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，保證應(yīng)用軟件的安全性，有效規(guī)避了傳統(tǒng)虛擬化解決方案為了安全性而“犧牲”實用性的弊端。目前，“強化應(yīng)用軟件安全性的方法及裝置”已經(jīng)通過國家知識產(chǎn)權(quán)局的認(rèn)定，成為軟件安全技術(shù)領(lǐng)域的一項國家發(fā)明專利(專利號：201110169741.9)。

從發(fā)明專利的內(nèi)容上看，強化應(yīng)用軟件安全性的方法包括如下幾個方面：首先，為操作系統(tǒng)中每個需要保護的應(yīng)用軟件創(chuàng)建一個虛擬的安全域;其次，利用虛擬化技術(shù)，將目標(biāo)應(yīng)用軟件的應(yīng)用進程、所需資源、安全需求映射為安全域內(nèi)的主體、客體及域內(nèi)安全屬性，操作系統(tǒng)內(nèi)其他應(yīng)用軟件的進程、資源等則映射為域外主體和客體;之后，攔截系統(tǒng)內(nèi)所有應(yīng)用進程的資源請求，并根據(jù)應(yīng)用進程的位置、資源請求權(quán)限等控制主體對客體的訪問。此外，本發(fā)明還提供了安全域配置管理模塊、資源請求攔截模塊、安全域訪問約束審查模塊、實體資源分配及虛擬化模塊、安全審計模塊等裝置，支撐“強化應(yīng)用軟件安全性方法”從理論化為現(xiàn)實。

椒圖科技精細化構(gòu)建安全應(yīng)用環(huán)境

為了將“強化應(yīng)用軟件安全性的方法及裝置”發(fā)明專利投入到實際應(yīng)用中，椒圖科技推出了 ASVE(Application Security Virtualization Environment)可視化虛擬安全域，通過增強型DTE安全模型的應(yīng)用，在操作系統(tǒng)中創(chuàng)建出多個虛擬空間(即“安全域”)，將被保護應(yīng)用軟件的進程、所需資源(例如：文件、進程、服務(wù)、磁盤、設(shè)備、通信端口等)、最嚴(yán)客觀安全需求映射進被保護應(yīng)用軟件所對應(yīng)的安全域內(nèi)，分別成為該安全域的域內(nèi)主體、域內(nèi)客體以及域內(nèi)安全屬性，其他進程和資源則分別映射成域外主體和域外客體，并通過主客體訪問約束機制的實施，保證安全域之間、安全域與外部空間之間的安全隔離。同時，椒圖科技還對安全域、域內(nèi)安全屬性等元素和主客體訪問約束機制作了詳細的定義，使ASVE(可視化虛擬安全域)真正發(fā)揮出保障應(yīng)用軟件安全運行的作用。

首先是在安全域、域內(nèi)安全屬性等元素的定義方面，通過安全域標(biāo)識進行區(qū)分，如安全域 ID，并通過數(shù)值表示安全域的安全等級，從而使每個安全域在操作系統(tǒng)內(nèi)都具有唯一性。域內(nèi)安全屬性則包括域內(nèi)主體安全屬性和域內(nèi)客體安全屬性，其中，域內(nèi)主體安全屬性細分為Gout(逃離門)屬性和特權(quán)屬性：

Gout屬性界定了安全域內(nèi)主體逃離其所在安全域后所剩余的訪問能力，特權(quán)屬性限定了域內(nèi)主體除訪問能力之外的其他特殊能力;域內(nèi)客體安全屬性細分為Gin(闖入門)屬性和域內(nèi)訪問屬性：Gin屬性界定了非本域中主體在闖入客體所在安全域后對該客體所剩余的訪問能力，域內(nèi)訪問屬性限定了該安全域內(nèi)的客體為使同一安全域內(nèi)主體完成正常業(yè)務(wù)功能所必需提供給主體的訪問能力。

其次是在主客體訪問約束機制的定義方面，ASVE(可視化虛擬安全域)遵循權(quán)限最小化原則，對主客體處于一個安全域、主客體分布于多個安全域等情況作了詳細的定義，具體包括如下五個方面：首先，當(dāng)域內(nèi)主體對同一安全域內(nèi)的域內(nèi)客體進行訪問時，遵循該被訪問客體的域內(nèi)訪問屬性。當(dāng)被訪問域內(nèi)客體針對該訪問主體的域內(nèi)訪問屬性未設(shè)置時，該訪問僅遵循模型所在操作系統(tǒng)的資源請求約束;其次，當(dāng)域內(nèi)主體試圖逃離所在安全域訪問域外客體時，通過遵循該域內(nèi)主體的Gout屬性，剝離其對域外客體的訪問能力，從而限制安全域?qū)τ蛲饪臻g的破壞能力，起到安全隔離的作用;第三，當(dāng)域外主體試圖闖入安全域內(nèi)訪問該安全域的域內(nèi)客體時，通過遵循該域內(nèi)客體的Gin屬性，剝離其對域內(nèi)客體的訪問能力，從而限制域外空間對安全域的破壞能力，起到安全隔離的作用;第四，當(dāng)域內(nèi)主體跨域訪問非同一安全域內(nèi)的客體時，通過遵循該域內(nèi)主體的Gout屬性和被訪問安全域內(nèi)的域內(nèi)客體的Gin屬性，剝離該主體對客體的訪問能力，從而限制了安全域間的破壞能力，起到安全隔離不同安全域的作用;第五、當(dāng)域外主體訪問域外客體時，該訪問僅遵循模型所在操作系統(tǒng)的資源請求約束。這種實現(xiàn)方法真正做到了強制訪問控制與隔離思想的緊密結(jié)合，最大程度地實現(xiàn)了數(shù)據(jù)的完整性保護，再配合動態(tài)透明加解密功能，實現(xiàn)數(shù)據(jù)的機密性保護，從而組成一套完整的數(shù)據(jù)保護解決方案。

在實際應(yīng)用中，基于椒圖科技ASVE技術(shù)構(gòu)建的虛擬安全域在操作系統(tǒng)中的示意圖如下：

安全域示意圖

可以看出，虛擬安全域橫跨用戶空間和操作系統(tǒng)內(nèi)核空間，其中，用戶空間存在著各種安全風(fēng)險，但是在安全域的保護機制下，將不同的應(yīng)用封閉在一個個獨立的相對隔離的安全域內(nèi)，應(yīng)用軟件可以安全、可靠地訪問內(nèi)核空間，即使此域內(nèi)的應(yīng)用出了安全問題，也不會涉及到整個系統(tǒng)，保障業(yè)務(wù)系統(tǒng)安全運行。需要特別指出的是，無論是安全域的劃分或是域內(nèi)主客體、安全屬性的添加，還是主客體訪問約束機制的實施，這些對于應(yīng)用軟件來說都是透明完成的，從而在無需重新部署應(yīng)用軟件及其所在業(yè)務(wù)系統(tǒng)的前提下，以安全域的形式為應(yīng)用軟件提供了一個安全的運行環(huán)境，進而為整個信息網(wǎng)絡(luò)的正常運作保駕護航。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]